中文字幕av专区_日韩电影在线播放_精品国产精品久久一区免费式_av在线免费观看网站

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

ORACLE11g密碼安全與過期策略

發布時間:2020-08-18 22:02:22 來源:ITPUB博客 閱讀:333 作者:ericwen2015 欄目:關系型數據庫


數據庫安全問題一直是人們關注的焦點之一,我們知道一個企業或者機構的數據庫如果遭到黑客的攻擊,而這些數據庫又保存著非常重要的數據,象銀行、通信等數據庫,后果將不堪設想。oracle數據庫使用了多種手段來保證數據庫的安全性,如密碼,角色,權限等等,今天我們來詳細的來闡述一下關于oracle的密碼問題,當然我們今天來詳細說的并不是oracle的安全密碼機制如何的強大等等,恰恰相反我們需要說明的是當我們在oracle密碼過期后如何在不修改密碼的情況下,使密碼重新有效。

在介紹前我們先來說一個案例,某客戶數據庫做安全加固,針對profile修改了部分password的安全機制,其中最重要的一點就是設置了PASSWORD_LIFE_TIME(該參數設定密碼過期時間)這一個參數,而當該參數設置完后,客戶又沒有根據設定的安全機制指定一個良好的人工密碼周期性管理策略,隨著PASSWORD_LIFE_TIME 參數所設定的時間到期后,數據庫將該用戶locked,導致業務無法正常連接,從理論上來說,密碼既然過期了,那么重置密碼是唯一的手段,但是從一定程度上來說,重置密碼意味著大量的中間件需要去修改,對于業務邏輯不熟悉的人來說,還是存在必然的風險,檢查后發現客戶并沒有設置PASSWORD_REUSE_TIME(該參數設定為相同密碼重用時間),既然該參數并沒有設置,那么我們可以考慮通過一個臨時密碼來作為中間密碼,通過中間密碼進一步重新設置原密碼。但是這時候又一個問題出現了,客戶并不知道該業務用戶密碼。這又從一定程度上給問題的解決造成了麻煩。本節通過一個較為巧妙的方法來重置oracle的密碼。


 
n 概念普及
在詳細說明本節內容的情況下,需要普及一些小的知識點,oracle在對于密碼有效期等問題的管理上通過profile文件來進行管理。并默認一個default的profile文件,在oracle 9i以及以前版本,oracle對于默認的default profile文件參數值均為UNLIMITED,在10g版本中,將FAILED_LOGIN_ATTEMPTS的值默認設置為10次,也就是說在連續10次輸入錯誤密碼后,oracle將鎖定該用戶,直到用戶被解鎖為止。從11g開始,oracle對密碼文件的管理策略增加了很多,很多之前被設置了UNLIMITED的參數,在11g中都定義了相應的值,雖然這一新特性增加了oracle密碼的安全機制,但是也從一定程度上對我們管理產生影響。首先我們來說明一下oracle的profile 中關于密碼這一部分的內容。(該默認的profile取自oracle11g環境)
 


SQL> select * from dba_profiles where profile='DEFAULT' and RESOURCE_NAME like 'PASSWORD_%';                                                                   

PROFILE   RESOURCE_NAME            RESOURCE LIMIT    

--------- --------------------------------- ----------

DEFAULT   PASSWORD_LIFE_TIME       PASSWORD 180       

DEFAULT   PASSWORD_REUSE_TIME      PASSWORD UNLIMITED

DEFAULT   PASSWORD_REUSE_MAX       PASSWORD UNLIMITED

DEFAULT   PASSWORD_VERIFY_FUNCTION PASSWORD NULL     

DEFAULT   PASSWORD_LOCK_TIME       PASSWORD 1         

DEFAULT   PASSWORD_GRACE_TIME      PASSWORD 7       

 

詳細解釋一下以上參數值:
PASSWORD_LIFE_TIME 180 --口令的生命周期,超過這段時間口令可能會自動過期,是否過期要看是否設定了PASSWORD_GRACE_TIME

PASSWORD_GRACE_TIME 7 --接著PASSWORD_LIFE_TIME特性,如果PASSWORD_LIFE_TIME的期限已到,那么PASSWORD_GRACE_TIME 的設置是對口令生命周期的一個grace(寬限或者延續),口令到期之后,繼續可以使用的天數,在這段時間內如果我們登錄系統,會有提示,提示系統在幾天內過期

 

PASSWORD_REUSE_TIME  UNLIMITED --這個特性限制口令在多少天內不能重復使用,默認值為UNLIMITED

 

PASSWORD_REUSE_MAX UNLIMITED --這個特性是針對PASSWORD_REUSE_TIME的,說明要想在PASSWORD_REUSE_TIME這個參數指定的時間內重復使用當前口令,那么至少需要修改過口令的次數(修改過的口令當然肯定需要和當前口令不同,因為畢竟還有PASSWORD_REUSE_TIME 特性的限制)

 

FAILED_LOGIN_ATTEMPTS 10  --這個比較好理解,不知道口令的話嘗試登錄的次數,達到這個次數之后賬戶被自動鎖定

 

PASSWORD_LOCK_TIME 1 --接著FAILED_LOGIN_ATTEMPTS參數,口令被自動鎖定的時間,達到這個時間之后,下次登錄時系統自動解除對這個賬戶的鎖定

 

以上即為oracle對于profile中密碼管理的一些參數解釋。

 

接下來我們來說明一下oracle中關于用戶鎖定的狀態

SQL> select username,account_status,profile from dba_users;

 

USERNAME     ACCOUNT_STATUS      PROFILE

--------------------------------------------

SYSTEM       OPEN                DEFAULT

SYS          OPEN                DEFAULT

TEST3        OPEN                DEFAULT

SCOTT        OPEN                DEFAULT

TEST2        EXPIRED(GRACE)      PROFILE2

TEST         EXPIRED(GRACE)      DEFAULT

MGMT_VIEW    EXPIRED & LOCKED    DEFAULT

 

ORACLE數據庫用戶有多種狀態,可查看視圖USER_ASTATUS_MAP。

SQL>select * from user_astatus_map;

STATUS# STATUS

-------- ------------------------------

      0 OPEN

      1 EXPIRED

      2 EXPIRED(GRACE)

      4 LOCKED(TIMED)

      8 LOCKED

      5 EXPIRED & LOCKED(TIMED)

      6 EXPIRED(GRACE) & LOCKED(TIMED)

      9 EXPIRED & LOCKED

      10 EXPIRED(GRACE) & LOCKED

 



















可以看到oracle一共提供了9種狀態,而九種狀態可分為兩類:1.基本狀態;2.組合狀態。

前五種是基本狀態:0 OPEN、1 EXPIRED、2 EXPIRED(GRACE)、4 LOCKED(TIMED)、8 LOCKED。

后四種是基本狀態:5 EXPIRED & LOCKED(TIMED)、6 EXPIRED(GRACE) & LOCKED(TIMED)、9 EXPIRED & LOCKED、10 EXPIRED(GRACE) & LOCKED。

后四種的組合狀態可通過狀態號STATUS#獲得其狀態的兩個組合,對于我們常態管理來說我們只需要掌握前面5種即可,以上客戶所發生的問題就是由于對于profile的設置導致的密碼失效的問題。

 

巧解密碼過期

在上述的客戶案例中,安全加固措施固然是好的,但是沒有客觀考慮到后期密碼維護是一個潛在的問題,而在oracle11G中PASSWORD_LIFE_TIME參數從很大一定程度上也會造成上述客戶的問題,DBA如果不清楚這一特性很容易造成密碼鎖定這個問題,當造成了這一問題后如何解決成了一個很大的問題。

在10g或者11g環境中,如果profiles的密碼參數被設置后,會導致密碼在規定的時間內過期,鎖定等。此時如果我們繼續去連接,如果狀態變成EXPIRED或者EXPIRED(GRACE)那么當我們連接后,會提示需要重新設定新的密碼,并且該會話無法連入數據庫,此時如果我們知道該用戶的密碼,那么DBA只需要手工干預一下,重新設定該密碼即可。

 

在10G環境中,我們仔細查看dba_users這張視圖,對應的PASSWORD這個字段,其實該字段即為我們設置的密碼的HASH值,當我們的密碼過期或者用戶被鎖定后,可以通過該字段來巧妙的規避一下該特性。

查看用戶信息(10G版本)

SQL> select username,account_status,password from dba_users where username like 'TEST%';

 

USERNAME     ACCOUNT_STATUS   PASSWORD

------------ ---------------- ------------------

TEST2        OPEN             3C0731F39486287E

TEST1        OPEN             C04FB3810DDE34AE

我們可以看到,以上的密碼進過加密處理后顯示為一串無序的HASH值。而在11G開始,oracle為了凸顯密碼安全性,將dba_users中的password這一列不再做顯示

 

查看用戶信息(11G版本)

SQL>  select username,account_status,password from dba_users where username like '%TEST%';

 

USERNAME           ACCOUNT_STATUS    PASSWORD

------------------ ----------------  -----------

TEST               OPEN             

TESTYING3          OPEN             

TEST2              EXPIRED          

TEST3              OPEN              

                                     

6 rows selected.

 

可以看到,從11G開始,oraclepassword這一列給隱藏了

 

注:Oracle11g在用戶安全性方面的加強,不僅僅是密碼的隱藏,還包括

1.密碼區分大小寫初始化參數sec_case_sensitive_logon

2.密碼復雜性檢查,通過utlpwdmg.sql文件創建復雜性檢查函數verify_function_11G

3. 強度更高的Hash加密算法

當我們的用戶密碼過期并且被鎖定后,再次登錄將會產生報錯:用戶被鎖定,

如下用戶:

SQL> select username,account_status,password,profile from dba_users where username='MDSYS';

USERNAME   ACCOUNT_STATUS     PASSWORD            PROFIL

---------- ------------------------------------------------

MDSYS      EXPIRED & LOCKED   72979A94BAD2AF80    DEFAULT

 

SQL>  select username,account_status,password,profile from dba_users where username='TEST1';

 

USERNAME   ACCOUNT_STATUS  PASSWORD          PROFILE

---------- --------------------------------- -------

TEST1      LOCKED          C04FB3810DDE34AE  DEFAULT

 

注意LOCKEDEXPIRED & LOCKED是兩個不同的概念,對于LOCKED狀態是由于連續的輸錯密碼達到FAILED_LOGIN_ATTEMPTS指定的次數二造成的,對于該種故障,我們只需要簡單的給與用戶解鎖即可,如下:

SQL> alter user test1 account unlock;

User altered.

 

SQL>  select username,account_status,password,profile from dba_users where username='TEST1';

USERNAME   ACCOUNT_STATUS  PASSWORD          PROFILE

---------- --------------------------------- -------

TEST1      OPEN           C04FB3810DDE34AE  DEFAULT

 

但是對于EXPIRED & LOCKED狀態,這是由于PASSWORD_LIFE_TIME參數導致用戶密碼過期而造成的鎖定,單一的解鎖命令無法解決該問題,此處還涉及到PASSWORD_LIFE_TIME參數造成的密碼修改問題。如下:

SQL> select username,account_status,password,profile from dba_users where username='MDSYS';

USERNAME   ACCOUNT_STATUS     PASSWORD            PROFILE

---------- ------------------------------------------------

MDSYS      EXPIRED & LOCKED   72979A94BAD2AF80    DEFAULT

SQL> conn mdsys/mdsys

ERROR:

ORA-28000: the account is locked

Warning: You are no longer connected to ORACLE.

 

解鎖用戶:

SQL> conn / as sysdba

Connected.

SQL> alter user dmsys account unlock;

User altered.

SQL> conn dmsys/dmsys

ERROR:

ORA-28001: the password has expired

 

Changing password for dmsys

New password:

提示需要輸入新密碼

此時我們查看用戶狀態:

SQL> select username,account_status,password,profile from dba_users where username='MDSYS';

USERNAME   ACCOUNT_STATUS     PASSWORD            PROFILE

---------- ----------------   ------------------ ---------

MDSYS      EXPIRED            72979A94BAD2AF80    DEFAULT

我們從上面的實驗過程看到,雖然我們將用戶解鎖,但是用戶的狀態僅僅從EXPIRED & LOCKED轉為EXPIRED,并沒有正常的OPEN,從新連接用戶提示輸入新密碼。

此處就產生一個問題,可以想象一下,當提示我們輸入新密碼時,我們勢必需要輸入生產用戶的原密碼,否則將造成業務中間件的密碼與修改的密碼不一致。如果此時我們不知道原密碼,勢必會造成一定的麻煩。此時我們就需要dba_users視圖中的password字段。Password字段雖然已經經過oraclehash運算并加密(oracle密碼采用用戶名+密碼的組合進行HASH加密),但是我們并不是需要知道該密碼是什么,只是需要利用該字段HASH值來成功的解鎖用戶。

對于一個用戶賦新的密碼,相信大家都很了解:

alter user username identified by password

那么我們就可以利用passwordhash值進行巧妙的解鎖,如下:

SQL> alter user dmsys identified by values 'BFBA5A553FD9E28A';

User altered.

 

SQL> select username,account_status,password,profile from dba_users where username='MDSYS';

USERNAME   ACCOUNT_STATUS     PASSWORD            PROFILE

---------- ----------------  -----------------  ---------

MDSYS      OPEN             72979A94BAD2AF80    DEFAULT

 

SQL> conn dmsys/dmsys

Connected.

SQL>

可以看到,雖然我們不知道該用戶的密碼,但是我們可以在通過passwordHASH值來重置該密碼。而在11G中,oracle為了提高安全性能,將DBA_USERS.password中的值不做顯示,默認為空。如下:

SQL> select username,account_status,password from dba_users;

 

USERNAME    ACCOUNT_STATUS   PASSWORD

---------------------------- ----------

SYS         OPEN

WMSYS       OPEN

TESTYING3   OPEN

TESTYING    OPEN

11G環境中,我們可以通過USER$基表中查詢得到該值,如下:

SQL> select USER#,name,PASSWORD from user$ where name like 'TEST%';

     USER# NAME             PASSWORD

---------- ---------  ---------------------

        85 TEST         48724AE7C369325F

        86 TEST2        3C0731F39486287E

        87 TEST3        47B23A1E17F2D107

6 rows selected.

運用同樣的命令和方法,我們就可以解鎖密碼過期而導致的用戶鎖定。

 

 技術結論

通過以上的方法,我們可以在不知曉用戶名密碼的情況下,比較巧妙的解鎖由于密碼過期而導致的用戶鎖定的情況,雖然我們在上述方法中通過HASH值解鎖了用戶,但是無論從安全方面抑或是從數據庫的持續穩定運行方面考慮,我們都建議用戶采用安全合理的密碼管理機制,杜絕一切可能的隱患才是作為一名DBA所必須要做到的,在保障數據庫安全的同時,維持數據庫的正常穩定運行。

 ------------------------------------------------------------------------------------
<版權所有,文章允許轉載,但必須以鏈接方式注明源地址,否則追究法律責任!>
原博客地址:http://blog.itpub.net/23732248/
原作者:應以峰 (frank-ying)
-------------------------------------------------------------------------------------

 

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

漾濞| 桓仁| 呈贡县| 尉犁县| 鹤岗市| 桐柏县| 广宁县| 建阳市| 辽宁省| 青海省| 安化县| 上杭县| 青铜峡市| 无极县| 福泉市| 自治县| 三穗县| 嘉黎县| 游戏| 沁阳市| 台东县| 塘沽区| 盈江县| 嘉峪关市| 沂南县| 澎湖县| 晋中市| 大石桥市| 阳新县| 沅陵县| 乐山市| 区。| 北辰区| 体育| 隆德县| 班戈县| 隆回县| 天门市| 建德市| 长治市| 囊谦县|