提升Oracle用户密码安全性的策略

环境:Oracle 11.2.0.4

客户需求:主要背景是数据库中有很多业务用户名,且由于部分用户缺乏安全意识,甚至直接将自己的密码设置为和用户名一样,目前客户期望密码设置不要过于简单,最起码别和用户名一致或相似就好。

1.官方解决方案

实际上Oracle提供有一个非常好用的安全校验函数,来提升用户密码的复杂性。这个在之前的文章《Oracle 11g 安全加固》中的“1.8.数据库密码安全性校验函数”章节就已经有了确切的解决方案,核心内容如下:

select limit from dba_profiles where profile='DEFAULT' and resource_name='PASSWORD_VERIFY_FUNCTION';
prompt =============================
prompt == 8.数据库密码安全性校验函数
prompt =============================
prompt 执行创建安全性校验函数的脚本
@?/rdbms/admin/utlpwdmg.sql
 select limit from dba_profiles where profile='DEFAULT' and resource_name='PASSWORD_VERIFY_FUNCTION';

2.删减版解决方案

上面这个自带的安全性校验函数对检查过于严苛,而客户目前的需求就只有一个,不允许密码和用户名完全一样或过于相似就可以了。于是乎,我就从这个脚本中找到这项需求,把其他暂时不需要的部分全部去掉。这样,就得到了如下的删减版脚本:

Rem
Rem $Header: rdbms/admin/utlpwdmg1.sql /st_rdbms_11.2.0/1 2013/01/31 01:34:11 skayoor Exp $
Rem
Rem utlpwdmg.sql
Rem
Rem Copyright (c) 2006, 2013, Oracle and/or its affiliates.
Rem All rights reserved.
Rem
Rem NAME
Rem  utlpwdmg.sql - script for Default Password Resource Limits
Rem
Rem DESCRIPTION
Rem  This is a script for enabling the password management features
Rem  by setting the default password resource limits.
Rem
Rem NOTES
Rem  This file contains a function for minimum checking of password
Rem  complexity. This is more of a sample function that the customer
Rem  can use to develop the function for actual complexity checks that the
Rem  customer wants to make on the new password.
Rem
Rem MODIFIED (MM/DD/YY)
Rem skayoor  01/17/13 - Backport skayoor_bug-14671375 from main
Rem asurpur  05/30/06 - fix - 5246666 beef up password complexity check
Rem nireland 08/31/00 - Improve check for username=password. #1390553
Rem nireland 06/28/00 - Fix null old password test. #1341892
Rem asurpur  04/17/97 - Fix for bug479763
Rem asurpur  12/12/96 - Changing the name of password_verify_function
Rem asurpur  05/30/96 - New script for default password management
Rem asurpur  05/30/96 - Created
Rem
-- This script sets the default password resource parameters
-- This script needs to be run to enable the password features.
-- However the default resource parameters can be changed based
-- on the need.
-- A default password complexity function is also provided.
-- This function makes the minimum complexity checks like
-- the minimum length of the password, password not same as the
-- username, etc. The user may enhance this function according to
-- the need.
-- This function must be created in SYS schema.
-- connect sys/<password> as sysdba before running the script
CREATE OR REPLACE FUNCTION verify_function_11G_WJZYY
(username varchar2,
 password varchar2,
 old_password varchar2)
 RETURN boolean IS
 n boolean;
 m integer;
 differ integer;
 isdigit boolean;
 ischar boolean;
 ispunct boolean;
 db_name varchar2(40);
 digitarray varchar2(20);
 punctarray varchar2(25);
 chararray varchar2(52);
 i_char varchar2(10);
 simple_password varchar2(10);
 reverse_user varchar2(32);
BEGIN
 digitarray:= '0123456789';
 chararray:= 'abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ';
 -- Check if the password is same as the username or username(1-100)
 IF NLS_LOWER(password) = NLS_LOWER(username) THEN
  raise_application_error(-20002, 'Password same as or similar to user');
 END IF;
 FOR i IN 1..100 LOOP
  i_char := to_char(i);
  if NLS_LOWER(username)|| i_char = NLS_LOWER(password) THEN
  raise_application_error(-20005, 'Password same as or similar to user name ');
  END IF;
 END LOOP;
 -- Everything is fine; return TRUE ;
 RETURN(TRUE);
END;
/
GRANT EXECUTE ON verify_function_11G_WJZYY TO PUBLIC;
-- This script alters the default parameters for Password Management
-- This means that all the users on the system have Password Management
-- enabled and set to the following values unless another profile is
-- created with parameter values set to different value or UNLIMITED
-- is created and assigned to the user.
ALTER PROFILE DEFAULT LIMIT
PASSWORD_LIFE_TIME 180
PASSWORD_VERIFY_FUNCTION verify_function_11G_WJZYY;

我们将这个脚本,遵守之前Oracle的命名方式,将其命名为utlpwdmg1.sql,放在同样的路径下。

这样,我们执行这个脚本就可以创建这个校验函数:

3.测试验证方案

将上面的删减版脚本进行测试并验证功能是否实现:

--执行脚本创建校验函数
@?/rdbms/admin/utlpwdmg1.sql
--确认执行成功
select limit from dba_profiles where profile='DEFAULT' and resource_name='PASSWORD_VERIFY_FUNCTION';
--将PASSWORD_LIFE_TIME修改为30(选做)
ALTER PROFILE DEFAULT LIMIT PASSWORD_LIFE_TIME 30;
--查询dba_profiles内容
select * from dba_profiles order by 1;
--查询用户状态和过期时间
select USERNAME, PASSWORD, ACCOUNT_STATUS, LOCK_DATE, EXPIRY_DATE from dba_users;

测试用户密码不能与用户名相同或者相似,否则会修改失败:

--密码与用户名一样,修改失败:
SYS@jyzhao1 >alter user jingyu identified by jingyu;
alter user jingyu identified by jingyu
*
ERROR at line 1:
ORA-28003: password verification for the specified password failed
ORA-20002: Password same as or similar to user
--密码与用户名相似,修改失败:
SYS@jyzhao1 >alter user jingyu identified by jingyu1;
alter user jingyu identified by jingyu1
*
ERROR at line 1:
ORA-28003: password verification for the specified password failed
ORA-20005: Password same as or similar to user name
--密码与用户名不一致,修改成功:
SYS@jyzhao1 >alter user jingyu identified by alfred;
User altered.

4.用户最近一次的登录时间

11g默认开启了审计,从aud$表中可以查到用户最近登录的时间:

--查询数据库时区
select property_value from database_properties where property_name='DBTIMEZONE';
--查询aud$表
select MAX(to_char(a.ntimestamp#, 'YYYY-MM-DD HH24:MI:SS')) last_login,
  u.username
 from sys.aud$ a, dba_users u
 where a.USERID(+) = u.username
 and u.user_id > 90
 group by u.username
 ORDER BY 1;

结果示例:

SYS@jyzhao1 >select MAX(to_char(a.ntimestamp#, 'YYYY-MM-DD HH24:MI:SS')) last_login,
 2   u.username
 3 from sys.aud$ a, dba_users u
 4 where a.USERID(+) = u.username
 5  and u.user_id > 90
 6 group by u.username
 7 ORDER BY 1;
LAST_LOGIN   USERNAME
------------------- ------------------------------
2018-04-17 07:16:46 JINGYU
     TESTTESTTEST
     XS$NULL
SYS@jyzhao1 >

上述查询结果LAST_LOGIN为空的用户,就是在审计中没有记录到该用户的登录信息。

总结

以上所述是小编给大家介绍的提升Oracle用户密码安全性的策略,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对我们网站的支持!

(0)

相关推荐

  • Oracle 11g实现安全加固的完整步骤

    前言 数据库安全配置中,需要做相关的安全加固工作.以确认数据库的安全,但是,有些时候,操作不当或者数据库业务账号修改密码后,而程序的连接数据库的配置封装在jar里,如果jar内的连接数据库的配置信息没有做相应的修改的话.就会对数据库的此业务账号造成严重的后果. 本文将详细介绍关于Oracle 11g安全加固的相关内容,分享出来供大家参考学习,下面话不多说了,来一起看看详细的介绍吧 1.安全加固的检查方向 1.1.sysdba用户远程登录限制(查看Oracle登录认证方式) 检查: show pa

  • oracle 11g数据库安全加固注意事项

    数据库安全配置中,需要做相关的安全加固工作.以确认数据库的安全,但是,有些时候,操作不当或者数据库业务账号修改密码后,而程序的连接数据库的配置封装在jar里,如果jar内的连接数据库的配置信息没有做相应的修改的话.就会对数据库的此业务账号造成严重的后果. 因此,真正了解Oracle安全数据库用户的状态,就显得尤为重要了.下面我们就看一下oracle数据库中的多种用户状态. ORACLE数据库用户有多种状态,可查看视图USER_ASTATUS_MAP. SQL> col status for a3

  • Oracle数据库安全策略分析 (三)第1/2页

    正在看的ORACLE教程是:Oracle数据库安全策略分析 (三). 数据的安全性策略: 数据的生考虑应基于数据的重要性.如果数据不是很重要,那么数据的安全性策略可以稍稍放松一些.然而,如果数据很重要,那么应该有一谨慎的安全性策略,用它来维护对数据对象访问的有效控制. 用户安全性策略: (1) 一般用户的安全性 A 密码的安全性 如果用户是通过数据库进行用户身份的确认,那么建议使用密码加密的方式与数据库进行连接. 这种方式的设置方法如下: 在客户端的oracle.ini文件中设置 ora_enc

  • Oracle数据库的安全策略

    正在看的ORACLE教程是:Oracle数据库的安全策略. ---- Oracle是关系型数据库管理系统,它功能强大.性能卓越,在当今大型数据库管理系统中占有重要地位.在我们开发的一MIS系统中,选用了Oracle7.3数据库.在正常情况下,Oracle数据库会保证数据的安全.稳定,为用户提供正确的数据,但由于计算机系统的故障(硬件故障.软件故障.网络故障和系统故障)影响数据库系统的操作,影响数据库中数据的正确性,甚至破坏数据库,使数据库中全部或部分数据丢失,整个系统都将处于瘫痪状态.因此,如何

  • Oracle数据安全面面观

    正在看的ORACLE教程是:Oracle数据安全面面观. Oracle数据安全面面观 作者:づ★sl战神    随着计算机的普及以及网络的发展,数据库已经不再仅仅是那些程序员所专有的话题.而Oracle数据库更是凭借其性能卓越,操作方便灵活的特点,在数据库的市场中已经占据了一席之地.但是同样随着网络技术的不断进步,数据信息的不断增加,数据安全已经不再是以前的"老生长谈",也更不是以前书本上那些"可望不可及"的条条框框.    或许很久以前,大家都觉得Oracle数据

  • Oracle数据库安全策略

    正在看的ORACLE教程是:Oracle数据库安全策略. 随着计算机网络应用的普及和提高,Oracle数据库应用在各个领域日新月异,它性能优异,操作灵活方便,是目前数据库系统中受到广泛青睐的几家之一.然而,随着应用的深入,数据信息的不断增加,数据库的安全性问题已提到了一个十分重要的议事日程上,它是数据库管理员日常工作中十分关注的一个问题.由于计算机软.硬件故障,导致数据库系统不能正常运转,造成大量数据信息丢失,甚至使数据库系统崩溃.为此,笔者围绕如何保证Oracle数据库具有较高的安全性,使数据

  • Oracle数据库安全策略分析(二)

    正在看的ORACLE教程是:Oracle数据库安全策略分析(二). SQL*DBA命令的安全性: 如果您没有SQL*PLUS应用程序,您也可以使用SQL*DBA作SQL查权限相关的命令只能分配给Oracle软件拥有者和DBA组的用户,因为这些命令被授予了特殊的系统权限. (1) startup (2) shutdown (3) connect internal 数据库文件的安全性: Oracle软件的拥有者应该这些数据库文件($ORACLE_HOME/dbs/*.dbf)设置这些文件的使用权限为

  • Oracle监听口令及监听器安全详解

    很多Oracle用户都知道,Oracle的监听器一直存在着一个安全隐患,假如对此不设置安全措施,那么能够访问的用户就可以远程关闭监听器. 相关示例如下: D:>lsnrctl stop eygle LSNRCTL for 32-bit Windows: Version 10.2.0.3.0 - Production on 28-11月-2007 10:02:40 Copyright (c) 1991, 2006, Oracle. All rights reserved. 正在连接到 (DESCR

  • Oracle数据库安全策略分析(一)第1/2页

    正在看的ORACLE教程是:Oracle数据库安全策略分析(一). 数据库安全性问题一直是围绕着数据库管理员的恶梦,数据库数据的丢失以及数据库被非法用户的侵入使得数据库管理员身心疲惫不堪.围绕数据库的安全性问题提出了一些安全性策略,希望对数据库管理员有所帮助.对于数据库数据的安 全问题,数据库管理员可以参考有关系统双机热备份功能以及数据库的备份和恢复的资料. 一.组和安全性: 在操作系统下建立用户组也是保证数据库安全性的一种有效方法.Oracle程序为了安全性目的一般分为两类:一类所有的用户都可

  • 提升Oracle用户密码安全性的策略

    环境:Oracle 11.2.0.4 客户需求:主要背景是数据库中有很多业务用户名,且由于部分用户缺乏安全意识,甚至直接将自己的密码设置为和用户名一样,目前客户期望密码设置不要过于简单,最起码别和用户名一致或相似就好. 1.官方解决方案 实际上Oracle提供有一个非常好用的安全校验函数,来提升用户密码的复杂性.这个在之前的文章<Oracle 11g 安全加固>中的"1.8.数据库密码安全性校验函数"章节就已经有了确切的解决方案,核心内容如下: select limit f

  • Oracle 用户密码有效期的sql语句

    废话不多说了,直接给大家写sql语句了,当然写法还有很多种,我也只是给大家分享其中的一种解决办法,有不同见解的可以留言哦. oracle的密码是存在有效期的,有时候会遇到密码到期需要重设的情况,查看当前密码有效期的语句: SELECT * FROM dba_profiles s WHERE s.profile='DEFAULT' AND resource_name='PASSWORD_LIFE_TIME'; 将密码的时间限制改为无限制: ALTER PROFILE DEFAULT LIMIT P

  • Oracle用户密码设为不过期的两种方法

    1.在SQL Plus下,以DBA身份登陆 用户名/密码@服务器SID as sysdba 方法一:(注意必须用双引号把后面的引上) C:/Documents and Settings/ssy>sqlplus sys/system@test as sysdba SQL*Plus: Release 9.2.0.1.0 - Production on 星期一 3月 17 18:01:41 2008 Copyright (c) 1982, 2002, Oracle Corporation. All r

  • Oracle用户密码过期和用户被锁的解决方法

    今天正在上班的过程中,客户反映了他们的系统登录不了,经过我的一番检查,发现是因为数据库密码过期导致的,在网上查找相关资料发现还真有此种情况发生,在此顺便做了个整理,以便共同交流! 产生原因: 在oracle11g中默认在default概要文件中设置了"PASSWORD_LIFE_TIME=180天"所导致. 在oracle11g中默认在default概要文件中设置了"FAILED_LOGIN_ATTEMPTS=10次",当输入密码错误次数达到设置值将导致此问题. 解

  • Oracle用户密码含有特殊字符导致无法登陆解决方法

    今天碰到一个比较奇怪的问题: 在客户端上使用sqlplus用普通用户可以登录,但是system以及sys用户均无法登录,提示ORA-12154: TNS: 无法解析指定的连接标识符 SQL> conn system@webdata 输入口令: ERROR: ORA-12154: TNS: 无法解析指定的连接标识符 SQL> conn xgplat@webdata 输入口令: 已连接. 本来以为客户端是32位的缘故,就在oracle服务器上用sqlplus登录,也还是一样 SQL> con

  • Oracle用户密码含特殊字符时登陆失败问题

    当Oracle数据库用户的密码含特殊字符如 @ 时,直接使用正常的密码输入,由于oracle将@后的字符解析为网络服务名而导致登陆失败 如下演示 用户名为:wang密码为:oracle@1网络服务名为:sun 的情况: Linux平台:'wang/"oracle@1"'@sun --1个双引号扩密码,1个单引号扩 用户名+密码,即: '用户名/"密码"'@服务名 [11:41:14oracle@dvd adump]$sqlplus wang/oracle@1@sun

  • Oracle数据库用户密码过期的解决方法

    目录 问题现象: 问题分析: 解决方法: 总结 问题现象: 今天在更改数据库数据的时候,程序报错了,如下: ORA-28001:the password has expired 问题分析: 很显然,报错原因就是: 密码已过期! 所以现在需要做的事情只有两件: 1.修改密码的过期时间 2.修改/重置密码 这里分析一下为什么要这样做: 1.修改密码的过期时间:这是因为Oracle Database 11g 版本的Oracle数据库有一项默认配置,就是密码过期时间默认为180天(6个月左右): 通过s

  • Oracle数据库密码文件的使用和维护

    正在看的ORACLE教程是:Oracle数据库密码文件的使用和维护.概要:Oracle关系数据库系统以其卓越的性能获得了广泛的应用,而保证数据库的安全性是数据库管理工作的重要内容.本文是笔者在总结Oracle数据库安全管理工作的基础上,对Oracle数据库系统密码文件的创建.使用和维护作了详细的介绍,供大家参考. 关键词:Oracle数据库 密码文件 在Oracle数据库系统中,用户如果要以特权用户身份(INTERNAL/SYSDBA/SYSOPER)登录Oracle数据库可以有两种身份验证的方

  • Oracle数据库密码文件的使用与维护

    正在看的ORACLE教程是:Oracle数据库密码文件的使用与维护.概要:Oracle关系数据库系统以其卓越的性能获得了广泛的应用,而保证数据库的安全性是数据库管理工作的重要内容.本文是笔者在总结Oracle数据库安全管理工作的基础上,对Oracle数据库系统密码文件的创建.使用和维护作了详细的介绍,供大家参考. 关键词:Oracle数据库密码文件 在Oracle数据库系统中,用户如果要以特权用户身份(INTERNAL/SYSDBA/SYSOPER)登录Oracle数据库可以有两种身份验证的方法

  • 详解MySQL的用户密码过期功能

    Payment Card Industry,即支付卡行业,PCI行业表示借记卡.信用卡.预付卡.电子钱包.ATM和POS卡及相关的业务. PCI DSS,即PCI数据安全标准(Payment Card Industry Data Security Standard)是由PCI安全标准委员会制定,旨在使国际上采用一致的数据安全措施. PCI DSS标准要求用户每隔90天必须更改他们的密码.那么MySQL数据库该怎样适应这个情况?幸运的是,在MySQL版本5.6.6版本起,添加了password_e

随机推荐