`

Oracle OS认证、口令文件、密码丢失处理

 
阅读更多

一、OS认证

1OS认证介绍

Oracle安装之后默认情况下是启用了OS认证的,这里提到的OS认证是指服务器端OS认证。OS认证的意思是把登录数据库的用户和口令校验放在了操作系统一级。如果以安装Oracle时的用户登录OS,那么此时再登录Oracle数据库时不需要任何验证,如:

SQL> connect / as sysdba

已连接。

SQL> connect sys/system@abc as sysdba

已连接。

SQL> connect sys/bbb as sysdba

已连接。

SQL> connect aaa/bbb as sysdba

已连接。

SQL> show user;

USER  "SYS"

SQL>

不论输入什么用户(哪怕这个用户如aaa在数据库中根本不存在),只要以sysdba权限连接数据库,都可以连接上,并且连接用户是sys,这样很方便,有时候,如果忘记了数据库的密码,而又想登录数据库,可以通过这种方式,前提是在数据库服务器上。

 

2OS认证相关参数

Oracle数据库通过如下3个参数来实现OS认证:

l   (1). sqlnet.ora中的SQLNET.AUTHENTICATION_SERVICES参数。

l   (2). PFILE(SPFILE)文件中的REMOTE_LOGIN_PASSWORDFILE参数。

l   (3). 口令文件PWDsid.ora(Windows)或者orapwSID(linux,大小写敏感).

 

1)、sqlnet.ora文件参数

文件位置:$ORACLE_HOME/network/admin/sqlnet.ora

SQLNET.AUTHENTICATION_SERVICES = (NTS)

参数可以有如下值:

SQLNET.AUTHENTICATION_SERVICES(NTS)|(NONE)

其中:

     (NTS):表示操作系统认证方式,不使用口令文件,默认值。

     (NONE):口令文件认证方式。

 

2)、REMOTE_LOGIN_PASSWORDFILE参数

该参数可以有如下值:

REMOTE_LOGIN_PASSWORDFILE=’NONE’|’EXCLUSIVE’|’SHARED’

其中:

l   NONE:不使用密码文件登录,不允许远程用户用sys登录系统,可以在线修改sys的密码。

l   EXCLUSIVE默认值。只允许一个数据库使用该密码文件,允许远程登录,允许非sys用户以sysdba身份管理数据库,可以在线修改sys的密码。在这种模式下,口令文件可以包含用于多个特许的Oracle账户的口令。这是推荐的操作模式,特别是在运行RMAN时,如果希望将RMAN与来自于远程客户端的数据库连接,则必须使用该参数设置。

l   SHARE:可以多个数据库使用密码文件。实际上是这样的:Oracle数据库在启动时,首先查找的是orapw<sid>的口令文件,如果该文件不存在,则开始查找orapw的口令文件。如果口令文件命名为orapw,多个数据库就可以共享,允许远程登录,只能用sys进行sysdba管理,可以在线修改sys的密码。在此设置下只有INTERNAL/SYS账号能被识别,即使文件中存有其它用户的信息,也不允许他们以SYSOPER/SYSDBA登录。

修改

SQL> ALTER SYSTEM SET REMOTE_LOGIN_PASSWORDFILE=EXCLUSIVE SCOPE=SPFILE;

需要注意的是:这个参数不是动态参数,需要在数据库加载到mount状态下修改,另外改变以后需要重启数据库,参数的设置才能生效。

 

 

3、禁用OS认证

OS认证存在一定的安全隐患,可以屏蔽OS认证。

1)、Windows

Windows下只要把$ORACLE_HOME/network/admin/sqlnet.ora中的SQLNET.AUTHENTICATION_SERVICES=(NTS)改成NONE或者注释掉这句话(前面加上#),就可以屏蔽OS功能,要想以sys用户连上数据库必须输入正确的sys口令,或者可以把Oracle的安装用户从组ora_dba中删除掉,当然也可以直接把ora_dba这个组也删除,都可以屏蔽os认证功能。

如:

SQL> connect / as sysdba

ERROR:

ORA-01031: 权限不足

 

警告: 您不再连接到 ORACLE

SQL> connect sys/aaa as sysdba

ERROR:

ORA-01017: 用户名/口令无效; 登录被拒绝

 

SQL> connect aaa/bbb as sysdba

ERROR:

ORA-01031: 权限不足

 

SQL> connect sys/system as sysdba

已连接。

 

2)、Linux/UNIX

在文件sqlnet.ora中增加SQLNET.AUTHENTICATION_SERVICES=(NONE)以及删除dbagroupdel dba)组或者把oracle用户从dba组中删除都可以屏蔽os认证。

注意:使用这种屏蔽方法,系统管理员还是可以创建ora_dba or dba组以及修改sqlnet.ora文件。

 

 

二、口令文件

1、口令文件说明

Oracle的口令文件的作用是存放所有以sysdba或者sysoper权限连接数据库的用户的口令。如果想以sysdba权限远程连接数据库,必须使用口令文件,否则不能连上。由于sys用户在连接数据库时必须以sysdba or sysoper方式,也就是说sys用户要想连接数据库必须使用口令文件,因此我认为在数据库中存放sys用户的口令其实没有任何意义。使用口令文件的好处是即使数据库不处于open状态,依然可以通过口令文件验证来连接数据库。开始安装完oracle,没有给普通用户授予sysdba权限,口令文件中只存放了sys的口令,如果之后把sysdba权限授予了普通用户,那么此时会把普通用户的口令从数据库中读到口令文件中保存下来,当然这是必须要求数据库处于open状态。

 

2、查看具有sysdba权限的用户

可以通过查询v$pwfile_users视图来查看有几个用户被授予了sysdba或者sysoper权限,v$pwfile_users的信息就是来源于口令文件。

SQL> select * from v$pwfile_users;

USERNAME                       SYSDB SYSOP

------------------------------ ----- -----

SYS                            TRUE  TRUE

LXH                            TRUE  FALSE

USR1                           TRUE  TRUE

 

到底可以有几个用户被授予sysdba或者sysoper权限,是由创建口令文件时指定的entries数决定的,准确的说还不完全是,最终还和os block的大小有关,如果entries指定了5,一个os block可以存放8个用户的口令,那么可以有8个用户被授予sysdba或者sysoper

注意:事实是口令多长,加密之后的长度几乎都是相同的。也就是说口令文件占用的大小和口令指定的长度几乎关系不大。

c:\>orapwd file=databasepwd.ora password=system entries=5

OPW-00005: 存在同名文件 - 请删除或重命名

c:\>orapwd file=databasepwd.ora password=system entries=5 force=y

创建口令文件需要注意的是=前后没有空格。在10g增加了一个新的参数force defaultn,它的作用类似于创建表空间时的reuse功能,当同名文件存在时是否覆盖。

是否使用口令文件,由remote_login_passwordfile参数控制,这个参数在上面有说明。

 

3、口令文件格式

Windows下口令文件的格式是pwdsid.ora(大小写敏感)

UNIX下的格式是orapwSID(大小写敏感)

Oracle数据库在启动时,首先查找的是orapw<sid>的口令文件,如果该文件不存在,则开始查找orapw的口令文件,如果口令文件命名为orapw,多个数据库就可以共享。口令文件创建完后,数据库需要重启,新的口令文件才能生效。

 

4sys/system密码丢失的处理方法

1)、查询视图v$pwfile_users,记录下拥有sysoper/sysdba系统权限的用户信息。

2)、关闭数据库

3)、将密码文件重命名

4)、用orapwd命令重建密码文件

orapwd file=/u01/app/oracle/product/10.2.0/db_1/dbs/orapworcl password=admin entries=5   force=y

5)、将第一步查出来的用户添加到密码文件

grant sysdba,sysoper to user;





转载自Dave:http://blog.csdn.net/tianlesoftware/article/details/4698293

分享到:
评论

相关推荐

    Oracle_OS认证与口令文件认证详解

    在Oracle数据库管理系统中,提供了多种认证机制,其中OS认证和口令文件认证是两种常用的认证方式。本篇将详细介绍这两种认证方式的配置方法以及它们在验证SYSDBA/SYSOPER权限时的应用。 OS认证(操作系统认证)允许...

    oracle中os认证,参数remote_login_passfile,口令文件(转)[文].pdf

    3. `SHARED`: 口令文件认证可被多个数据库实例共享,但在这种模式下,只有`INTERNAL`和`SYS`账户会被识别,即使文件中包含了其他用户的信息。 Oracle的口令文件,通常位于`$ORACLE_HOME/database/pwdsid.ora`,用于...

    Oracle 11g控制文件全部丢失从零开始重建控制文件

    Oracle 11g控制文件全部丢失从零开始重建控制文件,如果丢失了所有的控制文件并且没有任何的备份,我们可以通过重建控制文件来打开数据库。其中,重建控制文件至少需要以下信息: 1.数据库名 2.字符集 3.数据文件...

    Oracle默认密码及修改密码.docx

    另外,如果你使用的是操作系统认证,可以删除旧的密码文件并创建新的,例如: ``` orapwd file=d:\oracle\database\pwdetalker.ora password=newpass entries=10 force=y; ``` 这将创建一个新的口令文件,其中`...

    Oracle使用配置文件创建口令管理策略

    Oracle 使用配置文件创建口令管理策略 Oracle 数据库管理中的口令管理策略是非常重要的安全机制之一。在本文中,我们将详细介绍如何使用配置文件创建口令管理策略,以提高 Oracle 数据库的安全性。 首先,让我们来...

    如果忘记了Oracle Database 10g 管理员用户口令怎么办

    使用Oracle密码文件 Oracle提供了一个名为`orapwd`的命令行工具,可以用来创建或更新包含数据库管理员用户口令的文件。这种方法适用于知道一个具有足够权限的用户口令的情况下。 **步骤如下:** - 打开命令提示...

    更改oracle11g口令期限

    更改oracle11g口令期限,解决帐号密码到期的问题

    Oracle设置用户密码复杂度的函数

    ### Oracle设置用户密码复杂度的函数 在Oracle数据库管理中,为了提高安全性并遵循最佳实践,设置复杂的密码策略是至关重要的。本文将详细介绍如何通过创建一个名为`my_password_verify`的自定义函数来实现对Oracle...

    Oracle数据库联机日志文件丢失处理方法

    Oracle 数据库联机日志文件丢失处理方法 Oracle 数据库联机日志文件是数据库运行的重要组件,负责记录数据库的事务信息,以便在出现故障时可以恢复数据库。然而,在某些情况下,联机日志文件可能会丢失,从而导致...

    Oracle密码文件的创建、使用和维护Oracle密码文件的创建、使用和维护Oracle密码文件的创建、使用和维护

    Oracle密码文件是Oracle数据库系统中用于管理特权用户(如INTERNAL、SYSDBA和SYSOPER)登录验证的关键组件。本文详细介绍了如何创建、使用和维护Oracle密码文件,以及相关的配置参数和用户管理操作。 首先,Oracle...

    Oracle数据库认证大师

    Oracle数据库认证大师考试是Oracle认证的考试之一,考试代号为1z0-062,主要考察考生对于Oracle Database 12c的安装和管理相关知识的掌握程度。该考试主要涵盖了数据库实例的参数设置、安全管理、数据库链接的创建等...

    navicat链接oracle文件,OCI文件 oracle11版本 OCI文件链接oracle11

    - **身份验证方式**:可以选择使用Oracle的默认认证或者OCI文件认证。如果选择OCI,需要指定oci.dll的路径。 4. **测试连接**:填写完所有信息后,点击“测试连接”以确保配置正确无误。如果一切顺利,你应该能够...

    Oracle_默认密码及修改密码

    在Oracle中,密码文件是用于存储数据库用户的认证信息的,特别是那些以`INTERNAL`、`SYSDBA`或`SYSOPER`身份登录的用户。正确地创建、使用和维护密码文件对于确保数据库的安全至关重要。 - **创建密码文件**:使用`...

    Oracle口令文件

    详细讲述了Oracle数据库口令文件的作用、创建以及使用。

    Oracle11g口令过期的解决办法整理

    在 Oracle11g 中,密码过期是通过 Profile 文件来控制的,每个用户都有一个对应的 Profile 文件,该文件中设置了密码的有效期限。 解决方案 1:使用 DBA 账户登录 SQL PLUS,并重置新密码 在解决 Oracle11g 密码...

    Oracle数据库口令策略.docx

    通过运行`utlpwdmg.sql`脚本,Oracle会自动创建`VERIFY_FUNCTION()`并更新默认概要文件以应用口令复杂性规则。 通过以上策略,Oracle数据库可以有效地管理和控制用户的口令,增强系统的安全性。理解并正确配置这些...

    oracle密码过期处理方法

    ### Oracle密码过期处理方法 在Oracle数据库管理中,用户密码的有效期是一个重要的安全特性,它可以帮助企业确保数据的安全性和合规性。然而,在实际操作过程中,可能会遇到密码过期的问题,这不仅会影响到用户的...

    Oracle数据库口令策略.doc

    Oracle数据库口令策略

Global site tag (gtag.js) - Google Analytics