oracle安装之后默认情况下是启用了os认证的,这里提到的os认证是指服务器端os认证。os认证的意思把登录数据库的用户和口令校验放
一. os认证
1.1 os认证介绍
oracle安装之后默认情况下是启用了os认证的,这里提到的os认证是指服务器端os认证。os认证的意思把登录数据库的用户和口令校验放在了操作系统一级。如果以安装oracle时的用户登录os,那么此时在登录oracle数据库时不需要任何验证,如:
sql> connect /as sysdba
已连接。
sql> connect sys/aaa@test as sysdba
已连接。
sql> connect sys/bbb as sysdba
已连接。
sql> connect aaa/bbb as sysdba
已连接。
sql> show user
sys
sql>
不论输入什么用户(哪怕这个用户如aaa在数据库中根本不存在),只要以sysdba权限连接数据库,都可以连接上,并且连接用户是sys,这样很方便,有时候,如果忘记了数据库的密码,而又想登录数据库,可以通过这种方式,前提是在数据库服务器上.
1.2 os 认证相关的参数
oracle数据库通过如下3个参数来实现os 认证:
(1)sqlnet.ora中的 sqlnet.authentication_services参数。
(2)pfile(或spfile)文件中的参数remote_login_passwordfile
(3)口令文件pwdsid.ora(windows)或者 orapwsid(linux,大小写敏感)。
1.2.1 sqlnet.ora 文件参数
文件位置:$oracle_home/network/admin/sqlnet.ora
sqlnet.authentication_services= (nts)
names.directory_path= (tnsnames, ezconnect)
参数可以有如下值:
sqlnet.authentication_services=(nts)|(none)
其中:
(nts): 表示操作系统认证方式,不使用口令文件,默认值。
(none):口令文件认证方式
1.2.2 remote_login_passwordfile 参数
该参数可以有如下值:
remote_login_passwordfile ='none'|'exclusive'|'shared'
(1)none:不使用密码文件登录、不允许远程用户用sys登录系统、可以在线修改sys的密码;
(2)exclusive:默认值。只允许一个数据库使用该密码文件、允许远程登录、允许非sys用户以sysdba身份管理数据库、可以在线修改sys的密码。在这种模式下,口令文件可以包含用于多个特许的oracle账户的口令。这是推荐的操作模式,特别是在运行rman时。如果希望将rman与来自于远程客户端的数据库连接,则必须使用该参数设置。
(3)share:可以多个数据库使用密码文件。实际上是这样的: oracle数据库在启动时,首先查找的是orapw的口令文件,如果该文件不存在,则开始查找,orapw的口令文件如果口令文件命名为orapw,多个数据库就可以共享、允许远程登录、只能用sys进行sysdba管理、可以在线修改sys的密码。在此设置下只有internal/sys帐号能被识别,即使文件中存有其它用户的信息,也不允许他们以sysoper/sysdba登录。
修改:
sql>alter system set remote_login_passwordfile=exclusive scope=spfile;
需要注意的是:这个参数不是动态参数。需要在数据库加载到mount状态下修改,另外改变以后需要重新启动数据库,参数的设置才能够生效。
1.3 禁用os认证
os 认证存在一定的安全隐患,我们可以屏蔽os认证。
1.3.1 windows下
在win下只要把oracle_home/network/admin/sqlnet.ora中的sqlnet.authentication_services= (nts)nts改成none或者注释掉这句话(在前面加上#),就可以屏蔽os功能,要想以sys用户连上数据库必须输入正确的sys口令,,或者可以把oracle的安装用户从组ora_dba中删除掉,当然也可以直接把ora_dba这个组也删除,都可以屏蔽os功能.
如:
sql> connect /as sysdba
error:
ora-01031: 权限不足
sql> connect sys/aaa as sysdba
error:
ora-01017: 用户名/口令无效; 登录被拒绝
sql> connect aaa/bbb as sysdba
error:
ora-01031: 权限不足
sql> connect sys/system as sysdba
已连接。
sql>
1.3.2 linux/unix 下
在文件sqlnet.ora中增加sqlnet.authentication_services=(none)以及删除dba(groupdel dba)组或者把oracle用户从dba组中删除都可以屏蔽os认证。
注意:
使用这种屏蔽方法, 系统管理员还是可以创建ora_dba or dba组以及修改sqlnet.ora文件。