ORACLE安全设置.doc

目录 一、保护ORACLE数据库的安全 1 二、ORACLE高效分页存储过程代码 7 一、保护ORACLE数据库的安全1、?调整默认的安全设置 最小权限原则 1.1??默认的用户 查询用户及用户账号状态 Select username, account_status from dba_users; SYS, SYSTEM, DBSNMP, SYSMAN这四个默认账号一般为可用，其他都不可用。 1.2??Public权限 Public是oracle的伪用户。只要为public授予权限，那么所有的用户都会被授予此权限。 取消权限： Revoke execute on utl_file from public; 1.3??危险的程序包 。UTL_FILE:允许用户读写操作系统用户可访问的，运行oracle进程的任何文件和目录。 。UTL_TCP：允许用户为了连接网络中所有可访问的地址而打开服务器机器上的tcp端。 。UTL_SMTP：允许用户发送邮件信息。 。UTL_HTTP：允许用户发送http消息和接收响应。 2、?实例参数 2.1 UTL_FILE_DIR(default: null)：允许PLSQL通过UTL_FILE来访问服务器的系统。 2.2 REMOTE_OS_AUTHENT(default: false) AND OS_AUTHENT_PREFIX(default: ops$) REMOTE_OS_AUTHENT：控制某个用户是否能够在不需要给出口令的情况下从远程计算机上连接数据库。这个已过时了。 OS_AUTHENT_PREFIX：操作系统名被映射为oracle用户名之前必须应用这个前缀。 2.3 O7_DICTIONARY_ACCESSIBILITY(default: false)：控制使用ANY关键字授予对象权限的效果。 2.4 REMOTE_LOGIN_PASSWORDFILE：控制具有SYSDBA权限的用户是否能够通过网络连接实例。 3、?口令配置文件 口令配置文件是否启用与RESOURCE_LIMIT设置为TRUE无关。这个参数与资源配置文件有关。 3.1口令配置文件的限制 查询口令配置文件 Select * from dba_profiles where profile=’default’; 口令限制参数 FAILED_LOGIN_ATTEMPS:连接使用不正确口令请求连接的次数达到这个限制后，账户会被锁定。 PASSWORD_LOCK_TIME：账户被锁定的天数。 PASSWORD_LIFE_TIME：提示用户修改口令之前需要经过的天数。 PASSWORD_GRACE_TIME：宽限期。 PASSWORD_REUSE_TIME：需要多长时间才能重用某口令 PASSWORD_REUSE_MAX：口令被重用的次数。 PASSWORD_VERIFY_FUNCTION：对修改的口令进行复杂度检查。 3.2口令验证功能 需要执行utlpwdmg.sql命令 3.3创建、指派和修改口令配置文件 示例： 创建口令配置文件 SQL CREATE PROFILE STRICT LIMIT CPU_PER_SESSION DEFAULT 2 CPU_PER_CALL DEFAULT 3 CONNECT_TIME DEFAULT 4 IDLE_TIME DEFAULT 5 SESSIONS_PER_USER DEFAULT 6 LOGICAL_READS_PER_SESSION DEFAULT 7 LOGICAL_READS_PER_CALL DEFAULT 8 PRIVATE_SGA DEFAULT 9 COMPOSITE_LIMIT DEFAULT 10 PASSWORD_LIFE_TIME 14 11 PASSWORD_GRACE_TIME 3 12 PASSWORD_REUSE_MAX 1 13 PASSWORD_REUSE_TIME UNLIMITED 14 PASSWORD_LOCK_TIME 1/1440 15 FAILED_LOGIN_ATTEMPTS 2 16 PASSWORD_VERIFY_FUNCTION DEFAULT 17 / 配置文件已创建 指派和修改配置文件 SQL ALTER USER TIM PROFILE STRICT PASSWORD EXPIRE; 用户已更改。 4、?审计 无论策略多么完善，总是存在使用一个策略并不足够的场合。 4.1 SYSDBA审计：为了使雇主相信dba不会滥用权利，有必要对dba进行审计。 AUDIT_SYS_OPERATIONS参数设置为TRUE,DBA就会被审计，审计的记录会被写入到操作系统的审计追踪。 4.