《11g新特性安全.docxVIP

一．密码安全?为了遵守各种安全性和隐私规定，必须使用更安全的口令。如果口令非常短或仅包含有限的字符，则对于强力攻击就很脆弱，而包含较多不同字符的较长口令就很难被猜出或获得。?在Oracle Database 11g中，口令的处理方式与早期版本中的处理方式有所不同：(1)? 口令区分大小写。口令中使用的大写字符和小写字符现在是不同的字符。(2)? 口令可以包含未用引号括起来的多字节字符。如果口令包含除$、_ 或# 外的任何特殊字符，则必须用引号括起来。(3)? 口令始终通过散列算法传递，然后作为用户身份证明进行存储。用户提供口令时，系统会对其进行散列运算，然后将其与存储的身份证明进行比较。在Oracle Database(4)? 11g 中，散列算法是早期版本数据库中使用的公共算法SHA-1。SHA-1 是一种使用160 位密钥的较强算法。(5)? 口令始终使用salt。如果输入内容相同，散列函数将始终生成相同的输出。Salt是添加到输入中的唯一（随机）值，用于确保输出身份证明是唯一的。?OracleDatabase 11g 中的口令：(1)? 区分大小写(2)? 包含更多的字符(3)? 使用更安全的散列算法(4)? 在散列算法中使用salt?用户名仍是Oracle 标识符（最多30个字符，不区分大小写）。?之前整理的Blog：Oracle10g/11g 密码策略用户口令大小写敏感说明/tianlesoftware/article/details/7383110??二．自动安全配置Oracle Database11g 使用由Internet 安全中心(CIS) 基准推荐的特定安全功能安装和创建数据库。与10gR2 的默认安装相比，CIS 推荐的配置更安全，而且开放程度足以使大多数应用程序都能成功运行。许多客户已采用了此基准。CIS 基准的一些建议可能与一些应用程序不兼容。?2.1 Profile安全默认配置使用DatabaseConfiguration Assistant (DBCA) 创建自定义数据库时，可以指定Oracle Database11g 的默认安全配置。默认情况下，如果用户使用不正确的口令多次尝试连接Oracle 实例，则在第三次尝试后该实例将延迟每次登录。这种保护措施适用于从不同的IP地址或多个客户机进行的连接尝试。稍后，它将逐渐增加用户可以尝试其它口令的时间间隔，最长时间大约为十秒。?创建数据库时，将启用具有如下设置的默认口令概要文件：PASSWORD_LIFE_TIME 180PASSWORD_GRACE_TIME 7PASSWORD_REUSE_TIME UNLIMITEDPASSWORD_REUSE_MAX UNLIMITEDFAILED_LOGIN_ATTEMPTS 10PASSWORD_LOCK_TIME 1PASSWORD_VERIFY_FUNCTION NULL?Oracle Database 10g?数据库升级后，只有使用ALTER USER…?命令更改口令后，口令才会区分大小写。创建数据库时，默认情况下口令区分大小写。?Oracle 用户 profile 属性/tianlesoftware/article/details/6238279?默认情况下：? 启用默认口令概要文件? 如果连续10 次登录失败，则锁定该帐户?在升级过程中：? 口令不区分大小写（除非进行更改）? 使用ALTER USER 命令时口令区分大小写?创建时：? 口令区分大小写?2.2 密码复杂性检查在前面提到要求密码的复杂度，但是实际上我们也可以定制自己的密码安全要求。在2.1 节的profile中有一个选项：PASSWORD_VERIFY_FUNCTION NULL???? 这里没有启用密码验证函数。我们可以直接使用Oracle自带的脚本创建我们的密码验证函数。也可以根据自己的需求来修改脚本，在创建函数。??? 默认创建口令验证函数的脚本：@?/rdbms/admin/utlpwdmg.sql?脚本较长，最后已附录贴出来。??????? 在Orcle 11g的版本中，该脚本会创建2个函数：verify_function 和 verify_function_11G。?如果profile中命名的口令复杂性检查功能中存在错误或此功能不存在，则不能更改口令，也不能创建用户。解决方法是在概要文件中将PASSWORD_VERIFY_FUNCTION 设置为NULL，直到问题得到解决。?verify_function_11g功能将检查口令是否至少包含八个字符、是否至少包含一个数字和一个字母字符，以及是否至少有三个字符与以前口令不同。?该函数还确认此口令不是以下项：用户名或附加了1 到100 之间任何数字的用户名、反向的用户名、服务器名或附