Oracle数据库口令策略.doc

Oracle口令和资源管理 　　1、Profiles: 概要文件，包含一些对口令和资源限制的一个命名的集合。通过CREATE USER 或 ALTER USER 命令来指定用户。它可以是enabled 或 disabled。可以参考default profile（默认，资源和口令没有做任何限定）。 　　sqlcreate user test 　　 identified by test; //用户和口令都是test 　　 　　 　　 　　2、口令管理：Account locking Password history Password expiration and aging 口令生命周期和过期时间Password verification 设定口令的复杂性（符号等）用户 　　 　　口令限制是一直保持的。使用 CREATE USER or Lock，unlock ,expire accounts 这些命令 　　sql alter user test account lock; //帐号锁定 　　sqlalter user test account unlock; //帐号解锁 　　sqlalter user test password expire; //口令到期 　　 　　（1）口令帐号锁定：FAILED_LOGIN_ATTEMPTS 在帐号被锁之前登录尝试的失败次数 ，PASSWORD_LOCK_TIME 在尝试失败登录达到一定的次数后帐号被锁定的时间（单位：1天），超过这个时间将自动解锁。 　　sqlcreate profile profile1 limit 　　 password_lock_time 1/1440 　　 failed_login_attempts 3; //配置文件profile1已创建 　　 　　sqlalter user kong profile profile1; //将用户kong使用配置文件profile1 　　 　　sqlconn kong/kkk //ERROR 　　sqlconn kong/kxf //ERROR 　　sqlconn kong/kkk //ERROR 　　sqlconn kong/111 //the account is locked 帐号已被锁定（登录失败3次后帐号自动锁定） 　　 　　sqlalter profile profile1 limit 　　 password_lock_time 1/1440; //表示1分钟后锁定的帐号将自动解锁（1/60*1/24） 　　 　　sqlconn kong/kxf; 　　 　　（2）口令生存周期和失效后允许改变的时间：PASSWORD_LIFE_TIME 口令的生存周期（口令经过多少天后会提示到期）/ PASSWORD_GRACE_TIME 失效后锁定，即设定几天后锁定。 　　sqlalter profile profile1 limit 　　 password_life_time 2 //口令经过2天后会提示到期 　　 password_grace_time 3; //口令到期的3天后被锁定，这3天内可以对口令做改变。 　　 　　 　　（3）保留口令历史记录： PASSWORD_REUSE_TIME 保留时间（几天）/ PASSWORD_REUSE_MAX 保留最多重用次数（几次） 　　注意：PASSWORD_REUSE_TIME 和PASSWORD_REUSE_MAX 是复式的，可以都指定但只有一个生效） 　　sql alter profile profile1 limit 　　 password_reuse_time 10 //口令保留10天 　　 password_reuse_max 3; //口令最多重用3次 　　 　　（4）启用口令复杂性函数：PASSWORD_VERIFY_FUNCTION(PL/SQL函数在口令被设定前做一个口令复杂性检查) 　　满足条件：函数必须建立在SYS 作为owner下,Boolean函数返回的值是个boolean值。函数中三个参数必须是输入参数（用户ID，新口令，旧口令），并且是VARCHAR2类型和30个字符。 　　function_name(userid_parameter IN VARCHAR2(30),password_parameter IN VARCHAR2(30),old_password_paramemter IN VARCHAR2(30)) RETURN BOOLEAN 　　 　　 　　 　　Oracle给了一个默认的口令验证函数：VERIFY_FUNCTION（） 　　 　　步骤：conn sys 连接 run一个脚本：utlpwdmg.sql ORACLE