oracle数据库文件:Oracle数据库中文件加密详解来源: 发布时间:星期日, 2009年2月22日 浏览:1次 评论:0
="t18">Oracle关系数据库系统以其卓越
 性能获得了广泛应用 而保证数据库安全性是数据库管理工作重要内容 本文是笔者在整理总结Oracle数据库安全管理工作基础上对Oracle数据库系统密码文件创建、使用和维护作了详细介绍供大家参考在Oracle数据库系统中 用户如果要以特权用户身份登录Oracle数据库可以有两种身份验证思路方法:即使用和操作系统集成身份验证或使用 Oracle数据库密码文件进行身份验证因此管理好密码文件对于控制授权用户从远端或本机登录Oracle数据库系统执行数据库管理工作具有重要意义Oracle数据库 密码文件存放有超级用户INTERNAL/SYS口令及其他特权用户用户名/口令它 般存放在ORACLE_HOME\DATABASE目录下创建密码文件 在使用Oracle Instance Manager创建 数据库例子时侯在ORACLE_HOME\DATABASE目录下还自动创建了个和的对应密码文件文件名为 PWDSID.ORA其中SID代表相应Oracle数据库系统标识符此密码文件是进行 数据库管理工作基矗在此的后管理员也可以根据需要使用工具ORAPWD.EXE手工创建密码文件命令格式如下:C:\ >ORAPWDFILE=< FILENAME >PASSWORD =< PASSWORD > ENTRIES=< MAX_USERS > 各命令参数 含义为:FILENAME:密码文件名; PASSWORD:设置INTERNAL/SYS帐号 口令MAX_USERS:密码文件中可以存放 最大用户数对应于允许以SYSDBA/SYSOPER权限登录数据库最大用户数由于在以后维护中若用户数超出了此限制则需要重建密码文件所以此参数可以根据需要设置得大些有了密码文件的后 需要设置化参数REMOTE_LOGIN_PASSWORDFILE来控制密码文件使用状态设置 化参数在Oracle数据库例子 化参数文件中此参数控制着密码文件使用及其状态它可以有以下几个选项:NONE:指示Oracle系统不使用密码文件 特权用户登录通过操作系统进行身份验证EXCLUSIVE:指示只有 个数据库例子可以使用此密码文件只有在此设置下密码文件可以包含有除INTERNAL/SYS以外用户信息即允许将系统权限SYSOPER/SYSDBA授予除INTERNAL/SYS以外其他用户SHARED:指示可有多个数据库例子可以使用此密码文件 在此设置下只有INTERNAL/SYS帐号能被密码文件识别即使文件中存有其他用户信息也不允许他们以SYSOPER/SYSDBA权限登录此设置为缺省值在REMOTE_LOGIN_PASSWORDFILE参数设置为EXCLUSIVE、SHARED情况下 Oracle系统搜索密码文件次序为:在系统注册库中查找ORA_SID_PWFILE参数值(它为密码文件全路径名);若未找到则查找ORA_PWFILE参数值;若仍未找到则使用缺省值ORACLE_HOME\DATABASE\PWDSID.ORA;其中SID代表相应Oracle数据库系统标识符向密码文件中增加、删除用户 当 化参数REMOTE_LOGIN_PASSWORDFILE设置为EXCLUSIVE时系统允许除INTERNAL/SYS以外其他用户以管理员身份从远端或本机登录到Oracle数据库系统执行数据库管理工作;这些用户名必须存在于密码文件中系统才能识别他们由于不管是在创建数据库例子时自动创建密码文件还是使用工具ORAPWD.EXE手工创建密码文件都只包含INTERNAL/SYS用户信息;为此在实际操作中可能需要向密码文件添加或删除其他用户帐号由于仅被授予SYSOPER/SYSDBA系统权限 用户才存在于密码文件中所以当向某用户授予或收回SYSOPER/SYSDBA系统权限时他们帐号也将相应地被加入到密码文件或从密码文件中删除由此向密码文件中增加或删除某用户实际上也就是对某用户授予或收回 SYSOPER/SYSDBA系统权限要进行此项授权操作 需使用SYSDBA权限(或INTERNAL帐号)连入数据库且化参数REMOTE_LOGIN_PASSWORDFILE设置必须为EXCLUSIVE具体操作步骤如下:◆ 创建相应 密码文件;◆ 设置 化参数REMOTE_LOGIN_PASSWORDFILE=EXCLUSIVE;◆ 使用SYSDBA权限登录: CONNECTSYS/  ernal_user_passswordASSYSDBA;◆ 启动数据库例子并打开数据库; ◆ 创建相应用户帐号 对其授权(包括SYSOPER和SYSDBA): 授予权限:GRANTSYSDBATOuser_name;◆ 收回权限:REVOKESYSDBAFROMuser_name 现在这些用户可以以管理员身份登录数据库系统了使用密码文件登录 有了密码文件后 用户就可以使用密码文件以SYSOPER/SYSDBA权限登录Oracle数据库例子了注意化参数 REMOTE_LOGIN_PASSWORDFILE应设置为EXCLUSIVE或SHARED任何用户以SYSOPER/SYSDBA权限登录后将位于SYS用户Schema的下以下为两个登录例子:1. 以管理员身份登录: 假设用户scott已被授予SYSDBA权限 则他可以使用以下命令登录:CONNECTscott/tigerASSYSDBA 2. 以INTERNAL身份登录: CONNECTINTERNAL/INTERNAL_PASSWORD 保护密码文件 1. 查看密码文件中 成员可以通过查询视图V$PWFILE_USERS来获取拥有SYSOPER/SYSDBA系统权限 用户信息表中SYSOPER/SYSDBA列取值TRUE/FALSE表示此用户是否拥有相应权限这些用户也就是相应地存在于密码文件中成员2. 修改密码文件 状态密码文件 状态信息存放于此文件中当它被创建时它缺省状态为SHARED可以通过改变化参数 REMOTE_LOGIN_PASSWORDFILE设置改变密码文件状态当启动数据库事例时Oracle系统从化参数文件中读取 REMOTE_LOGIN_PASSWORDFILE参数设置;当加载数据库时系统将此参数和口令文件状态进行比较如果区别则更新密码文件状态若计划允许从多台客户机上启动数据库例子由于各客户机上必须有化参数文件所以应确保各客户机上化参数文件致性以避免意外地改变了密码文件状态造成数据库登陆失败3. 修改密码文件 存储位置密码文件 存放位置可以根据需要进行移动但作此修改后应相应修改系统注册库有关指向密码文件存放位置参数或环境变量设置4. 删除密码文件 在删除密码文件前,应确保当前运行 各数据库例子化参数REMOTE_LOGIN_PASSWORDFILE皆设置为NONE在删除密码文件后若想要以管理员身份连入数据库话则必须使用操作系统验证思路方法进行登录0
相关文章
读者评论发表评论 |
|
 |
专注于互联网--专注于架构 |
最新标签 网站地图 文章索引 Rss订阅 |
