在數(shù)據(jù)庫的用戶安全中，口令復(fù)雜度策略和資源限制是用戶安全重要的一部分。在DM數(shù)據(jù)庫中，口令策略分為系統(tǒng)口令策略和用戶口令策略。只有安全版本才支持對每個用戶設(shè)置口令策略(即用戶口令策略)，非安全版本，只支持系統(tǒng)口令策略。

DM數(shù)據(jù)庫提供了用戶IP地址和登錄時段限制功能，本章介紹DM數(shù)據(jù)庫系統(tǒng)口令策略設(shè)置和用戶登錄限制設(shè)置。

本章內(nèi)容已在如下環(huán)境上測試：

①操作系統(tǒng)：中標(biāo)麒麟7；

②數(shù)據(jù)庫版本：達(dá)夢8；

相關(guān)關(guān)鍵字：DM密碼策略，PWD_POLICY、IP限制、登錄時段限制

系統(tǒng)口令策略

數(shù)據(jù)庫在創(chuàng)建用戶時，需要指定用戶的密碼，密碼的復(fù)雜度要求由系統(tǒng)的口令策略PWD_POLICY參數(shù)決定。系統(tǒng)支持的口令策略有：

0無策略

1禁止與用戶名相同

2口令長度不小于9

4至少包含一個大寫字母(A-Z)

8至少包含一個數(shù)字(0-9)

16至少包含一個標(biāo)點符號(英文輸入法狀態(tài)下，除”和空格外的所有符號)

口令策略可單獨(dú)應(yīng)用，也可組合應(yīng)用。比如我們即要求禁止用戶名與密碼相同，又要求口令至少包含一個大寫字母，則設(shè)置口令策略為1+4=5即可。

使用如下語句可查詢系統(tǒng)的口令策略信息：

SQL>select * where PARA_NAME = 'PWD_POLICY';

查詢結(jié)果如下，可以看到，默認(rèn)口令參數(shù)為2。

可以看出PWD_POLICY參數(shù)為動態(tài)參數(shù)，我們可以通過使用DM控制臺工具或調(diào)用系統(tǒng)過程SP_SET_PARA_VALUE重新設(shè)置PWD_POLICY的值。

使用DM控制臺工具

在DM安裝目錄tool下使用DM安裝用戶執(zhí)行./console，即可打開DM控制臺工具，在安全相關(guān)參數(shù)中找到PWD_POLICY參數(shù)選項(也可以直接在查找項輸入PWD_POLICY參數(shù))，即可修改PWD_POLICY參數(shù)的值，如下圖所示。

需要注意的是，DM控制臺工具為脫機(jī)工具，對參數(shù)值的修改通過修改dm.ini文件中參數(shù)值來實現(xiàn)，無論參數(shù)類型是靜態(tài)還是動態(tài)，都需要重啟DM服務(wù)器才能使新設(shè)置的參數(shù)值生效。

使用系統(tǒng)過程

DM控制臺工具參數(shù)修改需要重啟數(shù)據(jù)庫才能生效，對于生產(chǎn)環(huán)境來說非常不方便，我們可以使用系統(tǒng)過程SP_SET_PARA_VALUE來配置PWD_POLICY參數(shù)值。例如，將PWD_POLICY置為15(1+2+4+8)，由于PWD_POLICY為動態(tài)參數(shù)，我們可以同時修改文件和內(nèi)存參數(shù)，此時設(shè)置后新參數(shù)值立即生效。執(zhí)行如下函數(shù)修改參數(shù)：

SQL>SP_SET_PARA_VALUE(1, 'PWD_POLICY', 15);

修改完成后，查詢系統(tǒng)參數(shù)，可以看到PWD_POLICY已經(jīng)被修改。

此時，我們新建testuser用戶，指定密碼為dameng123，系統(tǒng)將會提示密碼不符合復(fù)雜度規(guī)則。修改密碼為Dameng123(此時符合15的規(guī)則)，提示創(chuàng)建成功。

我們查詢DBA_USERS視圖，可以看到新建用戶TESTUSER對應(yīng)的口令策略為15，而SYSSSO、SYSDBA、SYS、SYSAUDITOR系統(tǒng)用戶口令策略為0，其他普通用戶的口令策略使用原來的口令策略2(創(chuàng)建用戶時系統(tǒng)的口令策略)。

可以看出，系統(tǒng)口令策略只對新創(chuàng)建的用戶有效，而原來已創(chuàng)建的用戶仍然使用原有的系統(tǒng)口令策略。

假如我們想修改用戶的口令策略，非安全版本是不支持的，只有安全版本才支持。非安全版本顯示錯誤如下圖。

資源限制

DM數(shù)據(jù)庫提供用戶資源限制、IP地址限制和用戶時間段限制功能。

我們使用如下命令限制testuser用戶的登錄，當(dāng)用戶連續(xù)登錄失敗10次后將會鎖定，限制其登錄IP為192.168.88.*的IP網(wǎng)絡(luò)，登錄時間限制為周一早上8：00至周四下午17：30。

SQL>alter USER testuser LIMIT FAILED_LOGIN_ATTEMPS 10 ALLOW_IP "192.168.88.*" ALLOW_DATETIME "MON" "8:30:00" TO "THURS" "17:30:00";

執(zhí)行成功后，查詢sysusers數(shù)字字典可以看到testuser已經(jīng)限制了IP和時段。

使用testuser用戶登錄，提示無效的IP。執(zhí)行如下SQL修改IP限制增加127.0.0.1，再次使用testuser登錄，提示錯誤：在限制的時段登錄。

SQL>alter user testuser ALLOW_IP "192.168.88.*","127.0.0.1";

因為當(dāng)前系統(tǒng)時間是周五，已經(jīng)不在允許的登錄時段范圍內(nèi)，我們執(zhí)行如下命令修改可允許登錄時間為周一8：00至周五17：30。

SQL>alter user testuser ALLOW_DATETIME "MON" "8:30:00" TO "FRI" "17:30:00";

再次使用testuser登錄，顯示登錄成功。

總結(jié)：

系統(tǒng)口令策略只對新創(chuàng)建的用戶有效，老用戶仍然使用原來的口令策略。

安全版本可以指定和修改用戶的口令策略，非安全版本不能指定某個用戶的口令策略。

DM數(shù)據(jù)庫開放了用戶IP限制、時段限制功能，更多的保障了用戶的登錄安全。

好，本次分享到此結(jié)束，

希望能給大家?guī)韼椭?#xff0c;

感謝大家。

往期干貨精選

◆干貨分享|DM8數(shù)據(jù)庫基于時間點的恢復(fù)

◆干貨分享|DM8多次故障恢復(fù)后使用不同數(shù)據(jù)庫歸檔恢復(fù)

◆干貨分享|DM8表空間備份恢復(fù)

◆干貨分享|聯(lián)機(jī)增量遷移DM數(shù)據(jù)庫

總結(jié)

以上是生活随笔為你收集整理的sysdba 默认密码_干货分享|DM数据库密码策略和登录限制设置的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。