Oracle管理口令安全性和资源.ppt

管理口令安全性和资源 目标 完成这一课的学习后，您应该能达到下列目标： 使用配置文件管理口令 管理配置文件 使用配置文件控制资源的使用 获取有关配置文件、口令管理和资源的信息 配置文件 配置文件是口令和资源限制的指定集合。 通过 CREATE USER 或 ALTER USER 命令可以将配置文件分配给用户。 既可启用也可禁用配置文件。 配置文件可以与 DEFAULT 配置文件相关。 口令管理 启用口令管理 使用配置文件并将它们分配给用户，由此设立口令管理。 使用 CREATE USER 或 ALTER USER 命令可以对帐户进行锁定、解除锁定，或使帐户失效。 始终执行口令限制。 要启用口令管理，请以用户 SYS 的身份运行 utlpwdmg.sql 脚本。 口令帐户锁定 口令失效和过期 口令历史记录 口令校验 用户提供的口令函数 这个函数必须在 SYS 方案中创建，并且必须按如下方式指定： 口令校验函数 VERIFY_FUNCTION 最短为四个字符。 口令不应与用户名相同。 口令至少应该包含一个字母、一个数字和一个特殊字符。 新口令与旧口令相比，应至少有三个字母不同。 创建配置文件：口令设置 改变配置文件：口令设置 删除配置文件：口令设置 资源管理 可以在会话级、调用级或同时在这两个级别上执行资源管理限制。 通过使用 CREATE PROFILE 命令创建的配置文件可以定义限制。 通过以下方法可启用资源限制： RESOURCE_LIMIT 初始化参数 ALTER SYSTEM 命令 启用资源限制 将初始化参数 RESOURCE_LIMIT 设置为 TRUE。 使用 ALTER SYSTEM 命令启用资源限制参数也可以执行该限制。 在会话级设置资源限制 在调用级设置资源限制 创建配置文件：资源限制 获取口令和资源限制信息 可以通过查询以下视图来获取有关口令和资源限制的信息： DBA_USERS DBA_PROFILES 小结 在这一课中，您应该能够掌握： 管理口令 管理配置文件 口令失效和过期 PASSWORD_LIFE_TIME 参数设置口令的最长生存期，此生存期过后必须更改口令。 数据库管理员可以指定一个宽限期 (PASSWORD_GRACE_TIME)，此宽限期从口令失效后第一次试图登录到数据库开始算起。宽限期内，用户每次试图登录到数据库时都生成一条警告消息。用户应在宽限期内更改口令。 如未更改口令，将锁定帐户。 如果通过显式设置让口令失效，用户帐户状态便更改为 EXPIRED。 口令历史记录 口令历史记录检查可确保用户在指定的时间间隔内不能重新使用口令。可使用下列参数之一执行检查： PASSWORD_REUSE_TIME：指定用户在规定的天数内不能重新使用口令 PASSWORD_REUSE_MAX：强制用户定义与前一口令不同的口令 如果一个参数设置成 DEFAULT 或 UNLIMITED 以外的值，则另一个参数必须设置为 UNLIMITED。 口令校验 向用户分配新口令前，可以调用 PL/SQL 函数校验口令的有效性。 Oracle 服务器提供缺省的校验例行程序，数据库管理员也可以编写 PL/SQL 函数。 用户提供的口令函数 添加新的口令校验函数时，数据库管理员必须考虑下列限制： 此过程必须使用幻灯片中显示的说明。 成功时此过程返回 TRUE 值，失败时返回 FALSE 值。 如果口令函数产生异常错误，将返回错误消息并终止 ALTER USER 或 CREATE USER 命令。 口令函数由 SYS 所有。 如果口令函数无效，则返回错误消息并终止 ALTER USER 或 CREATE USER 命令。 注：有关 CREATE USER 的详细信息，请参考 “管理用户” 一课。 口令校验函数 Oracle 服务器以缺省的 PL/SQL 函数的形式（在脚本 utlpwdmg.sql 中称为 VERIFY_FUNCTION）提供了复杂性校验函数，它必须在 SYS 方案中运行。 执行脚本 utlpwdmg.sql 的过程中，Oracle 服务器使用下面的 ALTER PROFILE 命令创建 VERIFY_FUNCTION 并更改 DEFAULT 配置文件： SQL ALTER PROFILE DEFAULT LIMIT 2 PASSWORD_LIFE_TIME 60 3 PASSWORD_GRACE_TIME 10 4 PASSWORD_REUSE_TIME 1800 5 PASSWORD_REUSE_MAX UNLIMITED 6 F