‌无聊但关键救命的，Oracle密码管理技术详解_数据库账户密码整理-优快云博客

一、引言

Oracle数据库作为企业级关系型数据库管理系统，其安全性至关重要。密码管理作为数据库安全的重要一环，涉及到用户的身份验证、访问控制以及数据的保护等方面。本文将详细介绍Oracle密码管理的相关技术，包括密码文件的创建与管理、密码策略的设置与执行、以及密码安全存储与恢复等方面，旨在帮助数据库管理员更好地保护Oracle数据库的安全。

二、密码文件的创建与管理

1.密码文件的作用

在Oracle数据库中，用户如果要以特权用户身份（INTERNAL/SYSDBA/SYSOPER）登录数据库，可以使用与操作系统集成的身份验证，也可以使用Oracle数据库的密码文件进行身份验证。密码文件存放有超级用户INTERNAL/SYS的口令及其他特权用户的用户名/口令，它一般存放在ORACLE_HOME/DATABASE目录下。

2.密码文件的创建

在使用Oracle Instance Manager创建一个数据库实例时，会在ORACLE_HOME/DATABASE目录下自动创建一个与之对应的密码文件，文件名为PWDSID.ORA，其中SID代表相应的Oracle数据库系统标识符。此密码文件是进行初始数据库管理工作的基础。

管理员也可以根据需要，使用工具ORAPWD.EXE手工创建密码文件。命令格式如下：

C:>ORAPWD FILE=<FILENAME> PASSWORD=<PASSWORD> ENTRIES=<MAX_USERS>

各命令参数的含义为：

FILENAME：密码文件名；
PASSWORD：INTERNAL用户的密码；
MAX_USERS：密码文件中可以存放的最大用户数，对应于允许以SYSDBA/SYSOPER权限登录数据库的最大用户数。由于在以后的维护中，若用户数超出了此限制，则需要重建密码文件，所以此参数可以根据需要设置得大一些。
- 3.密码文件的使用状态设置

在Oracle数据库实例的初始化参数文件中，REMOTE_LOGIN_PASSWORDFILE参数控制着密码文件的使用及其状态。该参数有以下三个选项：

NONE：指示Oracle系统不使用密码文件，特权用户的登录通过操作系统进行身份验证；
EXCLUSIVE：指示只有一个数据库实例可以使用此密码文件。只有在此设置下的密码文件可以包含有除INTERNAL/SYS以外的用户信息，即允许将系统权限SYSOPER/SYSDBA授予除INTERNAL/SYS以外的其他用户；
SHARED：指示可有多个数据库实例可以使用此密码文件。在此设置下只有INTERNAL/SYS帐号能被密码文件识别，即使文件中存有其他用户的信息，也不允许他们以SYSOPER/SYSDBA的权限登录。此设置为默认值。

在REMOTE_LOGIN_PASSWORDFILE参数设置为EXCLUSIVE、SHARED情况下，Oracle系统搜索密码文件的次序为：在系统注册库中查找ORA_SID_PWFILE参数值（它为密码文件的全路径名）；若未找到，则查找ORA_PWFILE参数值；若仍未找到，则使用默认值ORACLE_HOME\DATABASE\PWDSID.ORA；其中的SID代表相应的Oracle数据库系统标识符。

当初始化参数REMOTE_LOGIN_PASSWORDFILE设置为EXCLUSIVE时，系统允许除INTERNAL/SYS以外的其他用户以管理员身份从远端或本机登录到Oracle数据库系统，执行数据库管理工作；这些用户名必须存在于密码文件中，系统才能识别他们。

由于不管是在创建数据库实例时自动创建的密码文件，还是使用工具ORAPWD.EXE手工创建的密码文件，都只包含INTERNAL/SYS用户的信息。为此，在实际操作中，可能需要向密码文件添加或删除其他用户帐号。由于仅被授予SYSOPER/SYSDBA系统权限的用户才存在于密码文件中，所以当向某一用户授予或收回SYSOPER/SYSDBA系统权限时，他们的帐号也将相应地被加入到密码文件或从密码文件中删除。由此，向密码文件中增加或删除某一用户，实际上也就是对某一用户授予或收回SYSOPER/SYSDBA系统权限。

要进行此项授权操作，需使用SYSDBA权限（或INTERNAL帐号）连入数据库，且初始化参数REMOTE_LOGIN_PASSWORDFILE的设置必须为EXCLUSIVE。具体操作步骤如下：

创建相应的密码文件；
设置初始化参数REMOTE_LOGIN_PASSWORDFILE=EXCLUSIVE；
使用SYSDBA权限登录：CONNECT SYS/internal_user_password AS SYSDBA；
启动数据库实例并打开数据库；
创建相应用户帐号，对其授权（包括SYSOPER和SYSDBA）：授予权限：GRANT SYSDBA TO user_name；收回权限：REVOKE SYSDBA FROM user_name；

现在这些用户可以以管理员身份登录数据库系统了。有了密码文件后，用户就可以使用密码文件以SYSOPER/SYSDBA权限登录Oracle数据库实例了，注意初始化参数REMOTE_LOGIN_PASSWORDFILE应设置为EXCLUSIVE或SHARED。

4.密码文件的维护

可以通过查询视图V$PWFILE_USERS来获取拥有SYSOPER/SYSDBA系统权限的用户的信息，表中SYSOPER/SYSDBA列的取值TRUE/FALSE表示此用户是否拥有相应的权限。这些用户也就是相应地存在于密码文件中的成员。

当向密码文件添加的帐号数目超过创建密码文件时所定的限制（即ORAPWD.EXE工具的MAX_USERS参数）时，为扩展密码文件的用户数限制，需重建密码文件。详细步骤如下：

查询视图V$PWFILE_USERS，记录下拥有SYSOPER/SYSDBA系统权限的用户信息；
停止数据库实例；
用ORAPWD.EXE新建一密码文件；
将步骤a中记录的用户添加到密码文件中；
启动数据库实例。

密码文件的状态信息存放于此文件中，当它被创建时，它的默认状态为SHARED。可以通过改变初始化参数REMOTE_LOGIN_PASSWORDFILE的设置改变密码文件的状态。当加载数据库时，系统将此参数与口令文件的状态进行比较，如果不同，则更新密码文件的状态。

三、密码策略的设置与执行

1.密码策略的重要性

强大的密码策略可以有效防止黑客攻击，并确保数据库中的敏感数据安全。未受保护的密码可能会被黑客窃取，从而导致数据库中敏感数据的泄露；未经授权的用户可以利用弱密码访问数据库，导致服务中断或数据破坏；数据库安全漏洞会损害组织的声誉，并导致客户和合作伙伴失去信任。

2.创建安全策略

在Oracle中，我们可以使用安全策略来管理用户的密码。安全策略是一种预定义的规则集，用于控制用户访问数据库的行为。通过创建安全策略，我们可以实现以下功能：

强制用户使用强密码：安全策略可以要求用户设置复杂的密码，包括大小写字母、数字和特殊字符的组合；
限制密码尝试次数：安全策略可以限制用户在一定时间内尝试登录的次数，以防止暴力破解；
设置账户锁定时间：当用户连续多次尝试登录失败后，安全策略可以设置账户锁定的时间，以防止恶意攻击；
过期密码：安全策略可以设置密码的有效期，要求用户定期更换密码。

要创建安全策略，首先需要登录到Oracle数据库服务器，然后执行以下步骤：

以sys用户或具有创建安全策略权限的用户身份登录到数据库服务器；
打开SQL*Plus工具，输入用户名和密码进行连接；
创建一个新的安全策略，例如名为“my_security_policy”的安全策略：CREATE PROFILE my_security_policy IDENTIFIED BY my_security_policy；
为安全策略添加规则，例如要求用户使用强密码、限制密码尝试次数等：

ALTER PROFILE my_security_policy LIMIT PASSWORD_REUSE_TIME UNLIMITED；

ALTER PROFILE my_security_policy FAILED_LOGIN_ATTEMPTS 5；

ALTER PROFILE my_security_policy PASSWORD_LOCK_TIME 30；

ALTER PROFILE my_security_policy PASSWORD_LIFE_TIME 90；

将安全策略应用到用户上，例如将名为“my_user”的用户应用“my_security_policy”安全策略：ALTER USER my_user PROFILE my_security_policy；
3.监控和管理安全策略

在Oracle中，我们可以通过以下方法监控和管理安全策略：

查询安全策略信息：可以使用以下SQL语句查询当前用户的安全策略信息：SELECT * FROM dba_profiles WHERE profile = 'my_security_policy'；
修改安全策略：如果需要修改现有的安全策略，可以使用ALTER PROFILE命令进行修改，将密码尝试次数限制增加到10次：ALTER PROFILE my_security_policy FAILED_LOGIN_ATTEMPTS 10；
删除安全策略：如果不再需要某个安全策略，可以使用DROP PROFILE命令进行删除，删除名为“my_security_policy”的安全策略：DROP PROFILE my_security_policy；