Inhoudsopgave:
- Hoe u wachtwoordbeveiliging afdwingt met profielen in Oracle 12c
- Een wachtwoordprofiel maken in Oracle 12c
- Het DEFAULT-profiel in Oracle 12c
Video: Basisprincipes van brandbestrijding: waarom is verandering nodig? 2024
Wachtwoordbeveiliging is de meest gebruikelijke manier om gegevens te beschermen in computersystemen, waaronder Oracle 12c. Deze waarheid is van toepassing op bankautomaten, websites en natuurlijk uw Oracle-database. Wachtwoordbeveiliging helpt bij het vaststellen van identiteit. Het doorgeven van deze verificatie is de eerste stap om te laten zien dat u een vertrouwd lid van de club bent.
Tegenwoordig wanneer u de database maakt:
-
Standaardaccounts zijn vergrendeld.
-
SYS- en SYSTEEMwachtwoorden worden gekozen en ingesteld tijdens het maken van de database.
-
Wachtwoordbeveiliging wordt verbeterd door complexe wachtwoorden te forceren.
Met deze maatregelen is de database redelijk veilig zodra deze is gemaakt.
Hoe u wachtwoordbeveiliging afdwingt met profielen in Oracle 12c
A wachtwoordprofiel is een mechanisme in de database dat een gebruiker dwingt richtlijnen te volgen bij het maken of wijzigen van wachtwoorden. De richtlijnen helpen een sterkere beveiliging van het systeem te bieden door geen zwakke wachtwoorden toe te staan.
De volgende zijn slechte ideeën voor het maken van wachtwoorden en u noch uw gebruikers mogen een van deze dingen doen. Anders open je de deur voor ongenode gasten. Overweeg dus niet
-
Het wachtwoord hetzelfde te maken als de gebruikersnaam
-
wachtwoord uw wachtwoord
-
hetzelfde wachtwoord opnieuw gebruiken wanneer het systeem u vraagt te wijzigen
Complex onthouden wachtwoorden zijn soms onhandig, maar accepteren het als onderdeel van uw verantwoordelijkheid. Anders moet u op een gegeven moment de schuld van iemand nemen die uw wachtwoord vermoedt.
Wachtwoordprofielen voorkomen elk van de problemen in de voorgaande lijst. Wachtwoordprofielen zijn een databasebeheertool (DBA) en laten u het volgende doen:
-
Beperk het aantal keren dat een wachtwoord opnieuw kan worden gebruikt. Als u uw gebruikers een pauze wilt geven, laat hen het wachtwoord twee keer opnieuw gebruiken, maar dat is het dan.
-
Beperk de hoeveelheid tijd voordat een wachtwoord opnieuw kan worden gebruikt. Misschien laat u ze het wachtwoord opnieuw gebruiken, maar zij moeten 90 dagen wachten om dit te doen.
-
Beperking mislukte inlogpogingen. Als aan dit aantal is voldaan, kunt u het account vergrendelen totdat een beveiligingsbeheerder het ontgrendelt of gedurende een bepaalde periode.
-
Wijs een wachtwoordblokkeringstijd toe. Als iemand (of een ander ding ) de limiet bereikt die u hebt ingesteld voor de instelling mislukte aanmeldingspogingen, kunt u een wachttijd forceren voordat de gebruiker het opnieuw kan proberen. Deze instelling kan helpen tegen brute force -aanvallen, waarbij een machine je database bombardeert met een wachtwoordcracker.
-
Geef wachtwoorden een tijdslimiet (of in de terminologie van Oracle, een beperkte levensduur). Wanneer aan deze levensduur wordt voldaan, vraagt het systeem de gebruiker om zijn wachtwoord te wijzigen.
-
Heb een genadetijd van het wachtwoord . Wanneer de levensduur is bereikt, krijgt de gebruiker het bericht "U hebt X aantal dagen om uw wachtwoord te wijzigen. "
-
Controleer de complexiteit van het wachtwoord. Een verificatiefunctie
-
Zorgt ervoor dat het wachtwoord en de gebruikersnaam verschillend zijn.
-
Zorgt ervoor dat het nieuwe wachtwoord drie tekens van het vorige verschilt.
-
Garandeert dat het wachtwoord bestaat uit alfabetische, numerieke en speciale tekens.
-
U kunt uw eigen wachtwoordverificatiefunctie maken en deze koppelen aan een profiel. Een wachtwoordverificatiefunctie is een programma geschreven in PL / SQL (Procedurele taal / gestructureerde zoekopdrachttaal) die wachtwoorden onderzoekt wanneer ze zijn gekozen en deze op basis van criteria accepteert of weigert.
Als u speciale wachtwoordvereisten hebt, kunt u uw eigen wachtwoordverificatiefunctie schrijven en deze aan uw wachtwoordprofiel toewijzen met het kenmerk PASSWORD_VERIFY_FUNCTION van het profiel.
Oracle levert een standaard wachtwoordverificatiefunctie met de database. Standaard zorgt het voor het volgende:
-
Het wachtwoord is niet hetzelfde als de gebruikersnaam (vooruit en achteruit).
-
Het wachtwoord is meer dan zeven tekens.
-
Het wachtwoord is niet hetzelfde als de servernaam.
-
Het wachtwoord is geen gewone slechte keuze, zoals welcome1, wachtwoord, database, abcdefg.
Voer de volgende stappen uit om de door Oracle verstrekte wachtwoordcontrolefunctie te gebruiken:
-
Meld u aan bij de database met SQL * Plus als SYS.
-
Voer het volgende uit:
$ ORACLE_HOME / rdbms / admin / utlpwdmg. sql
Met deze stap wordt de standaardwachtwoordcontrole-functie gemaakt en wordt deze toegewezen aan het DEFAULT-profiel. Als u vertrouwd bent met PL / SQL, kunt u zelfs het voorbeeldbestand van Oracle gebruiken en het aanpassen aan uw behoeften.
Een wachtwoordprofiel maken in Oracle 12c
Ga als volgt te werk om een wachtwoordprofiel te maken:
-
Meld u aan bij de database via SQL * Plus als SYSTEEM.
-
Maak het profiel en beperk de mislukte inlogpogingen, de wachtwoordblokkeringstijd en de levensduur van het wachtwoord:
In dit voorbeeld zijn mislukte inlogpogingen beperkt tot drie, de wachtwoordlock-tijd is beperkt tot 15 minuten en de levensduur van het wachtwoord is beperkt tot 90 dagen.
U ziet dit:
Profiel gemaakt.
De wachtwoordblokkeringsduur in de voorgaande code is 1/96. In Oracle-tijd is dat 15 minuten. Het hele getal 1 is 1 dag en 1/24 is een uur. Verdeel 1/24 door 4 en je krijgt 1/96 (of 15 minuten).
-
Ken het gebruikersprofiel van de rapportschrijver toe aan een gebruiker:
In dit voorbeeld wordt het nieuwe profiel toegewezen aan de HR-gebruiker. U ziet dit terug:
Gebruiker gewijzigd.
Het DEFAULT-profiel in Oracle 12c
Wat als u uw gebruikers geen profiel geeft? In dat geval hebben alle gebruikers het DEFAULT-profiel.
Standaard in Oracle 12c beperkt het DEFAULT-profiel het volgende:
-
FAILED_LOGIN_ATTEMPT = 10
-
PASSWORD_GRACE_TIME 7 (DAYS)
-
PASSWORD_LIFE_TIME 180 (DAYS)
-
PASSWORD_LOCK_TIME 1 (DAY)
-
PASSWORD_REUSE_MAX ONBEPERKT
-
PASSWORD_VERIFY_FUNCTION NULL (geen complexiteit afgedwongen)
-
PASSWORD_REUSE_TIME UNLIMITED
U kunt uw profiel of het DEFAULT-profiel bewerken.Als u bijvoorbeeld de instelling voor mislukte inlogpogingen op 3 wilt wijzigen in het DEFAULT-profiel, typt u het volgende:
U ziet dit:
Profiel gewijzigd.