Professional Documents
Culture Documents
com
时代朝阳会员专区:Oracle 安全
Oracle 数据库基本安全实践
修改缺省的用户口令,使用概要文件,加
强口令管理
工作目标
1 目前为止,选择安全的口令字符串、遵守良好的口令创建规则,是防止通过用户口令威胁
数据库安全的最重要的方法。应当保证口令字符串的复杂度,包括:
z 口令字符串至少包含 10 个字符;
z 使用字母和数字的组合;
z 不包含某个单词。
此外,Oracle 数据库的口令文件不能以数字开头,最长不超过 30 个字符。
目标实现概要
1 修改管理员用户(SYS、SYSTEM、SYSMAN、DBSNMP 等)的缺省口令:
安装数据库时,Oracle 允许为管理员用户设置相同或不同的口令字符串。无论是生产还是
测试环境,都应该为每个管理员用户设置强壮的、各不相同的口令。
举例:按照口令创建规则,修改管理员用户(SYS、SYSTEM、SYSMAN、DBSNMP)的
缺省口令。
2 修改用户的缺省口令:
数据库创建后,除了 SYS、SYSTEM、SYSMAN、SYSTEM 用户,其他用户的账户都被自
动锁定,并且口令过期。这些用户中,SCOTT 的缺省口令是“tiger”,而其他用户的缺省
口令均和用户名相同(例如用户 MDSYS 的缺省口令是“mdsys”)。这些缺省的口令很容
易成为攻击数据库的切入点。
因此,如果要使用某个账户,应该为此账户重新设置一个强壮的口令字符串,来提高安全
性。(注意,对于不需要使用的账户,保证其处于被锁定且口令过期的状态。)
时代朝阳会员专区 第 1 页
www.zhaoyang-db.com/huiyuan
北京时代朝阳数据库技术中心 Trail 实验室 www.zhaoyang-db.com
3 使用概要文件,加强口令管理:
通过使用概要文件来执行对登录失败、口令过期、口令字符串复杂度和口令重用原则的管
理。每一个账户都应该遵守这些基本的口令管理原则,并周期性的修改口令。
举例:创建一个规定了登录失败次数、口令过期时间、复杂度和重用原则的概要文件,把
这个口令文件指派给 SCOTT 用户。
4 版本 1.0.0
软硬件系统配置
配置说明:
详细操作过程描述
修改管理员用户的缺省口令
时代朝阳会员专区 第 2 页
www.zhaoyang-db.com/huiyuan
北京时代朝阳数据库技术中心 Trail 实验室 www.zhaoyang-db.com
4 打开 targets.xml 文件,其中有一行内容为:
时代朝阳会员专区 第 3 页
www.zhaoyang-db.com/huiyuan
北京时代朝阳数据库技术中心 Trail 实验室 www.zhaoyang-db.com
5 将它修改为如下内容,保存后退出:
6 重启 agent:
时代朝阳会员专区 第 4 页
www.zhaoyang-db.com/huiyuan
北京时代朝阳数据库技术中心 Trail 实验室 www.zhaoyang-db.com
时代朝阳会员专区 第 5 页
www.zhaoyang-db.com/huiyuan
北京时代朝阳数据库技术中心 Trail 实验室 www.zhaoyang-db.com
时代朝阳会员专区 第 6 页
www.zhaoyang-db.com/huiyuan
北京时代朝阳数据库技术中心 Trail 实验室 www.zhaoyang-db.com
修改用户的缺省口令
1 数据库创建后,SCOTT 用户的账户自动被锁定,口令过期。如果需要使用 scott 账户,则
应该遵守口令字符串的创建规则,修改 scott 用户的缺省口令:
2 然后再激活这个账户:
使用概要文件,加强口令管理
1 启用概要文件:
2 创建概要文件,failed_login_attempts 参数是用户用错误口令登录的尝试次数,超过这个次
数,账户将被锁定,在这里设置尝试次数为 3 次;password_life_time 参数指一个口令可以
使用的天数,本例中设置为 7 天;password_grace_time 参数要配合 password_life_time 参数
使用,当超过使用天数后,用户第一次登录时,系统将提醒你在这个参数设置的天数内,
更 换 口 令 , 如 果 超 过 这 些 天 数 没 有 更 换 , 则 口 令 过 期 ; password_reuse_time 和
password_reuse_max 参数,需要配合使用,这里分别设置为 7 和 2 表示,用户可以在 7 天
后,中间更换过两次以上的口令后,再次使用当前口令做为账户口令:
时代朝阳会员专区 第 7 页
www.zhaoyang-db.com/huiyuan
北京时代朝阳数据库技术中心 Trail 实验室 www.zhaoyang-db.com
3 为 SCOTT 用户指派概要文件:
4 验证概要文件的约束,首先,验证登录失败次数的约束,即验证 failed_login_attempts 参数
的约束:
时代朝阳会员专区 第 8 页
www.zhaoyang-db.com/huiyuan
北京时代朝阳数据库技术中心 Trail 实验室 www.zhaoyang-db.com
7 天后:
三天后:
时代朝阳会员专区 第 9 页
www.zhaoyang-db.com/huiyuan
北京时代朝阳数据库技术中心 Trail 实验室 www.zhaoyang-db.com
10 七天后,再次将口令更改为用过的口令 tiger:
时代朝阳会员专区 第 10 页
www.zhaoyang-db.com/huiyuan
北京时代朝阳数据库技术中心 Trail 实验室 www.zhaoyang-db.com
12 打开 utlpwdmg.sql 文件:
时代朝阳会员专区 第 11 页
www.zhaoyang-db.com/huiyuan
北京时代朝阳数据库技术中心 Trail 实验室 www.zhaoyang-db.com
13 要求用户口令不得少于 10 个字符,修改内容如下所示,保存修改:
14 以系统管理员身份连接到数据库,运行脚本 utlpwdmg.sql,该脚本创建口令效验函数,同时
修改缺省概要的定义。
15 通过如下命令,可查询创建的口令效验函数:
时代朝阳会员专区 第 12 页
www.zhaoyang-db.com/huiyuan
北京时代朝阳数据库技术中心 Trail 实验室 www.zhaoyang-db.com
16 通过如下命令,可查询修改的概要文件的设置:
时代朝阳会员专区 第 13 页
www.zhaoyang-db.com/huiyuan
北京时代朝阳数据库技术中心 Trail 实验室 www.zhaoyang-db.com
口令长度不符合要求,修改失败。
18 满足要求的口令,才能成功创建或修改用户:
时代朝阳会员专区 第 14 页
www.zhaoyang-db.com/huiyuan
北京时代朝阳数据库技术中心 Trail 实验室 www.zhaoyang-db.com
体会与总结
1 数据库创建后,按照口令创建规则为管理员用户 SYS、SYSTEM、SYSMAN、DBSNMP
创建新的口令。
2 缺省状态下,其他数据库用户的账户处于被锁定的状态,并且口令过期。只在需要使用这
个用户时,再激活账户,并为账户重新设置复杂度高的口令字符串。
时代朝阳会员专区 第 15 页
www.zhaoyang-db.com/huiyuan