Oracle（109）如何管理用户密码策略？

管理用户密码策略是确保数据库安全性的重要措施之一。通过定义和实施密码策略，可以确保用户使用强密码，并定期更新密码，以防止未经授权的访问。以下是如何在 MySQL 和 PostgreSQL 中详细配置和管理用户密码策略的步骤和代码示例。

MySQL 用户密码策略管理

MySQL 提供了多种工具和配置选项来管理用户密码策略，包括密码复杂性、密码过期和密码历史记录等。

1. 配置密码策略

在 MySQL 中，可以通过 validate_password 插件来配置密码策略。首先，需要确保该插件已启用。

-- 启用 validate_password 插件
INSTALL PLUGIN validate_password SONAME 'validate_password.so';

2. 配置密码复杂性要求

使用 validate_password 插件，可以配置密码复杂性要求，如密码长度、字符类型等。

-- 设置密码最小长度
SET GLOBAL validate_password.length = 8;

-- 设置密码必须包含的字符类型
SET GLOBAL validate_password.mixed_case_count = 1;  -- 至少一个大写和一个小写字母
SET GLOBAL validate_password.number_count = 1;      -- 至少一个数字
SET GLOBAL validate_password.special_char_count = 1;-- 至少一个特殊字符

-- 设置密码验证策略等级
SET GLOBAL validate_password.policy = MEDIUM;

3. 配置密码过期和历史记录

MySQL 还支持配置密码过期和历史记录，以确保用户定期更新密码，并防止重复使用旧密码。

-- 设置密码过期时间（天）
SET GLOBAL default_password_lifetime = 90;

-- 创建用户时设置密码过期时间
CREATE USER 'new_user'@'localhost' IDENTIFIED BY 'NewUserPass!123' PASSWORD EXPIRE INTERVAL 90 DAY;

-- 设置密码历史记录
ALTER USER 'new_user'@'localhost' PASSWORD HISTORY 5;

4. 强制用户在下次登录时更改密码

可以强制用户在下次登录时更改密码，以确保密码更新。

ALTER USER 'new_user'@'localhost' PASSWORD EXPIRE;

PostgreSQL 用户密码策略管理

PostgreSQL 通过配置参数和扩展模块来管理用户密码策略。

1. 安装并配置 passwordcheck 模块

passwordcheck 模块用于检查密码复杂性。首先，需要安装该模块。

编辑 postgresql.conf 文件，添加 passwordcheck 模块。

# 在 postgresql.conf 文件中添加以下行
shared_preload_libraries = 'passwordcheck'

然后，重启 PostgreSQL 服务。

# 重启 PostgreSQL 服务
sudo systemctl restart postgresql

2. 配置密码复杂性要求

通过 passwordcheck 模块，可以配置密码复杂性要求。

编辑 postgresql.conf 文件，添加以下配置：

# 设置密码最小长度
passwordcheck.min_length = 8

# 设置密码必须包含的字符类型
passwordcheck.min_upper = 1    # 至少一个大写字母
passwordcheck.min_lower = 1    # 至少一个小写字母
passwordcheck.min_digit = 1    # 至少一个数字
passwordcheck.min_special = 1  # 至少一个特殊字符

3. 配置密码过期和历史记录

PostgreSQL 可以通过 pg_cron 扩展和自定义脚本来管理密码过期和历史记录。

首先，安装 pg_cron 扩展。

# 安装 pg_cron 扩展（以 Ubuntu 为例）
sudo apt-get install postgresql-13-cron

在数据库中启用 pg_cron 扩展。

-- 在数据库中启用 pg_cron 扩展
CREATE EXTENSION pg_cron;

创建一个表来存储用户密码历史记录。

-- 创建密码历史记录表
CREATE TABLE password_history (
    username TEXT,
    password TEXT,
    changed_on TIMESTAMP DEFAULT CURRENT_TIMESTAMP
);

创建一个触发器函数，在密码更改时记录密码历史。

-- 创建触发器函数
CREATE OR REPLACE FUNCTION log_password_change() RETURNS TRIGGER AS $$
BEGIN
    INSERT INTO password_history (username, password)
    VALUES (NEW.usename, NEW.passwd);
    RETURN NEW;
END;
$$ LANGUAGE plpgsql;

创建触发器，在用户密码更改时调用触发器函数。

-- 创建触发器
CREATE TRIGGER password_change_trigger
AFTER UPDATE OF passwd ON pg_shadow
FOR EACH ROW
WHEN (OLD.passwd IS DISTINCT FROM NEW.passwd)
EXECUTE FUNCTION log_password_change();

创建一个定时任务，定期检查密码过期并通知用户。

-- 创建定时任务
SELECT cron.schedule('0 0 * * *', $$ 
    DO 
    $$
    DECLARE
        user_rec RECORD;
    BEGIN
        FOR user_rec IN 
            SELECT usename 
            FROM pg_shadow 
            WHERE passwd IS NOT NULL 
            AND (NOW() - '90 days'::INTERVAL) > passwd_changed
        LOOP
            -- 发送通知给用户（实现通知逻辑）
        END LOOP;
    END;
    $$;
$$);

总结

管理用户密码策略是确保数据库安全性的重要措施。通过配置密码复杂性、密码过期和密码历史记录，可以有效地防止未经授权的访问和潜在的安全威胁。上述步骤和代码示例展示了如何在 MySQL 和 PostgreSQL 中详细配置和管理用户密码策略，以提高数据库的安全性。