oracle的口令管理

bbsoft2002

http://space.itpub.net/196700/viewspace-668131

http://download.oracle.com/docs/cd/B19306_01/server.102/b14200/statements_8003.htm

在Oracle數(shù)據(jù)庫中，若要訪問數(shù)據(jù)，必須先具有該數(shù)據(jù)庫的一個賬戶。這個訪問可以是直接訪問（通過一個數(shù)據(jù)庫的用戶連接）或間接訪問（通過在數(shù)據(jù)庫鏈接中預(yù)設(shè)權(quán)限的訪問）。每個賬戶必須有一個與其相關(guān)的口令，一個數(shù)據(jù)庫賬戶可以連接到一個操作系統(tǒng)賬戶上。
　　
　　口令是在創(chuàng)建用戶賬戶時為每一用戶設(shè)置的，并可在該賬戶創(chuàng)建后對它們進(jìn)行變更。用戶變更賬戶口令的能力受他訪問工具權(quán)限的限制。數(shù)據(jù)庫以加密的形式將口令存儲在一個數(shù)據(jù)字典表中。如果賬戶直接與操作系統(tǒng)賬戶相關(guān)，就可以旁路口令檢查。在Oracle 8i中，口令可以無效。數(shù)據(jù)庫管理員可以建立能重復(fù)使用口令的條件(通過一個數(shù)據(jù)庫口令歷史設(shè)置值)，也可以使用環(huán)境文件為口令制定標(biāo)準(zhǔn)，如最小長度，或如果連續(xù)多次與賬戶連接不成功，就可以自動鎖定賬戶。
　　
　　環(huán)境文件
　　可以使用環(huán)境文件來限制用戶能使用的系統(tǒng)和數(shù)據(jù)庫資源，并管理口令限制。如果數(shù)據(jù)庫中沒有創(chuàng)建環(huán)境文件，將使用缺省環(huán)境文件（Default）。缺省環(huán)境文件對于所有用戶資源沒有限制，表1列出了可以通過環(huán)境文件限制的資源。
　　
　　
　　
　　
　　(注: PASSWORD_REUSE_MAX和PASSWORD_REUSE_TIME互不相容，如果其中一個資源設(shè)置成一個值，另一個必須設(shè)置成Unlimited。)
　　
　　如表1所示，許多資源都可以被限制，在用戶超過資源限制前不會發(fā)生任何動作，一旦到達(dá)限值， SQL語句就被停止。
　　
　　環(huán)境文件是通過“create profile”命令創(chuàng)建的，可以用“alter profile”命令修改。下例所示的“alter profile”命令用于修改現(xiàn)有的環(huán)境文件。在這個例子中，數(shù)據(jù)庫的缺省環(huán)境文件被修改成允許最大空閑時間為1小時：
　　
　　alter profile DEFAULT limit idle_time 60;
　　
　　在Oracle 8i中，可以使用環(huán)境文件來管理口令的終止、重新使用和復(fù)雜性。例如，可以限制一個口令的壽命、鎖定口令過舊的賬戶，也可以強(qiáng)制一個口令至少有一定程度的復(fù)雜性，并鎖定一個多次注冊失敗的賬戶。
　　
　　口令的鎖定與過期
　　FAILED_LOGIN_ATTEMPTS用于設(shè)定賬戶允許的嘗試次數(shù)，可以防止惡意人員無限制地嘗試賬戶口令來破解口令。例如，如果設(shè)置用戶環(huán)境文件的FAILED_LOGIN_ATTEMPTS資源為3，該賬戶允許連續(xù)注冊失敗3次，第4次失敗就會引起賬戶被鎖定。
　　
　　在下面的例子中，創(chuàng)建一個供用戶TestUser使用的TEST_PROFILE環(huán)境文件：
　　
　　create profile TEST_PROFILE limit
　　
　　FAILED_LOGIN_ATTEMPTS 3;
　　
　　create user TESTUSER identified by abcd1234
　　
　　profile TEST_PROFILE;
　　
　　grant CREATE SESSION to TESTUSER;
　　
　　如果連續(xù)3次與TestUser賬戶的連接失敗，該賬戶將自動被Oracle鎖定。此后當(dāng)輸入TestUser賬戶的正確口令時，會收到一條錯誤信息：
　　
　　ERROR:ORA-28000: the account is locked
　　
　　要對賬戶解鎖，可在數(shù)據(jù)庫管理員賬戶中使用“alter user”命令的account unlock子句，如下所示：
　　
　　alter user TESTUSER account unlock;
　　
　　賬戶解鎖后，TestUser賬戶再一次被允許連接。可以通過“alter user”命令的account lock子句來手動鎖定一個賬戶。
　　
　　alter user TESTUSER account lock;
　　
　　若一個賬戶由于多次連接失敗而被鎖定，當(dāng)超過其環(huán)境文件的PASSWORD_LOCK_TIME值時將自動解鎖。例如，如果PASSWORD_LOCK_TIME設(shè)為1，前面例子中的TestUser賬戶就被鎖定1天，過后賬戶即被自動解鎖。
　　
　　可以通過環(huán)境文件中的PASSWORD_LIFE_TIME資源建立一個口令的最大期限。例如，可以強(qiáng)制TEST_PROFILE環(huán)境文件的用戶每30天改變一次口令。
　　
　　alter profile TEST_PROFILE limit
　　
　　PASSWORD_LIFE_TIME 30;
　　
　　在這個例子中，“alter profile”命令用于修改TEST_PROFILE環(huán)境文件。PASSWORD_LIFE_TIME值設(shè)為30，因此使用這個環(huán)境文件的每個賬戶在30天后口令就會過期。如果口令過期，就必須在下次注冊時修改它，除非環(huán)境文件對過期的口令有一特定的寬限期。寬限期參數(shù)叫做PASSWORD_GRACE_TIME，如果在寬限期內(nèi)沒有修改口令，賬戶就會過期。
　　
　　(注: 如果使用PASSWORD_LIFE_TIME參數(shù)，就必須為用戶提供一種便于其改變口令的方法。)
　　
　　“過期”賬戶與“鎖定”賬戶不同。鎖定賬戶會隨著時間的推移自動解鎖，而過期賬戶需要通過數(shù)據(jù)庫管理員人工干預(yù)才能重新激活。
　　
　�。ㄗⅲ喝绻�使用口令過期特性，就要確保擁有應(yīng)用程序的賬戶具有不同的環(huán)境文件設(shè)置值，否則它們會被鎖定，使得應(yīng)用程序不能使用。）
　　
　　如前面例子所述，若要重新恢復(fù)一個過期賬戶，需使用“alter user”命令。在這個例子中，用戶TestUser首先由數(shù)據(jù)庫管理員手工使其口令過期。
　　
　　alter user TESTUSER password expire;
　　
　　接著，TestUser試圖連接其賬戶。當(dāng)他輸入口令時，立即被提示輸入賬戶的新口令。
　　
　　也可以使用“create user”命令的“password expire”子句，強(qiáng)制用戶在第一次訪問時修改口令。不過“create user”命令不允許對用戶設(shè)置的新口令設(shè)置限期日期。要設(shè)置的話，必須使用前面例子中的PASSW??????餀???? ??
ORD_LIFE_TIME環(huán)境文件參數(shù)。
　　
　　若要查看任一賬戶的口令限期，可查詢DBA_USERS數(shù)據(jù)字典視圖的Expire_Date列。若用戶自己想查看，可查詢USER_USERS數(shù)據(jù)字典視圖的Expiry_Date列(通過SQL*Plus或一個基于客戶機(jī)的查詢工具)。
　　
　　防止口令重新使用
　　若要防止一個口令被重新使用，可以使用兩個環(huán)境文件參數(shù)的其中一個: PASSWORD_REUSE_MAX或PASSWORD_REUSE_TIME。這兩個參數(shù)互不相容，如果給其中的一個設(shè)置了值，另一個就必須設(shè)為Unlimited。
　　
　　PASSWORD_REUSE_TIME參數(shù)規(guī)定一個口令可以重新使用前必須經(jīng)過的天數(shù)。例如，如果設(shè)置PASSWORD_REUSE_TIME為60天，則在60天內(nèi)不能使用同一個口令。
　　
　　PASSWORD_REUSE_MAX參數(shù)指定一個口令可以重新使用前必須對其改變的次數(shù)。如果試圖在這個限制到達(dá)前重新使用該口令，Oracle會拒絕口令的修改。
　　
　　例如，可以為本章前面創(chuàng)建的TEST_PROFILE環(huán)境文件設(shè)置一個PASSWORD_REUSE_MAX參數(shù)。
　　
　　alter profile TEST_PROFILE limit
　　
　　PASSWORD_REUSE_MAX 3
　　
　　PASSWORD_REUSE_TIME UNLIMITED;
　　
　　如果用戶TestUser現(xiàn)在試圖重新使用一個最近的口令，修改口令就會失敗。例如，如下修改口令：
　　
　　alter user TESTUSER identified by eye123;
　　
　　然后再次改變它：
　　
　　alter user TESTUSER identified by eye456;
　　
　　在下次修改口令時，試圖重新使用最近的口令，就會失敗。他不能重新使用任何他最近用過口令，必須提供一個新口令。
　　
　　口令歷史被存儲在SYS模式下一個叫USER_HISTORY$的表中。在這個表中，Oracle存儲了用戶資源識別符、加密的口令值和創(chuàng)建該口令的日期/時間標(biāo)記。當(dāng)PASSWORD_REUSE_TIME值已過期或口令修改次數(shù)超過PASSWORD_REUSE_MAX值時，這個老的口令記錄就從SYS.USER_HISTORY$表中刪除。如果一個新的密碼與現(xiàn)有的密碼一樣，這個新口令就被拒絕。
　　
　　由于老口令存儲在SYS擁有的一個表中，所以數(shù)據(jù)存儲在System表空間中。因此，如果要為頻繁修改口令的大量用戶保留非常大的口令歷史，口令歷史表SYS.HISTORY$所需的空間就會影響System表空間的空間需求。
　　
　　設(shè)置口令復(fù)雜度
　　可以強(qiáng)制用戶的口令符合復(fù)雜度標(biāo)準(zhǔn)。例如，可以要求口令的最小長度，限制不能是一些簡單的詞，至少包括一個數(shù)字或標(biāo)點符號等�！癱reate profile”和“alter profile”命令的PASSWORD_VERIFY_FUNCTION參數(shù)指定用于評估口令的函數(shù)名。如果用戶提出的口令不符合要求，就不會被接受。例如，可以拒絕“abcde”和“eye”作為口令，因為它們未包含任何數(shù)字值。為簡化實施口令復(fù)雜度的過程，Oracle提供了一個函數(shù)VERIFY_FUNCTION。在缺省情況下，不創(chuàng)建這個函數(shù)。只有在運(yùn)行utlpwdmg.sql腳本文件(該文件位于Oracle軟件主目錄下的/rdbms/admin子目錄中)時才創(chuàng)建VERIFY_FUNCTION函數(shù)（注意這個函數(shù)應(yīng)當(dāng)在SYS模式下創(chuàng)建）。
　　
　　函數(shù)中的前三個條件子句檢查口令是否與用戶名相同，是否少于4個字符，是否是一組特定的詞之一。可以任意修改這些檢查或增加你的要求。例如，安全原則可能要求口令最少有六個字符，運(yùn)行前要簡單地更新部分utlpwdmg.sql文件。
　　
　　函數(shù)的下一個主要部分是對口令字符串內(nèi)容的三段檢查。要通過這些檢查，口令中至少要包含一個字符、一個數(shù)字和一個標(biāo)點符號。同前面的檢查一樣，它們是可以編輯的。例如，可以不要求用戶在其口令中使用標(biāo)點符號，只要簡單地繞過那部分口令檢查就可以。
　　
　　函數(shù)的下一部分是將新口令與老口令逐字符進(jìn)行比較。如果它們之間的不同之處少于三處，新口令將不予接受。
　　
　　這個腳本文件中最后一條命令不屬于該函數(shù)，它是一條改變?nèi)笔…h(huán)境文件的“alter profile”命令。如果改變了缺省環(huán)境文件，那么數(shù)據(jù)庫中所有使用缺省環(huán)境文件的用戶都會受到影響。