解密Oracle数据库用户锁定问题,提高数据安全性 (oracle数据库用户锁定)
Oracle数据库是现代企业管理架构中使用最广泛的数据库之一,它具有强大的安全性和可靠性,可以对企业的数据进行最有效的管理。然而,随着数据库用户增多、修补程序更新等因素,数据库用户被锁定的情况变得越来越常见,这可能会给企业的数据库维护工作带来很大的麻烦,也可能会导致企业数据的泄露或损坏。因此,成为了当前企业数据库管理和维护工作中的一个重要目标。
一、用户锁定的原因
Oracle数据库中的用户锁定是由许多原因造成的,如密码错误次数超过限制、登录失败等。在这里我们来详细了解一下。
1.密码错误
密码是访问Oracle数据库的最常见方式。当一个用户信息来自Oracle外部的人试图使用错误的密码进入数据库时,他们的账户将被锁定并且不能再次访问。这是因为Oracle自动防御机制更大化,防止潜在的入侵者通过不断的尝试猜计正确的密码。
2.不活动账户
自从Oracle存储器中最后一次登录以来超过特定时间的账户,将不能够正常的登录系统。这通常意味着由于一些原因,用户或管理员可能会忘记账户的密码或用户名,或许需要重新激活账户,并通过相关的LDAP系统实现。
3.过期账户
账户在一定时间之后也会被禁用。这是为了防止不再需要数据库访问的用户能够依赖于它们的旧凭证进行登录。需要注意的是,账户被禁用并不会对有效账户的数据进行任何操作。
二、用户锁定的风险
Oracle数据库中有一些用户锁定风险需要管理人员注意。当数据库账户被锁定,用户无法访问数据库,这可能会导致数据访问、修改、备份和恢复等工作中断,影响企业的正常运营。
此外,用户锁定还可能导致企业的数据安全性受到威胁。如果一个用户被锁定了但未及时通知管理员,那么有可能会被黑客利用,进一步侵入企业内部的数据库系统。这可能会导致极度严重的数据泄露、损坏和财务损失。
三、Oracle数据库用户锁定的解决办法
为了解决数据库中用户锁定的问题,需要采取一些措施进行预防和处理。下面我们列出了以下几点:
1.限制密码错误次数
通过限制密码错误尝试次数可以保护数据库安全,在避免用户被多次锁定的同时加强了密码策略。在Oracle数据库中,管理员可以通过配置密码限制来增强数据库的安全性。
2.定期检查不活动或过期账户
在Oracle数据库中,管理员可以通过批量查找在一段时间内没有任何操作的用户,以及在一定时间内没有更改密码的用户。 audit_trl 或 ALL USERS, ALL PASSWD_HISTORY 视图可帮助我们轻松获取此类信息,有关 Oracle 账户和密码的详细文档,请参阅 Oracle 手册。
3.遵循安全更佳实践
如定期间隔验证一次文件系统或操作系统级别的服务账户登录用户密码到 Oracle 数据库的匹配性。
4.处理锁定账户
如果某个用户的账户已经被锁定,则管理员应该及时通知该用户,并对其账户进行解锁。对于常见的数据库账户密码,例如SYS和SYSTEM账户,请确保始终具有正确的密码以保护数据库系统。通过监控主要的登录事件,并及时通知管理员来帮助加强安全,保持Oracle 运营规范。在管理员登录后,通过 ALTER USER 或启用计划任务的方式自动解锁账户,以增加系统的灵活性。
:
用户锁定是数据库管理中的一个重要问题,正确解决它可以提高数据安全和可靠性。管理员需要遵循一些更佳实践和安全建议,以减少用户锁定的风险并及时处理账户的锁定情况。通过以上几点解决后,可以更好的保护企业的数据库系统,提高数据的安全性和可靠性。
相关问题拓展阅读:
oracle用户锁定问题
1、查看FAILED_LOGIN_ATTEMPTS的值
select * from dba_profiles
2、修改为30次
alter profile default limit FAILED_LOGIN_ATTEMPTS 30;
3、修改为无限次(为安全起见,不建议使用)
alter profile default limit FAILED_LOGIN_ATTEMPTS unlimited;
1.你可以用 alter user 用户ID account unlock 先解开这个用户锁定
2.这个机制是在用户的profile中设定,profile主要是对系统资源和用户囗令的管理,你可以打开查看,里面有个 FAILED_LOGIN_ATTEMPTS 参数,你还可以结合其它的参数一起使用来管理资源和囗令。系统有个默认的profile叫default
给个示例:
1.资源的
create profile luck_prof limit
sessions_per_user 8
cpu_per_session 16800
logical_reads_per_session 23688
connect_time 268
idle_time 38;
2.囗令的,如修改 default
alter profile default limit
password_life_time 60
password_grace_time 10
password_reuse_time 1800
failed_login_attempts 3
password_lock_time 1/1440;
然后再创建或修改用户时指定一个profile如:
create user wuser
identified by wuser
…….
profile luck_prof ;
希望以上能给你提供解决问题的方向
–系统参数配置 connect sys/password@db_link as sysdba
select * from dba_profiles where resource_name like ‘FAILED_LOGIN_ATTEMPTS%’;
–1 DEFAULT FAILED_LOGIN_ATTEMPTS PASSWORD 10
–连续错误连接10次用户被锁定
–2.
–查看被锁的用户
select LOCK_DATE,username from dba_users where username=’USERNAME’;
LOCK_DATE为空说明没有锁定,非空为锁定。
—–
SELECT S.USERNAME,
DECODE(L.TYPE, ‘TM’, ‘TABLE LOCK’, ‘TX’, ‘ROW LOCK’, NULL) LOCK_LEVEL,
O.OWNER,
O.OBJECT_NAME,
O.OBJECT_TYPE,
S.SID,
S.SERIAL#,
S.TERMINAL,
S.MACHINE,
S.PROGRAM,
S.OSUSER
FROM V$SESSION S, V$LOCK L, DBA_OBJECTS O
WHERE S.SID = L.SID
AND O.OBJECT_ID = L.ID1
AND S.USERNAME IS NOT NULL;
–3.
–解锁方法
ALTER USER USER_NAME ACCOUNT UNLOCK;
–值的注意,在升级过程中,被锁的用户,有可能不值一个
–重新升级
—–设置系统的默认登录次数
alter profile DEFAULT limit FAILED_LOGIN_ATTEMPTS 10;
alter profile DEFAULT limit FAILED_LOGIN_ATTEMPTS UNLIMITED;
数据管理员为这个用户单独设置了登录次数则要查找这个用户对应的profile,然后修改.可以查看用户的创建语名找到对应的设置。
Oracle系统中的profile可以用来对用户所能使用的数据库资源进行限制,使用 Create Profile命令创建一个Profile,用它来实现对数据库资源的限制使用,如果把该profile分配给用户,则该用户所能使用的数据库资源都在该 profile的限制之内。
二、条件:
创建profile必须要有CREATE PROFILE的系统权限。
为用户指定资源限制,必须:
1.动态地使用alter system或使用初始化参数resource_limit使资源限制生效。该改变对密码资源无效,密码资源总是可用。
SQL> show parameter resource_limit
NAME TYPEVALUE
———————————— ———– ——————————
resource_limitboolean FALSE
SQL> alter system set resource_limit=true;
系统已更改。
SQL> show parameter resource_limit;
NAME TYPEVALUE
———————————— ———– ——————————
resource_limitboolean TRUE
SQL>
2.使用create profile创建一个定义对数据库资源进行限制的profile。
3.使用create user 或alter user命令把profile分配给用户。
三、语法:
CREATE PROFILE profile LIMIT { resource_parameters | password_parameters } … ;
{{ SESSIONS_PER_USER | CPU_PER_SESSION | CPU_PER_CALL | CONNECT_TIME | IDLE_TIME | LOGICAL_READS_PER_SESSION | LOGICAL_READS_PER_CALL | COMPOSITE_LIMIT } { integer | UNLIMITED | DEFAULT }| PRIVATE_SGA { integer | UNLIMITED | DEFAULT }}
{{ FAILED_LOGIN_ATTEMPTS | PASSWORD_LIFE_TIME | PASSWORD_REUSE_TIME | PASSWORD_REUSE_MAX | PASSWORD_LOCK_TIME | PASSWORD_GRACE_TIME } { expr | UNLIMITED | DEFAULT }| PASSWORD_VERIFY_FUNCTION { function | NULL | DEFAULT }}
四、语法解释:
profile:配置文件的名称。Oracle数据库以以下方式强迫资源限制:
.如果用户超过了connect_time或idle_time的会话资源限制,数据库就回滚当前事务,并结束会话。用户再次执行命令,数据库则返回一个错误,
.如果用户试图执行超过其他的会话资源限制的操作,数据库放弃操作,回滚当前事务并立即返回错误。用户之后可以提交或回滚当前事务,必须结束会话。
提示:可以将一条分成多个段,如1小时(1/24天)来限制时间,可以为用户指定资源限制,但是数据库只有在参数生效后才会执行限制。
Unlimited:分配该profile的用户对资源使用无限制,当使用密码参数时,unlimited意味着没有对参数加限制。
Default:指定为default意味着忽略对profile中的一些资源限制,Default profile初始定义对资源不限制,可以通过alter profile命令来改变。
Resource_parameter部分:
Session_per_user:指定限制用户的并发会话的数目。
Cpu_per_session:指定会话的CPU时间限制,单位为百分之一秒。
Cpu_per_call:指定一次调用(解析、执行和提取)的CPU时间限制,单位为百分之一秒。
Connect_time:指定会话的总的连接时间,以分钟为单位。
Idle_time:指定会话允许连续不活动的总的时间,以分钟为单位,超过该时间,会话将断开。但是长时间运行查询和其他操作的不受此限制。
Logical_reads_per_session:指定一个会话允许读的数据块的数目,包括从内存和磁盘读的所有数据块。
Logical_read_per_call:指定一次执行SQL(解析、执行和提取)调用所允许读的数据块的更大数目。
Private_sga:指定一个会话可以在共享池(SGA)中所允许分配的更大空间,以字节为单位。(该限制只在使用共享服务器结构时才有效,会话在SGA中的私有空间包括私有的SQL和PL/SQL,但不包括共享的SQL和PL/SQL)。
Composite_limit:指定一个会话的总的资源消耗,以service units单位表示。Oracle数据库以有利的方式计算cpu_per_session,connect_time, logical_reads_per_session和private-sga总的service units
Password_parameter部分:
Failed_login_attempts:指定在帐户被锁定之前所允许尝试登陆的的更大次数。
Password_life_time:指定同一密码所允许使用的天数。如果同时指定了 password_grace_time参数,如果在grace period内没有改变密码,则密码会失效,连接数据库被拒绝。如果没有设置password_grace_time参数,默认值unlimited将引 发一个数据库警告,但是允许用户继续连接。
Password_reuse_time和password_reuse_max:这两个参数必须互相关联设置,password_reuse_time指定了密码不能重用前的天数,而password_reuse_max则指定了当前密码被重用之前密码改变的次数。两个参数都必须被设置为整数。
.如果为这两个参数指定了整数,则用户不能重用密码直到密码被改变了password_reuse_max指定的次数以后在password_reuse_time指定的时间内。
如:password_reuse_time=30,password_reuse_max=10,用户可以在30天以后重用该密码,要求密码必须被改变超过10次。
.如果指定了其中的一个为整数,而另一个为unlimited,则用户永远不能重用一个密码。
.如果指定了其中的一个为default,Oracle数据库使用定义在profile中的默认值,默认情况下,所有的参数在profile中都被设置为unlimited,如果没有改变profile默认值,数据库对该值总是默认为unlimited。
.如果两个参数都设置为unlimited,则数据库忽略他们。
Password_lock_time:指定登陆尝试失败次数到达后帐户的缩定时间,以天为单位。
Password_grace_time:指定宽限天数,数据库发出警告到登陆失效前的天数。如果数据库密码在这中间没有被修改,则过期会失效。
Password_verify_function:该字段允许将复杂的PL/SQL密码验证脚本做 为参 数传递到create profile语句。Oracle数据库提供了一个默认的脚本,但是自己可以创建自己的验证规则或使用第三方软件验证。 对Function名称,指定的是密码验证规则的名称,指定为Null则意味着不使用密码验证功能。如果为密码参数指定表达式,则该表达式可以是任意格 式,除了数据库标量子查询。
五、举例:
.创建一个profile:
create profile new_profile limit password_reuse_max 10 password_reuse_time 30;
.设置profile资源限制:
create profile app_user limit sessions_per_user unlimited cpu_per_session unlimited cpu_per_call 3000 connect_time 45 logical_reads_per_session default logical_reads_per_call 1000 private_sga 15k composite_limit;
总的resource cost不超过五百万service units。计算总的resource cost的公式由alter resource cost语句来指定。
.设置密码限制profile:
create profile app_users2 limit failed_login_attempts 5 password_life_time 60 password_reuse_time 60 password_reuse_max 5 password_verify_function verify_function password_lock_time 1/24 password_grace_time 10;
.将配置文件分配给用户:
SQL> alter user dinya profile app_user;
用户已更改。
SQL> alter user dinya profile default;
用户已更改。
首先建立PROFILE
CREATE PROFILE lock_act LIMIT
FAILED_LOGIN_ATTEMPTS 3 PASSWORD_LOCK_TIME 2;
分配用户TEST PROFILE
ALTER USER TEST PROFILE LOCK_ACT;
关注
我的服务器的oracle 数据库用户system用户被锁了,服务器iP=10.212.2.0,实例名为orcl,如何解锁?
用SSH连入服务器
切换到安装ORACLE的用户
sqlplus / as sysdba 登陆数据库
解锁SYSTEM用户
alter user system account unlock;
首先需要用sysdba用户连接数据库:sqlplus :1521/orcl as sysdba
登陆之后解锁system用户:alter user system account unlock
找个有DBA角色的用户,登陆到数据库执行alter user system account unlock;
如果没有DBA角角用户,只能到服务器上,通过系统认证登陆到数据库,再进行解锁操作
使用管理员sys账户登陆,alter user 用户名 account unlock就行了。
关于oracle数据库用户锁定的介绍到此就结束了,不知道你从中找到你需要的信息了吗 ?如果你还想了解更多这方面的信息,记得收藏关注本站。
