Oracle OS認(rèn)證 口令文件 密碼丟失處理.doc

一. OS認(rèn)證1.1 OS認(rèn)證介紹Oracle安裝之后默認(rèn)情況下是啟用了OS認(rèn)證的，這里提到的OS認(rèn)證是指服務(wù)器端OS認(rèn)證。OS認(rèn)證的意思把登錄數(shù)據(jù)庫(kù)的用戶(hù)和口令校驗(yàn)放在了操作系統(tǒng)一級(jí)。如果以安裝Oracle時(shí)的用戶(hù)登錄OS，那么此時(shí)在登錄Oracle數(shù)據(jù)庫(kù)時(shí)不需要任何驗(yàn)證，如：SQL connect /as sysdba已連接。SQL connect sys/aaatest as sysdba已連接。SQL connect sys/bbb as sysdba已連接。SQL connect aaa/bbb as sysdba已連接。SQL show userSYSSQL不論輸入什么用戶(hù)（哪怕這個(gè)用戶(hù)如aaa在數(shù)據(jù)庫(kù)中根本不存在），只要以sysdba權(quán)限連接數(shù)據(jù)庫(kù)，都可以連接上，并且連接用戶(hù)是sys，這樣很方便，有時(shí)候，如果忘記了數(shù)據(jù)庫(kù)的密碼，而又想登錄數(shù)據(jù)庫(kù)，可以通過(guò)這種方式，前提是在數(shù)據(jù)庫(kù)服務(wù)器上. 1.2 OS 認(rèn)證相關(guān)的參數(shù)Oracle數(shù)據(jù)庫(kù)通過(guò)如下3個(gè)參數(shù)來(lái)實(shí)現(xiàn)OS 認(rèn)證：（1）sqlnet.ora中的 SQLNET.AUTHENTICATION_SERVICES參數(shù)。（2）PFILE（或SPFILE）文件中的參數(shù)REMOTE_LOGIN_PASSWORDFILE（3）口令文件PWDsid.ora（windows）或者 orapwSID(linux，大小寫(xiě)敏感）。1.2.1 sqlnet.ora 文件參數(shù)文件位置：$ORACLE_HOME/network/admin/sqlnet.oraSQLNET.AUTHENTICATION_SERVICES= (NTS)NAMES.DIRECTORY_PATH= (TNSNAMES, EZCONNECT)參數(shù)可以有如下值：SQLNET.AUTHENTICATION_SERVICES(NTS)|(NONE) 其中：(NTS): 表示操作系統(tǒng)認(rèn)證方式，不使用口令文件，默認(rèn)值。(NONE)：口令文件認(rèn)證方式 1.2.2 REMOTE_LOGIN_PASSWORDFILE 參數(shù)該參數(shù)可以有如下值：REMOTE_LOGIN_PASSWORDFILE =NONE|EXCLUSIVE|SHARED （1）NONE：不使用密碼文件登錄、不允許遠(yuǎn)程用戶(hù)用sys登錄系統(tǒng)、可以在線(xiàn)修改sys的密碼； （2）EXCLUSIVE：默認(rèn)值。只允許一個(gè)數(shù)據(jù)庫(kù)使用該密碼文件、允許遠(yuǎn)程登錄、允許非sys用戶(hù)以sysdba身份管理數(shù)據(jù)庫(kù)、可以在線(xiàn)修改sys的密碼。在這種模式下，口令文件可以包含用于多個(gè)特許的Oracle賬戶(hù)的口令。這是推薦的操作模式，特別是在運(yùn)行RMAN時(shí)。如果希望將RMAN與來(lái)自于遠(yuǎn)程客戶(hù)端的數(shù)據(jù)庫(kù)連接，則必須使用該參數(shù)設(shè)置。 （3）SHARE：可以多個(gè)數(shù)據(jù)庫(kù)使用密碼文件。實(shí)際上是這樣的: Oracle數(shù)據(jù)庫(kù)在啟動(dòng)時(shí),首先查找的是orapw的口令文件,如果該文件不存在,則開(kāi)始查找,orapw的口令文件如果口令文件命名為orapw,多個(gè)數(shù)據(jù)庫(kù)就可以共享、允許遠(yuǎn)程登錄、只能用sys進(jìn)行sysdba管理、可以在線(xiàn)修改sys的密碼。在此設(shè)置下只有INTERNALSYS帳號(hào)能被識(shí)別，即使文件中存有其它用戶(hù)的信息，也不允許他們以SYSOPERSYSDBA登錄。 修改：SQLALTER SYSTEM SET REMOTE_LOGIN_PASSWORDFILE=EXCLUSIVE SCOPE=SPFILE;需要注意的是：這個(gè)參數(shù)不是動(dòng)態(tài)參數(shù)。需要在數(shù)據(jù)庫(kù)加載到MOUNT狀態(tài)下修改，另外改變以后需要重新啟動(dòng)數(shù)據(jù)庫(kù)，參數(shù)的設(shè)置才能夠生效。 1.3 禁用OS認(rèn)證OS 認(rèn)證存在一定的安全隱患，我們可以屏蔽OS認(rèn)證。1.3.1 windows下在win下只要把oracle_home/NETWORK/admin/sqlnet.ora中的SQLNET.AUTHENTICATION_SERVICES= (nts)nts改成none或者注釋掉這句話(huà)(在前面加上#)，就可以屏蔽os功能，要想以sys用戶(hù)連上數(shù)據(jù)庫(kù)必須輸入正確的sys口令，或者可以把oracle的安裝用戶(hù)從組ora_dba中刪除掉，當(dāng)然也可以直接把ora_dba這個(gè)組也刪除，都可以屏蔽os功能.如：SQL connect /as sysdbaERROR:ORA-01031: 權(quán)限不足SQL connect sys/aaa as sysdbaERROR:ORA-01017: 用戶(hù)名/口令無(wú)效; 登錄被拒絕SQL connect aaa/bbb as sysdbaERROR:ORA-01031: 權(quán)限不足SQL connect sys/system as sysdba已連接。SQL1.3.2 LINUX/UNIX 下在文件sqlnet.ora中增加SQLNET.AUTHENTICATION_SERVICES=(none)以及刪除dba(groupdel dba)組或者把oracle用戶(hù)從dba組中刪除都可以屏蔽os認(rèn)證。注意：使用這種屏蔽方法， 系統(tǒng)管理員還是可以創(chuàng)建ora_dba or dba組以及修改sqlnet.ora文件。二. 口令文件2.1 口令文件說(shuō)明Oracle的口令文件的作用是存放所有以sysdba或者sysoper權(quán)限連接數(shù)據(jù)庫(kù)的用戶(hù)的口令，如果想以sysdba權(quán)限遠(yuǎn)程連接數(shù)據(jù)庫(kù)，必須使用口令文件，否則不能連上，由于sys用戶(hù)在連接數(shù)據(jù)庫(kù)時(shí)必須以sysdba or sysoper方式，也就是說(shuō)sys用戶(hù)要想連接數(shù)據(jù)庫(kù)必須使用口令文件，因此我認(rèn)為在數(shù)據(jù)庫(kù)中存放sys用戶(hù)的口令其實(shí)沒(méi)有任何意義！使用口令文件的好處是即使數(shù)據(jù)庫(kù)不處于open狀態(tài)，依然可以通過(guò)口令文件驗(yàn)證來(lái)連接數(shù)據(jù)庫(kù)。開(kāi)始安裝完oracle，沒(méi)有給普通用戶(hù)授予sysdba權(quán)限，口令文件中只存放了sys的口令，如果之后把sysdba權(quán)限授予了普通用戶(hù)，那么此時(shí)會(huì)把普通用戶(hù)的口令從數(shù)據(jù)庫(kù)中讀到口令文件中保存下來(lái)，當(dāng)然這時(shí)必須要求數(shù)據(jù)庫(kù)處于open狀態(tài)。如：SQL grant sysdba to test;授權(quán)成功。SQL connect test/aaaorcl as sysdbaERROR:ORA-01017: 用戶(hù)名/口令無(wú)效; 登錄被拒絕警告: 您不再連接到 ORACLE。SQL connect test/testorcl as sysdba已連接。SQL alter database close;數(shù)據(jù)庫(kù)已更改。SQL grant sysdba , sysoper to test;grant sysdba , sysoper to test*第 1 行出現(xiàn)錯(cuò)誤:ORA-01109: 數(shù)據(jù)庫(kù)未打開(kāi)2.2 查看具有sysdba 權(quán)限的用戶(hù)可以通過(guò)查詢(xún)v$pwfile_users視圖來(lái)查看有幾個(gè)用戶(hù)被授予了sysdba或者sysoper權(quán)限， v$pwfile_users的信息就是源于口令文件. SQL select * from v$pwfile_users;USERNAME SYSDB SYSOP- - -SYS TRUE TRUETEST TRUE FALSE到底可以有幾個(gè)用戶(hù)被授予sysdba或者sysoper權(quán)限，是由創(chuàng)建口令文件時(shí)指定的entries數(shù)決定的，準(zhǔn)確的說(shuō)還不完全是，最終還和os block的大小有關(guān)，如果entries指定了5，一個(gè)os block可以存放8個(gè)用戶(hù)的口令，那么可以由8個(gè)用戶(hù)被授予sysdba或者sysoper。注意：事實(shí)是口令多長(zhǎng)，加密之后的長(zhǎng)度幾乎都是相同的，也就是說(shuō)口令文件占用的大小和口令指定的長(zhǎng)度幾乎關(guān)系不大。C:orapwd file=databasepwd.ora password=system entries=5OPW-00005: 存在相同名稱(chēng)的文件 - 請(qǐng)刪除或重命名C:orapwd file=databasepwd.ora password=system entries=5 force=y創(chuàng)建口令文件需要注意的是=前后沒(méi)有空格。在10g增加了一個(gè)新的參數(shù)force default值n，它的作用類(lèi)似于創(chuàng)建表空間時(shí)的reuse功能，當(dāng)同名文件存在時(shí)是否覆蓋。是否使用口令文件，由remote_login_passwordfile參數(shù)控制。這個(gè)參數(shù)在上面有說(shuō)明。2.3 口令文件格式win下口令文件的格式是pwdsid.ora(大小寫(xiě)敏感）。unix下的格式是orapwSID(大小寫(xiě)敏感）， Oracle數(shù)據(jù)庫(kù)在啟動(dòng)時(shí),首先查找的是orapw的口令文件,如果該文件不存在,則開(kāi)始查找,orapw的口令文件,如果口令文件命名為orapw,多個(gè)數(shù)據(jù)庫(kù)就可以共享。 口令文件創(chuàng)建完后，數(shù)據(jù)庫(kù)需要重啟動(dòng)，新的口令文件才能生效。 2.4 sys/system 密碼丟失的處理方法（1）.查詢(xún)視圖V$PWFILE_USERS，select * from V$PWFILE_USERS; 記錄下?lián)碛?SYSOPERSYSDBA 系統(tǒng)權(quán)限的用戶(hù)信息。（2）關(guān)閉數(shù)據(jù)庫(kù)