10、概要文件和数据库审计.pptVIP

概要文件和数据库审计 主讲：深圳职业技术学院 高继民 讲解要点 使用概要文件管理口令 使用概要文件进行资源限制 进行语句审计、权限审计和对象审计 概要文件的作用 限制用户执行消耗资源过度的SQL操作。 自动断开空闲会话。 在大而复杂的多用户数据库系统中合理分配资源。 控制用户口令的使用。 创建用户操作 使用CREATE USER语句可以创建一个新的数据库用户，执行该语句的用户必须具有CREATE USER系统权限。在创建用户之前，首先要确认这个用户的一些信息： 用户名称是什么？ 该用户采用什么验证方式？ 用户的缺省表空间和临时表空间是什么？ 允许用户在表空间中使用多少空间配额？ 概要文件内容-口令策略参数 口令策略参数可以实现帐户锁定、口令的过期以及口令的复杂度等策略，在概要文件中的口令参数可以有以下几个： FAILED_LOGIN_ATTEMPTS：该参数指定允许的输入错误口令的次数，超过该次数后用户帐户被自动锁定。 PASSWORD_LOCK_TIME：用于指定指定账户被锁定的天数(单位：天)。 PASSWORD_LIFE_TIME：指定口令的有效期(单位：天)。如果在达到有效期前用户还没有更换口令，它的口令将失效，这时必须由DBA为它重新设置新的口令。 PASSWORD_GRACE_TIME：用于指定口令失效的宽限期(单位：天)。 PASSWORD_REUSE_TIME：指定能够重复使用一个口令前必须经过的时间(单位：天)。 PASSWORD_REUSE_MAX：用于指定在重复使用口令之前必须对口令进行修改的次数。PASSWORD_REUSE_TIME和PASSWORD_REUSE_MAX两个参数只能设置一个，另一个必须为UNLIMITED。 PASSWORD_VERIFY_FUNCTION：指定验证口令复杂度的函数。Oracle提供了一个默认的口令校验函数，这可以通过运行脚本utlpwdmg.sql来建立该函数，脚本保存在ORACLE_HOME\rdbms\admin目录中。DBA也可以通过修改脚本来实现自己的口令校验函数。 概要文件内容-资源限制参数 CPU_PER_SESSION：限制每个会话所能使用的CPU时间。参数值是一个整数，单位是百分之一秒。 SESSIONS_PER_USER：限制每个用户所允许建立的最大并发会话数。 CONNECT_TIME：限制每个会话能连接到数据库的最长时间，超过这个时间会话将自动断开。参数值是一个整数，单位是分钟。 IDLE_TIME：限制每个会话所允许的最长连续空闲时间，超过这个时间会话将自动断开。参数值是一个整数，单位是分钟。 LOGICAL_READS_PER _SESSION：限制每个会话所能读取的数据块数目。 PRIVATE_SGA：每个会话分配的私有SGA区大小（以字节为单位）。该参数只对共享服务器模式有效。 CPU_PER_CALL：用于指定每条SQL语句可占用的最大CPU时间，单位是百分之一秒。 LOGICAL_READS_PER_CALL：用于指定每条SQL语句最多所能读取的数据块数目。 锁定帐户 通过使用概要文件，可以限制登录失败次数，如果连续登录的失败次数超出一定范围，那么Oracle会自动锁定账户 为了加强devp用户的口令安全，要限制其登录失败次数为3创建概要文件，设定相关参数 CREATE PROFILE devp_lock LIMITFAILED_LOGIN_ATTEMPTS 3;分配概要文件给用户devp ALTER USER devp PROFILE devp_lock;。 终止口令 强制用户devp每隔10天修改其自身口令，并设置两天宽限期。CREATE USER u02 创建概要文件，设定相关参数 SQLCREATE PROFILE devp_life LIMIT PASSWORD_LIFE_TIME 10 PASSWORD_GRACE_TIME 2; GRANT CONNECT,RESOURCE TO u02; 分配概要文件给用户devp SQLALTER USER devp PROFILE devp_life; 口令校验 默认的口令校验函数 Oracle也提供了默认的口令校验函数VERIFY_FUNCTION，该口令校验函数具有以下一些功能： 口令最少为4个字符。 口令不能与用户名相同。 新口令与旧口令至少有三个字符不同。 口令至少包含一个阿拉伯字母、一个数字和一个特殊字符。 可以通过以SYS用户身份登录后运行脚本utlpwdmg.sql来建立默认的口令校验函数，脚本保存在ORACLE_HOME\rdbms\admin目录中。DBA也可以通过修改脚本来实现自己的口令校验函数。 使用口令校验函数 为用户devp指