溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務(wù)條款》

ORACLE11g密碼安全與過期策略

發(fā)布時間:2020-08-18 22:02:22 來源:ITPUB博客 閱讀:332 作者:ericwen2015 欄目:關(guān)系型數(shù)據(jù)庫


數(shù)據(jù)庫安全問題一直是人們關(guān)注的焦點之一,我們知道一個企業(yè)或者機構(gòu)的數(shù)據(jù)庫如果遭到黑客的攻擊,而這些數(shù)據(jù)庫又保存著非常重要的數(shù)據(jù),象銀行、通信等數(shù)據(jù)庫,后果將不堪設(shè)想。oracle數(shù)據(jù)庫使用了多種手段來保證數(shù)據(jù)庫的安全性,如密碼,角色,權(quán)限等等,今天我們來詳細的來闡述一下關(guān)于oracle的密碼問題,當然我們今天來詳細說的并不是oracle的安全密碼機制如何的強大等等,恰恰相反我們需要說明的是當我們在oracle密碼過期后如何在不修改密碼的情況下,使密碼重新有效。

在介紹前我們先來說一個案例,某客戶數(shù)據(jù)庫做安全加固,針對profile修改了部分password的安全機制,其中最重要的一點就是設(shè)置了PASSWORD_LIFE_TIME(該參數(shù)設(shè)定密碼過期時間)這一個參數(shù),而當該參數(shù)設(shè)置完后,客戶又沒有根據(jù)設(shè)定的安全機制指定一個良好的人工密碼周期性管理策略,隨著PASSWORD_LIFE_TIME 參數(shù)所設(shè)定的時間到期后,數(shù)據(jù)庫將該用戶locked,導(dǎo)致業(yè)務(wù)無法正常連接,從理論上來說,密碼既然過期了,那么重置密碼是唯一的手段,但是從一定程度上來說,重置密碼意味著大量的中間件需要去修改,對于業(yè)務(wù)邏輯不熟悉的人來說,還是存在必然的風(fēng)險,檢查后發(fā)現(xiàn)客戶并沒有設(shè)置PASSWORD_REUSE_TIME(該參數(shù)設(shè)定為相同密碼重用時間),既然該參數(shù)并沒有設(shè)置,那么我們可以考慮通過一個臨時密碼來作為中間密碼,通過中間密碼進一步重新設(shè)置原密碼。但是這時候又一個問題出現(xiàn)了,客戶并不知道該業(yè)務(wù)用戶密碼。這又從一定程度上給問題的解決造成了麻煩。本節(jié)通過一個較為巧妙的方法來重置oracle的密碼。


 
n 概念普及
在詳細說明本節(jié)內(nèi)容的情況下,需要普及一些小的知識點,oracle在對于密碼有效期等問題的管理上通過profile文件來進行管理。并默認一個default的profile文件,在oracle 9i以及以前版本,oracle對于默認的default profile文件參數(shù)值均為UNLIMITED,在10g版本中,將FAILED_LOGIN_ATTEMPTS的值默認設(shè)置為10次,也就是說在連續(xù)10次輸入錯誤密碼后,oracle將鎖定該用戶,直到用戶被解鎖為止。從11g開始,oracle對密碼文件的管理策略增加了很多,很多之前被設(shè)置了UNLIMITED的參數(shù),在11g中都定義了相應(yīng)的值,雖然這一新特性增加了oracle密碼的安全機制,但是也從一定程度上對我們管理產(chǎn)生影響。首先我們來說明一下oracle的profile 中關(guān)于密碼這一部分的內(nèi)容。(該默認的profile取自oracle11g環(huán)境)
 


SQL> select * from dba_profiles where profile='DEFAULT' and RESOURCE_NAME like 'PASSWORD_%';                                                                   

PROFILE   RESOURCE_NAME            RESOURCE LIMIT    

--------- --------------------------------- ----------

DEFAULT   PASSWORD_LIFE_TIME       PASSWORD 180       

DEFAULT   PASSWORD_REUSE_TIME      PASSWORD UNLIMITED

DEFAULT   PASSWORD_REUSE_MAX       PASSWORD UNLIMITED

DEFAULT   PASSWORD_VERIFY_FUNCTION PASSWORD NULL     

DEFAULT   PASSWORD_LOCK_TIME       PASSWORD 1         

DEFAULT   PASSWORD_GRACE_TIME      PASSWORD 7       

 

詳細解釋一下以上參數(shù)值:
PASSWORD_LIFE_TIME 180 --口令的生命周期,超過這段時間口令可能會自動過期,是否過期要看是否設(shè)定了PASSWORD_GRACE_TIME

PASSWORD_GRACE_TIME 7 --接著PASSWORD_LIFE_TIME特性,如果PASSWORD_LIFE_TIME的期限已到,那么PASSWORD_GRACE_TIME 的設(shè)置是對口令生命周期的一個grace(寬限或者延續(xù)),口令到期之后,繼續(xù)可以使用的天數(shù),在這段時間內(nèi)如果我們登錄系統(tǒng),會有提示,提示系統(tǒng)在幾天內(nèi)過期

 

PASSWORD_REUSE_TIME  UNLIMITED --這個特性限制口令在多少天內(nèi)不能重復(fù)使用,默認值為UNLIMITED

 

PASSWORD_REUSE_MAX UNLIMITED --這個特性是針對PASSWORD_REUSE_TIME的,說明要想在PASSWORD_REUSE_TIME這個參數(shù)指定的時間內(nèi)重復(fù)使用當前口令,那么至少需要修改過口令的次數(shù)(修改過的口令當然肯定需要和當前口令不同,因為畢竟還有PASSWORD_REUSE_TIME 特性的限制)

 

FAILED_LOGIN_ATTEMPTS 10  --這個比較好理解,不知道口令的話嘗試登錄的次數(shù),達到這個次數(shù)之后賬戶被自動鎖定

 

PASSWORD_LOCK_TIME 1 --接著FAILED_LOGIN_ATTEMPTS參數(shù),口令被自動鎖定的時間,達到這個時間之后,下次登錄時系統(tǒng)自動解除對這個賬戶的鎖定

 

以上即為oracle對于profile中密碼管理的一些參數(shù)解釋。

 

接下來我們來說明一下oracle中關(guān)于用戶鎖定的狀態(tài)

SQL> select username,account_status,profile from dba_users;

 

USERNAME     ACCOUNT_STATUS      PROFILE

--------------------------------------------

SYSTEM       OPEN                DEFAULT

SYS          OPEN                DEFAULT

TEST3        OPEN                DEFAULT

SCOTT        OPEN                DEFAULT

TEST2        EXPIRED(GRACE)      PROFILE2

TEST         EXPIRED(GRACE)      DEFAULT

MGMT_VIEW    EXPIRED & LOCKED    DEFAULT

 

ORACLE數(shù)據(jù)庫用戶有多種狀態(tài),可查看視圖USER_ASTATUS_MAP。

SQL>select * from user_astatus_map;

STATUS# STATUS

-------- ------------------------------

      0 OPEN

      1 EXPIRED

      2 EXPIRED(GRACE)

      4 LOCKED(TIMED)

      8 LOCKED

      5 EXPIRED & LOCKED(TIMED)

      6 EXPIRED(GRACE) & LOCKED(TIMED)

      9 EXPIRED & LOCKED

      10 EXPIRED(GRACE) & LOCKED

 



















可以看到oracle一共提供了9種狀態(tài),而九種狀態(tài)可分為兩類:1.基本狀態(tài);2.組合狀態(tài)。

前五種是基本狀態(tài):0 OPEN、1 EXPIRED、2 EXPIRED(GRACE)、4 LOCKED(TIMED)、8 LOCKED。

后四種是基本狀態(tài):5 EXPIRED & LOCKED(TIMED)、6 EXPIRED(GRACE) & LOCKED(TIMED)、9 EXPIRED & LOCKED、10 EXPIRED(GRACE) & LOCKED。

后四種的組合狀態(tài)可通過狀態(tài)號STATUS#獲得其狀態(tài)的兩個組合,對于我們常態(tài)管理來說我們只需要掌握前面5種即可,以上客戶所發(fā)生的問題就是由于對于profile的設(shè)置導(dǎo)致的密碼失效的問題。

 

巧解密碼過期

在上述的客戶案例中,安全加固措施固然是好的,但是沒有客觀考慮到后期密碼維護是一個潛在的問題,而在oracle11G中PASSWORD_LIFE_TIME參數(shù)從很大一定程度上也會造成上述客戶的問題,DBA如果不清楚這一特性很容易造成密碼鎖定這個問題,當造成了這一問題后如何解決成了一個很大的問題。

在10g或者11g環(huán)境中,如果profiles的密碼參數(shù)被設(shè)置后,會導(dǎo)致密碼在規(guī)定的時間內(nèi)過期,鎖定等。此時如果我們繼續(xù)去連接,如果狀態(tài)變成EXPIRED或者EXPIRED(GRACE)那么當我們連接后,會提示需要重新設(shè)定新的密碼,并且該會話無法連入數(shù)據(jù)庫,此時如果我們知道該用戶的密碼,那么DBA只需要手工干預(yù)一下,重新設(shè)定該密碼即可。

 

在10G環(huán)境中,我們仔細查看dba_users這張視圖,對應(yīng)的PASSWORD這個字段,其實該字段即為我們設(shè)置的密碼的HASH值,當我們的密碼過期或者用戶被鎖定后,可以通過該字段來巧妙的規(guī)避一下該特性。

查看用戶信息(10G版本)

SQL> select username,account_status,password from dba_users where username like 'TEST%';

 

USERNAME     ACCOUNT_STATUS   PASSWORD

------------ ---------------- ------------------

TEST2        OPEN             3C0731F39486287E

TEST1        OPEN             C04FB3810DDE34AE

我們可以看到,以上的密碼進過加密處理后顯示為一串無序的HASH值。而在11G開始,oracle為了凸顯密碼安全性,將dba_users中的password這一列不再做顯示

 

查看用戶信息(11G版本)

SQL>  select username,account_status,password from dba_users where username like '%TEST%';

 

USERNAME           ACCOUNT_STATUS    PASSWORD

------------------ ----------------  -----------

TEST               OPEN             

TESTYING3          OPEN             

TEST2              EXPIRED          

TEST3              OPEN              

                                     

6 rows selected.

 

可以看到,從11G開始,oraclepassword這一列給隱藏了

 

注:Oracle11g在用戶安全性方面的加強,不僅僅是密碼的隱藏,還包括

1.密碼區(qū)分大小寫初始化參數(shù)sec_case_sensitive_logon

2.密碼復(fù)雜性檢查,通過utlpwdmg.sql文件創(chuàng)建復(fù)雜性檢查函數(shù)verify_function_11G

3. 強度更高的Hash加密算法

當我們的用戶密碼過期并且被鎖定后,再次登錄將會產(chǎn)生報錯:用戶被鎖定,

如下用戶:

SQL> select username,account_status,password,profile from dba_users where username='MDSYS';

USERNAME   ACCOUNT_STATUS     PASSWORD            PROFIL

---------- ------------------------------------------------

MDSYS      EXPIRED & LOCKED   72979A94BAD2AF80    DEFAULT

 

SQL>  select username,account_status,password,profile from dba_users where username='TEST1';

 

USERNAME   ACCOUNT_STATUS  PASSWORD          PROFILE

---------- --------------------------------- -------

TEST1      LOCKED          C04FB3810DDE34AE  DEFAULT

 

注意LOCKEDEXPIRED & LOCKED是兩個不同的概念,對于LOCKED狀態(tài)是由于連續(xù)的輸錯密碼達到FAILED_LOGIN_ATTEMPTS指定的次數(shù)二造成的,對于該種故障,我們只需要簡單的給與用戶解鎖即可,如下:

SQL> alter user test1 account unlock;

User altered.

 

SQL>  select username,account_status,password,profile from dba_users where username='TEST1';

USERNAME   ACCOUNT_STATUS  PASSWORD          PROFILE

---------- --------------------------------- -------

TEST1      OPEN           C04FB3810DDE34AE  DEFAULT

 

但是對于EXPIRED & LOCKED狀態(tài),這是由于PASSWORD_LIFE_TIME參數(shù)導(dǎo)致用戶密碼過期而造成的鎖定,單一的解鎖命令無法解決該問題,此處還涉及到PASSWORD_LIFE_TIME參數(shù)造成的密碼修改問題。如下:

SQL> select username,account_status,password,profile from dba_users where username='MDSYS';

USERNAME   ACCOUNT_STATUS     PASSWORD            PROFILE

---------- ------------------------------------------------

MDSYS      EXPIRED & LOCKED   72979A94BAD2AF80    DEFAULT

SQL> conn mdsys/mdsys

ERROR:

ORA-28000: the account is locked

Warning: You are no longer connected to ORACLE.

 

解鎖用戶:

SQL> conn / as sysdba

Connected.

SQL> alter user dmsys account unlock;

User altered.

SQL> conn dmsys/dmsys

ERROR:

ORA-28001: the password has expired

 

Changing password for dmsys

New password:

提示需要輸入新密碼

此時我們查看用戶狀態(tài):

SQL> select username,account_status,password,profile from dba_users where username='MDSYS';

USERNAME   ACCOUNT_STATUS     PASSWORD            PROFILE

---------- ----------------   ------------------ ---------

MDSYS      EXPIRED            72979A94BAD2AF80    DEFAULT

我們從上面的實驗過程看到,雖然我們將用戶解鎖,但是用戶的狀態(tài)僅僅從EXPIRED & LOCKED轉(zhuǎn)為EXPIRED,并沒有正常的OPEN,從新連接用戶提示輸入新密碼。

此處就產(chǎn)生一個問題,可以想象一下,當提示我們輸入新密碼時,我們勢必需要輸入生產(chǎn)用戶的原密碼,否則將造成業(yè)務(wù)中間件的密碼與修改的密碼不一致。如果此時我們不知道原密碼,勢必會造成一定的麻煩。此時我們就需要dba_users視圖中的password字段。Password字段雖然已經(jīng)經(jīng)過oraclehash運算并加密(oracle密碼采用用戶名+密碼的組合進行HASH加密),但是我們并不是需要知道該密碼是什么,只是需要利用該字段HASH值來成功的解鎖用戶。

對于一個用戶賦新的密碼,相信大家都很了解:

alter user username identified by password

那么我們就可以利用passwordhash值進行巧妙的解鎖,如下:

SQL> alter user dmsys identified by values 'BFBA5A553FD9E28A';

User altered.

 

SQL> select username,account_status,password,profile from dba_users where username='MDSYS';

USERNAME   ACCOUNT_STATUS     PASSWORD            PROFILE

---------- ----------------  -----------------  ---------

MDSYS      OPEN             72979A94BAD2AF80    DEFAULT

 

SQL> conn dmsys/dmsys

Connected.

SQL>

可以看到,雖然我們不知道該用戶的密碼,但是我們可以在通過passwordHASH值來重置該密碼。而在11G中,oracle為了提高安全性能,將DBA_USERS.password中的值不做顯示,默認為空。如下:

SQL> select username,account_status,password from dba_users;

 

USERNAME    ACCOUNT_STATUS   PASSWORD

---------------------------- ----------

SYS         OPEN

WMSYS       OPEN

TESTYING3   OPEN

TESTYING    OPEN

11G環(huán)境中,我們可以通過USER$基表中查詢得到該值,如下:

SQL> select USER#,name,PASSWORD from user$ where name like 'TEST%';

     USER# NAME             PASSWORD

---------- ---------  ---------------------

        85 TEST         48724AE7C369325F

        86 TEST2        3C0731F39486287E

        87 TEST3        47B23A1E17F2D107

6 rows selected.

運用同樣的命令和方法,我們就可以解鎖密碼過期而導(dǎo)致的用戶鎖定。

 

 技術(shù)結(jié)論

通過以上的方法,我們可以在不知曉用戶名密碼的情況下,比較巧妙的解鎖由于密碼過期而導(dǎo)致的用戶鎖定的情況,雖然我們在上述方法中通過HASH值解鎖了用戶,但是無論從安全方面抑或是從數(shù)據(jù)庫的持續(xù)穩(wěn)定運行方面考慮,我們都建議用戶采用安全合理的密碼管理機制,杜絕一切可能的隱患才是作為一名DBA所必須要做到的,在保障數(shù)據(jù)庫安全的同時,維持數(shù)據(jù)庫的正常穩(wěn)定運行。

 ------------------------------------------------------------------------------------
<版權(quán)所有,文章允許轉(zhuǎn)載,但必須以鏈接方式注明源地址,否則追究法律責(zé)任!>
原博客地址:http://blog.itpub.net/23732248/
原作者:應(yīng)以峰 (frank-ying)
-------------------------------------------------------------------------------------

 

向AI問一下細節(jié)

免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點不代表本網(wǎng)站立場,如果涉及侵權(quán)請聯(lián)系站長郵箱:is@yisu.com進行舉報,并提供相關(guān)證據(jù),一經(jīng)查實,將立刻刪除涉嫌侵權(quán)內(nèi)容。

AI