Oracle 12c 关于密码(password)的几个新特性小结
点击▲关注 “数据和云” 给公众号标星置顶
更多精彩 第一时间直达
作者 | 张维照,Oracle ACEA,2006年起从事数据库管理工作,2009年转 Oracle,从事过多套 TB 级省级工商、医疗、交通、人社、电信运营等数据库维护优化工作,擅长Oracle 数据库性能问题的分析与解决,Oracle数据库故障分析,Oracle数据库升级迁移。
Oracle数据库软件是获得过最高级别的安全认证,完全超越其它所有数据库软件,并且在可维护性上基于大量的实践需要稳步前行,这里简单整理几个12c 关于password几个新特性。
1. 新的password hash算法
2. 新的password verify function
3. 密码文件可以存储到ASM
4. 密码自动从primary同步到standby端在Dataguard环境中
5. 新的密码认证协议
1
新的 password hash 算法
Oracle对Oracle Database 12c中的用户密码哈希进行了改进, 通过使用基于PBKDF2的SHA512哈希算法,而不是简单的SHA1哈希,密码哈希更安全, 从11g起user$.spare4列存储着密码的哈希值。在12.1.0.2版本时spare4列有3部分组成(S:H:T).12.2时只剩下(S:T )2部分。
S部分和11g时的算法一样,长度60 chars,是基于SHA1的哈希。
H部分是基于MD5的哈希,长度为32 chars, 也可能是因为MD5 hash更方便入侵者的暴力破解,在12.2 版本时从Spare4列去掉该部分。
T部分是从12.1.0.2版本增加,长度为160 chars, 使用的是基于PBKDF2-based SHA512的算法。该算法后部分32chars 的验证数据部分是随机生成。更加安全。
2
新的password verify function
在12c中default profile除了password verify function和11g不同,其它资源限制都是相同的。
不过国防安全要求有个建议值:
RESOURCE NAME LIMIT
PASSWORD_LIFE_TIME 60
PASSWORD_REUSE_TIME 365
PASSWORD_REUSE_MAX 5
FAILED_LOGIN_ATTEMPTS 3
PASSWORD_VERIFY_FUNCTION ora12c_strong_verify_function
12c新引入了verify function 有ora12c_verify_function, ora12c_strong_verify_function (ora12c_stig_verify_function) ,而且可能在12.1.0.1 ,12.1.0.2, 12.2.0.1 profile默认的verify function名都不一样。
比如STIG有以下限制:
Password at least 9 characters
at least 2 capital letters
at least 2 small letters
at least 2 digits
at least 2 special characters
password must differ by at least 4 characters from the old password
3
密码文件可以存储到ASM
在Oracle Database 12c之前,密码文件始终位于$ ORACLE_HOME / dbs文件下,即使对于RAC实例和RAC ASM集群也是如此。 对于RAC而言,DBA必须设法保持这一点密码文件在每个节点上同步。现在,在Oracle 12c中,可以将密码文件存储在ASM上。 这意味着一个共享密码文件Oracle RAC数据库为集群中的所有实例共享,与ASM spfile不同,ASM密码文件的访问只有在启动ASM ,并且在磁盘组mount后才可以访问。用于创建密码文件的命令实用程序仍然是相同的:“orapwd”
asmcmd同样也可以创建密码文件 $ asmcmd ASMCMD> pwcreate
ASM存储密码文件前提条件 COMPATIBLE.ASM>= 12.1
-- create new password in ASM orapwd file='+data/ASM/orapwasm' asm=y -- create new password in ASM from location orapwd input_file='/oraclegrid/dbs/orapwasm' file='+data/ASM/orapwasm'[asm=y] -- move password file from A asm diskgroup to another ASMCMD> pwmove --asm +CRS/asm/password/orapwasm +data/orapwasm
4
密码自动从primary同步到standby端在Datagrard环境中
12cR2中一个有用的增强功能是密码文件在Data Guard环境中自动同步,如果在primary database上更改了sys的密码,并且它自动也在standby database上进行了更改。 在早期版本中必须手动完成的,通常通过使用primary database 密码文件替换standby database上的密码文件。
5
新的密码认证协议
升级12C注意事项: 连接失败 ORA-28040 ORA-1017
之前写过关于认证的协议的。如果你的数据库是从12c以前的版本升上来的,在升级时会提示去掉SEC_CASE_SENSITIVE_LOGON=FALSE参数如下,但是如果你没有去掉SEC_CASE_SENSITIVE_LOGON=FALSE,那么升级后登录可以会遇到ora-1017错误,即使密码是正确的,甚至修改在升级后再修改密码(新的密码版本将为”11G 12C”)。解决方法是:change SEC_CASE_SENSITIVE_LOGON=TRUE, –the default.另外注意如果是Data Pump导入创建的用户,密码版本会和导出时版本一致。
RECOMMENDED ACTIONS
===================
+ Consider removing the following DEPRECATED initialization parameters.
They are not OBSOLETE in version 12.2.0.1.0
but probably will be OBSOLETE in a future release.Parameter
——————————
sec_case_sensitive_logonNote:
Oracle notes that the term “version” in the allowed_logon_version_server parameter name refers to the version of the authentication protocol. It does NOT refer to the Oracle release version.
sqlnet.allowed_logon_version_server, depending on the version of the authentication protocol.
sqlnet.allowed_logon_version_server=12a: For Oracle Database 12c Release 1 (12.1) release 12.1.0.2 or later.
sqlnet.allowed_logon_version_server=12: For the critical patch updates CPUOct2012 and later Oracle Database 11g authentication protocols (recommended).
sqlnet.allowed_logon_version_server=11: For Oracle Database 11g authentication protocols (default).
sqlnet.allowed_logon_version_server=10: For Oracle Database 10g authentication protocols.
sqlnet.allowed_logon_version_server=8: For Oracle8i authentication protocol
原创:张维照
资源下载
关注公众号:数据和云(OraNews)回复关键字获取
2018DTCC , 数据库大会PPT
2018DTC,2018 DTC 大会 PPT
DBALIFE ,“DBA 的一天”海报
DBA04 ,DBA 手记4 电子书
122ARCH ,Oracle 12.2体系结构图
2018OOW ,Oracle OpenWorld 资料
产品推荐
云和恩墨Bethune Pro企业版,集监控,巡检,安全于一身,你的专属数据库实时监控和智能巡检平台,漂亮的不像实力派,你值得拥有!
Oracle 12c 关于密码(password)的几个新特性小结相关推荐
- oracle12c 清理归档,Oracle 12c中数据删除(delete)新特性之数据库内归档功能
有些应用有"标记删除"的概念,即不是删除数据,而是数据依然保留在表中,只是对应用不可见而已.这种需求通常通过如下方法实现: 1) 给相关表增加一个另外的列,该列存储标志数据被删除 ...
- Oracle 12c 用户密码过期设置的一些问题
Oracle 12c 用户密码过期设置的一些问题 查看dba_profiles视图的结构,如下: SQL> desc dba_profiles;名称 是否为空? 类型----------- -- ...
- oracle12c密码文件,【转】Oracle 12c 关于密码文件(password)的几个新特性
oracle数据库软件是获得过最高级别的安全认证,完全超越其它所有数据库软件,并且在可维护性上基于大量的实践需要稳步前行,这里简单列举几个12c 关于password几个新特性. 1. 新的passw ...
- oracle adg的特点是什么,Oracle12c ADG新特性
概述 ================ Active Data Guard Far Sync是Oracle 12c的新功能(也称为Far Sync Standby),Far Sync功能的实现是通过在 ...
- Oracle入门(三B)之11G新特性 SYSASM 角色用来管理ASM
转载自 oracle 11G新特性--SYSASM 角色--用来管理ASM SYSASM 角色 自动存储管理 (ASM) 是在 Oracle 数据库 10g 中引入的,它在某种程度上打破了 DBA 和 ...
- Oracle 的 DBMS_SCN 修正以及 SCN 的 auto-rollover 新特性
在 Oracle 11.2.0.2 之后,随着一系列 SCN 耗尽问题的出现,很多补丁涌现出来,一个新的 Package 增加进来. 这个 Package 就是 DBMS_SCN. 如果你的数据库中存 ...
- oracle12C推SCN,Oracle 的 DBMS_SCN 修正以及SCN的auto-rollover新特性
在 Oracle 11.2.0.2 之后,随着一系列 SCN 耗尽问题的出现,很多补丁涌现出来,一个新的 Package 增加进来. 这个 Package 就是 DBMS_SCN . 如果你的数据库中 ...
- oracle12官方下载,Oracle 12c下载64位|Oracle Database 12c下载 官方版_最火软件站
Oracle 12C 是由Oracle官方提供的最新版本数据库,Oracle 12C引入了CDB与PDB的新特性,在ORACLE 12C数据库引入的多租用户环境(Multitenant Environ ...
- Oracle 12c EM express系列
Oracle 12c EM express系列 Oracle的EM是EnterpriseManager的缩写,可翻译为Oracle数据库的企业管理器.在Oracle10g以后,可以通过oracle E ...
最新文章
- 《深入浅出iPhone/iPad开发(第2版)》——在Xcode中建立你的界面
- java mysql jtds_JAVA 使用jtds 连接sql server数据库
- 干货:5个维度构建电商全景大数据分析
- 应用营销策略知多少?
- 【朋克智库】比特币详解2.0——比特币的沉沦
- c++常见并且必须记住的问题
- Jetty - Container源码分析
- [随笔重写] Python3 的深拷贝与浅拷贝
- flowable DMN部署单独使用_06
- 为什么虚拟机上一运行就显示程序停止_五分钟学Java:如何学习Java面试必考的JVM虚拟机...
- android中级组件,第3章 Android组件--3.3 Android中级组件【含答案】 Android应用开发基础...
- 一起谈.NET技术,VS2010 测试功能之旅:编码的UI测试(4)-通过编写测试代码的方式建立UI测试(下)...
- 携程Apollo 启动失败遇到的坑
- php 腾讯短信接口api,腾讯云短信发送功能API-PHP接入
- ajax传给后台json数据,通过ajax和spring 后台传输json数据
- SQL2008 安装需要重启计算机
- 我国计算机科学与技术发展历史,计算机科学与技术的发展趋势探析
- 计算机更新后无法远程,重装系统后无法进行远程桌面连接怎么办
- 百度地图 根据经纬度获取 地址
- SEDANSPOT Detecting Anomalies in Edge Streams阅读记录
热门文章
- 在线生成艺术字_生成艺术:如何修改绘画
- raspberry pi_尝试8个有趣的Raspberry Pi项目
- android 印度语_为什么发展印度语维基百科至关重要
- 数字逻辑要不要认真学_认真认真
- 数据结构与算法 | 来来来,让我们重新认识一下什么是树
- JavaScript 存储Cookie
- es6 Class 的 Generator函数
- es6 作为属性名的 Symbol
- SLAM Cartographer(4)对象Node
- thinkphp u不加载css,解决ThinkPHP样式无法加载问题(CSS,JS)