管理口令安全和资源（一）

学习目标

1. Manage passwords using profiles :
   • 使用配置文件（profiles）来管理密码。这意味着你应该能够设置和修改密码策略，比如密码的复杂性、有效期、尝试次数限制等。在Oracle数据库中，配置文件是一组可以应用于所有用户的预定义资源限制和密码参数。
2. Administer profiles :
   • 管理配置文件。这包括创建新的配置文件、修改现有配置文件的设置、分配配置文件给用户账户以及删除不再需要的配置文件。
3. Control use of resources using profiles :
   • 使用配置文件来控制资源的使用。这涉及到设置资源限制，例如会话可以使用的CPU时间、可以同时打开的会话数、可以使用的内存量等，以防止单个用户或一组用户占用过多资源。
4. Obtain password and resource limit information :
   • 获取密码和资源限制信息。这指的是能够查询数据库，以查看特定用户或配置文件的密码策略和资源限制设置，以及如何解读这些信息。
     以下是一个简单的例子，展示了如何在Oracle数据库中执行上述任务：

-- 1. Manage passwords using profiles
-- 创建一个配置文件，设置密码有效期和复杂性要求
CREATE PROFILE my_profile LIMIT
  PASSWORD_LIFE_TIME 90
  PASSWORD_REUSE_TIME 365
  PASSWORD_REUSE_MAX UNLIMITED
  PASSWORD_VERIFY_FUNCTION ora12c_verify_function
  PASSWORD_LOCK_TIME 1;
-- 2. Administer profiles
-- 将配置文件分配给用户
ALTER USER my_user PROFILE my_profile;
-- 修改配置文件
ALTER PROFILE my_profile LIMIT PASSWORD_LIFE_TIME 60;
-- 3. Control use of resources using profiles
-- 设置资源限制，例如每个用户的并发会话数
ALTER PROFILE my_profile LIMIT SESSIONS_PER_USER 5;
-- 4. Obtain password and resource limit information
-- 查询特定用户的配置文件设置
SELECT * FROM DBA_PROFILES WHERE PROFILE = 'MY_PROFILE';

---

通过配置文件（profiles）来设置密码管理

在Oracle数据库中如何通过配置文件（profiles）来设置密码管理，并将这些配置文件分配给用户，以及如何使用CREATE USER或ALTER USER命令来锁定、解锁和使账户密码过期。以下是每个步骤的详细解释：

1. Set up password management by using profiles and assigning them to users:
   • 通过使用配置文件来设置密码管理，并将这些配置文件分配给用户。配置文件定义了密码策略，如密码复杂性、有效期、尝试次数限制等。以下是如何操作的示例：

-- 创建一个新的配置文件
CREATE PROFILE my_profile LIMIT
  PASSWORD_LIFE_TIME 90
  PASSWORD_REUSE_TIME 365
  PASSWORD_REUSE_MAX UNLIMITED
  PASSWORD_VERIFY_FUNCTION ora12c_verify_function
  PASSWORD_LOCK_TIME 1;
-- 将配置文件分配给用户
ALTER USER my_user PROFILE my_profile;

2. Lock, unlock, and expire accounts using the CREATE USER or ALTER USER command:
   • 使用CREATE USER或ALTER USER命令来锁定、解锁和使账户密码过期。以下是如何操作的示例：

-- 创建用户时锁定账户
CREATE USER my_user IDENTIFIED BY my_password ACCOUNT LOCK;
-- 解锁用户账户
ALTER USER my_user ACCOUNT UNLOCK;
-- 使用户密码过期，强制用户在下次登录时更改密码
ALTER USER my_user PASSWORD EXPIRE;

3. Password limits are always enforced:
   • 密码限制始终被强制执行。这意味着一旦配置文件中设置了密码策略，这些策略将始终应用于相关用户。
4. To enable password management, run the utlpwdmg.sql script as the user SYS:
   • 要启用密码管理，需要以SYS用户身份运行utlpwdmg.sql脚本。这个脚本通常包含了设置默认密码策略的SQL命令，以下是如何操作的示例：

-- 以SYS用户登录SQL*Plus或SQL Developer
CONNECT SYS AS SYSDBA;
-- 运行utlpwdmg.sql脚本
@?/rdbms/admin/utlpwdmg.sql;

运行utlpwdmg.sql脚本后，数据库将应用默认的密码管理策略，这些策略可以通过修改配置文件来定制。记得在执行这些操作之前备份相关配置，并在生产环境中谨慎操作。

---

密码账户锁定

在数据库中用于密码账户锁定策略的两个参数及其功能：

• FAILED_LOGIN_ATTEMPTS

  • 描述：这个参数指定了在账户被锁定之前允许的失败登录尝试次数。一旦用户连续失败登录次数达到这个参数设置的值，账户将会被锁定。

• PASSWORD_LOCK_TIME

  • 描述：这个参数指定了账户在被锁定后保持锁定的天数。在指定的天数结束后，账户将自动解锁，用户可以再次尝试登录。

以下是如何在Oracle数据库中设置这些参数的示例：

-- 创建或修改配置文件以设置失败登录尝试次数和锁定时间
CREATE PROFILE my_profile LIMIT
  FAILED_LOGIN_ATTEMPTS 5
  PASSWORD_LOCK_TIME 2;
-- 将配置文件分配给用户
ALTER USER my_user PROFILE my_profile;

如果用户my_user连续5次登录失败，其账户将被锁定，并且将保持锁定状态2天。

密码历史管理

在数据库中用于密码历史管理的两个参数及其功能：

• PASSWORD_REUSE_TIME
  • 描述：这个参数指定了密码可以被重新使用之前需要经过的天数。这意味着用户在更改密码后，必须等待指定的时间才能将旧密码重新设置为新的密码。
• PASSWORD_REUSE_MAX
  • 描述：这个参数指定了密码可以被重新使用之前必须进行的最大密码更改次数。用户必须更改密码达到指定的次数后，才能重新使用之前的密码。
    以下是如何在Oracle数据库中设置这些参数的示例：

-- 创建或修改配置文件以设置密码重用时间和最大重用更改次数
CREATE PROFILE myprofile LIMIT
 PASSWORD_REUSE_TIME 365
 PASSWORD_REUSE_MAX 5;
-- 将配置文件分配给用户
ALTER USER myuser PROFILE myprofile;

对于使用myprofile配置文件的用户myuser，他们不能在一年内重新使用任何旧密码，并且必须在重新使用任何旧密码之前更改密码至少5次。

密码验证

这段文字描述了在Oracle数据库中用于密码验证的一个参数及其功能：

• PASSWORD_VERIFY_FUNCTION
• 描述：这个参数指定了一个PL/SQL函数，该函数在密码被分配给用户之前执行密码复杂性的检查。这个函数可以自定义，以确保密码满足特定的安全要求，比如最小长度、包含数字、大写字母、小写字母和特殊字符等。
• 例子：Oracle数据库提供了一个默认的密码验证函数ORA12C_VERIFY_FUNCTION，它可以在创建或修改配置文件时被指定为PASSWORD_VERIFY_FUNCTION的值。
  以下是如何在Oracle数据库中设置这个参数的示例：
  sql
• 创建或修改配置文件以使用密码验证函数

CREATE PROFILE myprofile LIMIT
 PASSWORD_VERIFY_FUNCTION ora12c_verify_function;
- 将配置文件分配给用户
ALTER USER myuser PROFILE myprofile;

在这个例子中，对于使用myprofile配置文件的用户myuser，每当他们尝试设置或更改密码时，都会调用ora12c_verify_function函数来检查密码是否符合复杂性要求。如果密码不符合要求，那么密码更改将失败，并且用户会收到一个错误消息。

如果你想要自定义密码验证逻辑，你可以创建自己的PL/SQL函数，并在创建或修改配置文件时指定该函数的名称。例如：

• 创建自定义密码验证函数

CREATE OR REPLACE FUNCTION my_password_verify_function(p_password VARCHAR2, p_old_password VARCHAR2)
 RETURN BOOLEAN IS
 BEGIN
    - 这里添加自定义的密码验证逻辑
   RETURN TRUE; -- 或者根据验证结果返回FALSE
 END;
   - 将自定义密码验证函数分配给配置文件
ALTER PROFILE myprofile LIMIT PASSWORD_VERIFY_FUNCTION my_password_verify_function;

在这个自定义函数中，你可以实现任何你想要的密码验证规则，确保用户设置的密码足够强大，以防止未授权访问。

强制执行密码复杂性和验证规则

PASSWORDVERIFYFUNCTION这个函数在数据库的sqlnet.ora文件中指定，或者直接在数据库中作为分配给用户的PASSWORDPROFILE中的一个参数。

以下是如何使用PASSWORDVERIFYFUNCTION的步骤：

1. 创建PL/SQL函数：
   您需要创建一个PL/SQL函数，负责检查密码的复杂性。这个函数应该返回一个布尔值（TRUE或FALSE）。以下是一个简单的函数示例，它要求密码长度至少为8个字符，并且包含数字和特殊字符：

CREATE OR REPLACE FUNCTION verify_password Complexity
  (p_password VARCHAR2)
  RETURN BOOLEAN IS
BEGIN
  -- 检查密码长度
  IF LENGTH(p_password) < 8 THEN
    RETURN FALSE;
  END IF;
  -- 检查密码是否包含数字
  IF NOT REGEXP_LIKE(p_password, '[0-9]') THEN
    RETURN FALSE;
  END IF;
  -- 检查密码是否包含特殊字符
  IF NOT REGEXP_LIKE(p_password, '[^a-zA-Z0-9]') THEN
    RETURN FALSE;
  END IF;
  -- 如果所有检查都通过，则返回TRUE
  RETURN TRUE;
END verify_password Complexity;
/

2. 在sqlnet.ora文件中指定该函数：
   编辑sqlnet.ora文件，添加以下行来指定密码验证函数：

   PASSWORDVERIFYFUNCTION=verify_password_Complexity

3. 在密码配置文件中设置：
   如果您不想在sqlnet.ora文件中设置，也可以在数据库中为特定的密码配置文件设置该函数：

ALTER PROFILE DEFAULT LIMIT
  PASSWORD_VERIFY_FUNCTION verify_password_Complexity;

这个函数可以实现以下密码复杂性规则：

• 密码长度至少为8个字符
• 密码包含数字
• 密码包含特殊字符
• 密码不包含用户名或用户名的一部分
• 密码不是常见词汇或之前使用过的密码
  PASSWORDVERIFYFUNCTION为在Oracle数据库环境中实施自定义密码策略提供了灵活性。然而，Oracle在新版本的数据库中已经弃用了PASSWORDVERIFYFUNCTION的使用，转而推荐使用DBMSMETADATA包进行密码验证。建议您查看您使用的Oracle数据库版本的官方文档，以获取关于密码管理的最新实践。

创建密码验证函数

1. 以SYS用户身份登录数据库。
2. 创建一个符合以下规范的函数：该函数接受三个参数（用户ID、新密码和旧密码），并返回一个布尔值。
   以下是该函数的创建示例：

CREATE OR REPLACE FUNCTION sys.user_provided_passwd_func (
  userid_parameter IN VARCHAR2(30),
  password_parameter IN VARCHAR2(30),
  old_password_parameter IN VARCHAR2(30)
) RETURN BOOLEAN IS
BEGIN
  -- 在这里实现您的密码验证逻辑
  -- 例如，以下是一些可能的验证规则：
  -- 检查新密码长度是否至少为8个字符
  IF LENGTH(password_parameter) < 8 THEN
    RETURN FALSE;
  END IF;
  -- 检查新密码是否与旧密码不同
  IF password_parameter = old_password_parameter THEN
    RETURN FALSE;
  END IF;
  -- 添加更多的密码复杂性检查
  -- ...
  -- 如果所有检查都通过，则返回TRUE
  RETURN TRUE;
EXCEPTION
  WHEN OTHERS THEN
    -- 如果发生异常，可以记录日志并返回FALSE
    -- 例如：DBMS_OUTPUT.PUT_LINE('Error: ' || SQLERRM);
    RETURN FALSE;
END user_provided_passwd_func;
/

请注意，上述代码只是一个示例，您需要根据自己的密码策略实现具体的验证逻辑。

3. 在创建函数之后，您需要将其与密码配置文件关联起来，以便在用户更改密码时调用该函数：

ALTER PROFILE DEFAULT LIMIT PASSWORD_VERIFY_FUNCTION sys.user_provided_passwd_func;

这样，每当用户尝试更改密码时，系统都会调用user_provided_passwd_func函数来验证新密码是否符合您定义的规则。如果函数返回FALSE，则密码更改操作将失败。