技巧:如何提升Oracle用户密码的安全性

环境:Oracle 11.2.0.4

客户需求:主要背景是数据库中有很多业务用户名,且由于部分用户缺乏安全意识,甚至直接将自己的密码设置为和用户名一样,目前客户期望密码设置不要过于简单,最起码别和用户名一致或相似就好。

  • 1.官方解决方案
  • 2.删减版解决方案
  • 3.测试验证方案
  • 4.用户最近一次的登录时间

1.官方解决方案

实际上Oracle提供有一个非常好用的安全校验函数,来提升用户密码的复杂性。这个在之前的文章《Oracle 11g 安全加固》中的“1.8.数据库密码安全性校验函数”章节就已经有了确切的解决方案,核心内容如下:

select limit from dba_profiles where profile=‘DEFAULT‘ and resource_name=‘PASSWORD_VERIFY_FUNCTION‘;

prompt =============================
prompt == 8.数据库密码安全性校验函数
prompt =============================
prompt 执行创建安全性校验函数的脚本
@?/rdbms/admin/utlpwdmg.sql

select limit from dba_profiles where profile=‘DEFAULT‘ and resource_name=‘PASSWORD_VERIFY_FUNCTION‘;

2.删减版解决方案

上面这个自带的安全性校验函数对检查过于严苛,而客户目前的需求就只有一个,不允许密码和用户名完全一样或过于相似就可以了。于是乎,我就从这个脚本中找到这项需求,把其他暂时不需要的部分全部去掉。这样,就得到了如下的删减版脚本:

Rem
Rem $Header: rdbms/admin/utlpwdmg1.sql /st_rdbms_11.2.0/1 2013/01/31 01:34:11 skayoor Exp $
Rem
Rem utlpwdmg.sql
Rem
Rem Copyright (c) 2006, 2013, Oracle and/or its affiliates.
Rem All rights reserved.
Rem
Rem    NAME
Rem      utlpwdmg.sql - script for Default Password Resource Limits
Rem
Rem    DESCRIPTION
Rem      This is a script for enabling the password management features
Rem      by setting the default password resource limits.
Rem
Rem    NOTES
Rem      This file contains a function for minimum checking of password
Rem      complexity. This is more of a sample function that the customer
Rem      can use to develop the function for actual complexity checks that the
Rem      customer wants to make on the new password.
Rem
Rem    MODIFIED   (MM/DD/YY)
Rem    skayoor     01/17/13 - Backport skayoor_bug-14671375 from main
Rem    asurpur     05/30/06 - fix - 5246666 beef up password complexity check
Rem    nireland    08/31/00 - Improve check for username=password. #1390553
Rem    nireland    06/28/00 - Fix null old password test. #1341892
Rem    asurpur     04/17/97 - Fix for bug479763
Rem    asurpur     12/12/96 - Changing the name of password_verify_function
Rem    asurpur     05/30/96 - New script for default password management
Rem    asurpur     05/30/96 - Created
Rem

-- This script sets the default password resource parameters
-- This script needs to be run to enable the password features.
-- However the default resource parameters can be changed based
-- on the need.
-- A default password complexity function is also provided.
-- This function makes the minimum complexity checks like
-- the minimum length of the password, password not same as the
-- username, etc. The user may enhance this function according to
-- the need.
-- This function must be created in SYS schema.
-- connect sys/<password> as sysdba before running the script

CREATE OR REPLACE FUNCTION verify_function_11G_WJZYY
(username varchar2,
  password varchar2,
  old_password varchar2)
  RETURN boolean IS
   n boolean;
   m integer;
   differ integer;
   isdigit boolean;
   ischar  boolean;
   ispunct boolean;
   db_name varchar2(40);
   digitarray varchar2(20);
   punctarray varchar2(25);
   chararray varchar2(52);
   i_char varchar2(10);
   simple_password varchar2(10);
   reverse_user varchar2(32);

BEGIN
   digitarray:= ‘0123456789‘;
   chararray:= ‘abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ‘;

   -- Check if the password is same as the username or username(1-100)
   IF NLS_LOWER(password) = NLS_LOWER(username) THEN
     raise_application_error(-20002, ‘Password same as or similar to user‘);
   END IF;
   FOR i IN 1..100 LOOP
      i_char := to_char(i);
      if NLS_LOWER(username)|| i_char = NLS_LOWER(password) THEN
        raise_application_error(-20005, ‘Password same as or similar to user name ‘);
      END IF;
    END LOOP;

   -- Everything is fine; return TRUE ;
   RETURN(TRUE);
END;
/

GRANT EXECUTE ON verify_function_11G_WJZYY TO PUBLIC;

-- This script alters the default parameters for Password Management
-- This means that all the users on the system have Password Management
-- enabled and set to the following values unless another profile is
-- created with parameter values set to different value or UNLIMITED
-- is created and assigned to the user.

ALTER PROFILE DEFAULT LIMIT
PASSWORD_LIFE_TIME 180
PASSWORD_VERIFY_FUNCTION verify_function_11G_WJZYY;

我们将这个脚本,遵守之前Oracle的命名方式,将其命名为utlpwdmg1.sql,放在同样的路径下。

这样,我们执行这个脚本就可以创建这个校验函数:

3.测试验证方案

将上面的删减版脚本进行测试并验证功能是否实现:

--执行脚本创建校验函数
@?/rdbms/admin/utlpwdmg1.sql
--确认执行成功
select limit from dba_profiles where profile=‘DEFAULT‘ and resource_name=‘PASSWORD_VERIFY_FUNCTION‘;
--将PASSWORD_LIFE_TIME修改为30(选做)
ALTER PROFILE DEFAULT LIMIT PASSWORD_LIFE_TIME 30;
--查询dba_profiles内容
select * from dba_profiles order by 1;
--查询用户状态和过期时间
select USERNAME, PASSWORD, ACCOUNT_STATUS, LOCK_DATE, EXPIRY_DATE from dba_users;

测试用户密码不能与用户名相同或者相似,否则会修改失败:

--密码与用户名一样,修改失败:
[email protected] >alter user jingyu identified by jingyu;
alter user jingyu identified by jingyu
*
ERROR at line 1:
ORA-28003: password verification for the specified password failed
ORA-20002: Password same as or similar to user

--密码与用户名相似,修改失败:
[email protected] >alter user jingyu identified by jingyu1;
alter user jingyu identified by jingyu1
*
ERROR at line 1:
ORA-28003: password verification for the specified password failed
ORA-20005: Password same as or similar to user name

--密码与用户名不一致,修改成功:
[email protected] >alter user jingyu identified by alfred;

User altered.

4.用户最近一次的登录时间

11g默认开启了审计,从aud$表中可以查到用户最近登录的时间:

--查询数据库时区
select property_value from database_properties where property_name=‘DBTIMEZONE‘;

--查询aud$表
select MAX(to_char(a.ntimestamp#, ‘YYYY-MM-DD HH24:MI:SS‘)) last_login,
       u.username
  from sys.aud$ a, dba_users u
 where a.USERID(+) = u.username
   and u.user_id > 90
 group by u.username
 ORDER BY 1;

结果示例:

[email protected] >select MAX(to_char(a.ntimestamp#, ‘YYYY-MM-DD HH24:MI:SS‘)) last_login,
  2         u.username
  3    from sys.aud$ a, dba_users u
  4   where a.USERID(+) = u.username
  5     and u.user_id > 90
  6   group by u.username
  7   ORDER BY 1;

LAST_LOGIN          USERNAME
------------------- ------------------------------
2018-04-17 07:16:46 JINGYU
                    TESTTESTTEST
                    XS$NULL

[email protected] >

上述查询结果LAST_LOGIN为空的用户,就是在审计中没有记录到该用户的登录信息。

原文地址:https://www.cnblogs.com/jyzhao/p/8866442.html

时间: 2024-10-16 15:12:10

技巧:如何提升Oracle用户密码的安全性的相关文章

【方法】Oracle用户密码含特殊字符时的登陆问题

[方法]Oracle用户密码含特殊字符时的登陆问题 1.1  BLOG文档结构图 1.2.2  相关文章链接 [密码]Oracle用户密码系列:http://blog.itpub.net/26736162/viewspace-2129595/ ------------------------------------------------------------------------- 第二章 实验部分 2.1  实验环境介绍 项目 source db db 类型 RAC db version

Oracle用户密码过期和用户被锁解决方法

[原因/触发因素] 确定是由于oracle11g中默认在default概要文件中设置了"PASSWORD_LIFE_TIME=180天"所导致. [影响和风险] 影响    密码过期后,业务进程连接数据库异常,影响业务使用.    问题发生频率    数据库密码过期后,业务进程一旦重启会提示连接失败. [解决方案] 按照如下步骤进行操作: 1.查看用户的proifle是哪个,一般是default: sql>SELECT username,PROFILE FROM dba_user

【密码】Oracle用户密码系列

[密码]Oracle用户密码系列 1.1  BLOG文档结构图 1.2  前言部分 1.2.1  导读和注意事项 各位技术爱好者,看完本文后,你可以掌握如下的技能,也可以学到一些其它你所不知道的知识,~O(∩_∩)O~: ① 用户的9种状态含义(重点) ② 如何解锁账户 ③ 如何修改密码无效状态 ④ 如何获取密码的密文,如何利用密文修改用户的密码(重点) ⑤ 如何查询失败的登陆次数 ⑥ 11g 密码大小写问题 ⑦ 11g 密码延迟验证 ⑧ 密码复杂性校验 Tips: ① 本文在itpub(htt

oracle用户密码有@符号连接方法

oracle用户密码不小心设置了带有"@"符号,正常登陆总是无法登陆,提示无法解析的连接字符串错误,其实解决办法很简单,转义即可,示例如下: exp system/\"[email protected]\"@localhost:1521/orcl conn system/\"[email protected]\"@localhost:1521/orcl

Oracle用户密码过期问题解决

一.用户密码即将过期,导致autotrace无法打开           如果用户密码即将过期,在登录数据库时会收到如下提示:           ERROR:            ORA-28002: the password will expire within 7 days           当然,此时密码还未真正过期,用户在收到错误提示后依然可以登录数据库.但是,如果当收到密码即将过期的提示,想要开启autotrace就会有问题. SQL> conn darren/darren ER

oracle 用户密码原则

今天在oracle数据库中修改用户密码的时候发现了一个下面的规律 1  密码只由字母组成,创建成功 SQL> alter user ics identified by password; User changed. 2 密码只由数字组成,创建成功 SQL> alter user ics identified by 123456; User changed. 3 密码由字母+数字组成,创建成功 SQL> alter user ics identified by password123; U

Oracle用户密码含有特殊字符应当如何处理

通常我们在设置Oracle密码时会将密码设置的比较复杂,一般有字母数字特殊符号组成但是在有特殊符号时,修改密码或着导入导出数据时会遇到麻烦,下文便是对该情况下的解释说明:本文以特殊符号"/"作为例子一.Linux环境,数据库为Oracle10g1.修改密码 [[email protected] oracle]$ sqlplus '/as sysdba' SQL*Plus: Release 10.2.0.1.0 - Production on Wed May 17 14:33:32 20

【纯干货、小技巧】遗忘MySQL用户密码怎么办?

遗忘MySQL用户密码怎么办? 在信息化社会,充分有效地管理和利用各类信息资源,是进行科学研究和决策管理的前提条件.数据库技术是管理信息系统.办公自动化系统.决策支持系统等各类信息系统的核心部分,是进行科学研究和决策管理的重要技术手段. 数据库,就是本身可视为电子化的文件柜--存储电子文件的处所,用户可以对文件中的数据进行新增.截取.更新.删除等操作. 数据库指的是以一定方式储存在一起.能为多个用户共享.具有尽可能小的冗余度的特点.是与应用程序彼此独立的数据集合. 即然是数据库那么就会存在管理数

Oracle用户密码过期的处理方法

受影响版本:Oracle11g以上版本. 导致密码消失的原因:Oracle 11g中默认的DEFAULT概要文件中口令有效期PASSWORD_LIFE_TIME默认值为180天. 当以客户端登陆Oracle提示ORA-28002,则基本可以确定登陆帐号已过有效期,使用具有DBA权限的帐号重置该帐号密码即可. 解决方法: 以下步骤以具有DBA权限用户操作 1.查看口令失效用户的profile文件 SQL>SELECT username,profile FROM dba_users; EM:服务器>