快捷導(dǎo)航

oracle 11g數(shù)據(jù)庫安全加固注意事項

更新時間：2015年08月10日 23:11:21 投稿：mdxy-dxy

這篇文章主要介紹了oracle11g數(shù)據(jù)庫安全加固須謹(jǐn)慎 ,需要的朋友可以參考下

數(shù)據(jù)庫安全配置中，需要做相關(guān)的安全加固工作。以確認(rèn)數(shù)據(jù)庫的安全，但是，有些時候，操作不當(dāng)或者數(shù)據(jù)庫業(yè)務(wù)賬號修改密碼后，而程序的連接數(shù)據(jù)庫的配置封裝在jar里，如果jar內(nèi)的連接數(shù)據(jù)庫的配置信息沒有做相應(yīng)的修改的話。就會對數(shù)據(jù)庫的此業(yè)務(wù)賬號造成嚴(yán)重的后果。

因此，真正了解Oracle安全數(shù)據(jù)庫用戶的狀態(tài)，就顯得尤為重要了。下面我們就看一下oracle數(shù)據(jù)庫中的多種用戶狀態(tài)。

ORACLE數(shù)據(jù)庫用戶有多種狀態(tài)，可查看視圖USER_ASTATUS_MAP。

SQL> col status for a30
SQL> select * from user_astatus_map;

  STATUS# STATUS
---------- ------------------------------

     0 OPEN
     1 EXPIRED
     2 EXPIRED(GRACE)
     4 LOCKED(TIMED)
     8 LOCKED
     5 EXPIRED & LOCKED(TIMED)
     6 EXPIRED(GRACE) & LOCKED(TIMED)
     9 EXPIRED & LOCKED
    10 EXPIRED(GRACE) & LOCKED

9 rows selected.

通過上面的查詢我們可以看到在Oracle中account總共有9種不同的狀態(tài)，對應(yīng)dba_users視圖中的account_status字段。

下面我分別就每種狀態(tài)的含義和出現(xiàn)的情況做個簡單的說明，以便于今后的系統(tǒng)管理和維護(hù)。
分析上面的9種狀態(tài)不難看出，其實獨立的狀態(tài)只有OPEN、EXPIRED、LOCKED、EXPIRED(GRACE)、LOCKED(TIMED) 5種形式。其他4種不過是前面幾種形式的組合而已。

或者也可以這樣理解：

以上的9種狀態(tài)可以分為兩大類：

1、基本狀態(tài)（前五種為基本狀態(tài)：0 OPEN、1 EXPIRED、2 EXPIRED(GRACE)、4 LOCKED(TIMED)、8 LOCKED）；

2、組合狀態(tài)（后四種為組合狀態(tài)：5 EXPIRED & LOCKED(TIMED)、6 EXPIRED(GRACE) & LOCKED(TIMED)、9 EXPIRED & LOCKED、10 EXPIRED(GRACE) & LOCKED）；

后四種的組合狀態(tài)可通過狀態(tài)號STATUS#獲得其狀態(tài)的兩個組合。掌握前五種即可。

具體詳細(xì)解釋請參考如下：

OPEN：這個是大家最常見的，就是表示這個是可用的，沒有任何限制的帳戶
LOCKED：表示這個帳戶被DBA鎖定. 一般通過alter user username account lock(unlock);
EXPIRED：表示該帳戶被設(shè)置為口令到期，要求用戶在下次logon的時候修改口令（系統(tǒng)會在該account被設(shè)置為expire后的第一次登陸是提示你修改密碼)
EXPIRED(GRACE)：當(dāng)設(shè)置了grace以后（第一次成功登錄后到口令到期后有多少天時間可改變口令,在這段時間內(nèi)，帳戶被提醒修改口令并可以正常登陸,account_status顯示為EXPIRED(GRACE).
LOCKED(TIMED)：這種狀態(tài)表示失敗的login次數(shù)超過了FAILED_LOGIN_ATTEMPTS，被系統(tǒng)自動鎖定，需要注意的是，在Oracle 10g中，默認(rèn)的DEFAULT值是10次.

EXPIRED & LOCKED：表示此賬戶被設(shè)置為口令到期且被鎖定。
EXPIRED(GRACE) & LOCKED(TIMED)：當(dāng)account_stutus為EXPIRED(GRACE)的時候，用戶又嘗試失敗的login次數(shù)超過了FAILED_LOGIN_ATTEMPTS，被系統(tǒng)自動鎖定
EXPIRED & LOCKED(TIMED)：當(dāng)設(shè)置了account expire后，用戶又失敗的login次數(shù)超過了FAILED_LOGIN_ATTEMPTS，被系統(tǒng)自動鎖定
EXPIRED(GRACE) & LOCKED：用戶account_status為EXPIRED(GRACE)后，又被DBA 手工鎖定帳戶后的狀態(tài)

下面通過實例操作來說明：

本人對oracle數(shù)據(jù)庫的profile文件進(jìn)行如下安全設(shè)置：（其中的FAILED_LOGIN_ATTEMPTS 6是對用戶嘗試失敗的登錄最大次數(shù)的限制，這里只允許最多嘗試失敗6次）

SQL>ALTER PROFILE DEFAULT LIMIT
 FAILED_LOGIN_ATTEMPTS 6
 PASSWORD_LIFE_TIME 60
 PASSWORD_REUSE_TIME 60
 PASSWORD_REUSE_MAX 5
 PASSWORD_VERIFY_FUNCTION verify_function_11g
 PASSWORD_LOCK_TIME 1/24
 PASSWORD_GRACE_TIME 90;

通過以下語句查詢當(dāng)前用戶的狀態(tài)：

SQL> select username,account_status from dba_users;

USERNAME            ACCOUNT_STATUS
------------------------------ --------------------------------

DBA_USER            OPEN
DBSNMP             OPEN
SYSMAN             OPEN
SCOTT             OPEN
FLOWS_FILES          EXPIRED & LOCKED
MDSYS             EXPIRED & LOCKED
WMSYS             EXPIRED & LOCKED
ORDDATA            EXPIRED & LOCKED
CTXSYS             EXPIRED & LOCKED
ANONYMOUS           EXPIRED & LOCKED

接下來使用賬號dba_user和scott,以錯誤的密碼嘗試連接數(shù)庫6次以上后，再查看數(shù)據(jù)庫用戶狀態(tài)：

SQL> select username,account_status from dba_users;

USERNAME            ACCOUNT_STATUS
------------------------------ --------------------------------

DBA_USER            EXPIRED(GRACE) & LOCKED(TIMED)
DBSNMP             OPEN
SYSMAN             OPEN
SCOTT              EXPIRED(GRACE) & LOCKED(TIMED)
FLOWS_FILES           EXPIRED & LOCKED
MDSYS              EXPIRED & LOCKED
WMSYS              EXPIRED & LOCKED
ORDDATA             EXPIRED & LOCKED
CTXSYS             EXPIRED & LOCKED
ANONYMOUS            EXPIRED & LOCKED

事實證明，當(dāng)用戶DBA_USER和SCOTT為EXPIRED(GRACE)的時候，用戶又嘗試失敗的login次數(shù)超過了FAILED_LOGIN_ATTEMPTS，被系統(tǒng)自動鎖定.

如果這兩個用戶為生產(chǎn)現(xiàn)網(wǎng)的業(yè)務(wù)賬戶的話，管理員不能及時發(fā)現(xiàn)問題或報警的話，將會造成業(yè)務(wù)中斷等嚴(yán)重的后果。

您可能感興趣的文章: