12,673
回編集
差分
ナビゲーションに移動
検索に移動
GRANTEE GR[[ANT]]EE GRANTED_ROLE GR[[ANT]]ED_ROLE ADM DEF
USERNAME USE[[R]]NAME SYSDBA SYSOPERSYSOPE[[R]]
SESSIONS_PER_USER SESSIONS_PE[[R]]_USE[[R]] DEFAULT LOGICAL_READS_PER_SESSION LOGICAL_[[R]]EADS_PE[[R]]_SESSION DEFAULT LOGICAL_READS_PER_CALL LOGICAL_[[R]]EADS_PE[[R]]_CALL DEFAULT PRIVATE_SGA P[[R]]IVATE_SGA DEFAULT COMPOSITE_LIMIT [[COM]]POSITE_LIMIT DEFAULT PASSWORD_LIFE_TIME PASSWO[[R]]D_LIFE_TIME 1 PASSWORD_GRACE_TIME PASSWO[[R]]D_G[[R]]ACE_TIME 1 PASSWORD_REUSE_MAX PASSWO[[R]]D_[[R]]EUSE_MAX 1 PASSWORD_REUSE_TIME PASSWO[[R]]D_[[R]]EUSE_TIME UNLIMITED PASSWORD_LOCK_TIME PASSWO[[R]]D_LOCK_TIME 1
PASSWORD_VERIFY_FUNCTION PASSWO[[R]]D_VE[[R]]IFY_FUNCTION DEFAULT
編集の要約なし
==[[Oracle Database10g データベースのセキュリティ]]==
[[Oracle]] | [[Oracle Database10g]] |
===管理権限の制限===
====必要ないユーザーにDBAロールが付与されていないか確認====
*DBA_ROLE_PRIVSを検索を検索して確認DBA_[[R]]OLE_P[[R]]IVSを検索を検索して確認 [[SQL]]> select * from dba_role_privs
2 where granted_role = 'DBA'
3 /
------------------------------ ------------------------------ --- ---
SYS DBA YES YES
SYSTEM DBA YES YES
====SYSDBA、SYSOPER SYSDBA、SYSOPE[[R]] 権限をもつユーザを確認====*V$PWFILE_USERSを検索PWFILE_USE[[R]]Sを検索 [[SQL]]> select * from v$pwfile_users;
--------------------------------------------- ---------- ----------
SYS TRUE T[[R]]UE TRUET[[R]]UE
===データディクショナリの保護===
*データ・ディクショナリを保護するために、[http://otndnld.oracle.co.jp/document/products/oracle10g/102/doc_cd/server.102/B19228-04/initparams.htm#85701 O7_DICTIONARY_ACCESSIBILITY]初期化パラメータは必ずFALSE(デフォルト値)に設定
<blockquote>O7_DICTIONARY_ACCESSIBILITYは、SYSTEM権限の制限を制御します。このパラメータにtrueを設定すると、SYSTEM権限によるSYSスキーマ内のオブジェクトへのアクセスが許可されます(Oracle7の動作)。falseに設定すると、すべてのスキーマ内のオブジェクトへのアクセスが許可されるSYSTEM権限では、SYSスキーマ内のオブジェクトへアクセスできなくなります。O7_DICTIONARY_ACCESSIBILITYは、SYSTEM権限の制限を制御します。このパラメータにtrueを設定すると、SYSTEM権限によるSYSスキーマ内のオブジェクトへのアクセスが許可されます([[Oracle]]7の動作)。falseに設定すると、すべてのスキーマ内のオブジェクトへのアクセスが許可されるSYSTEM権限では、SYSスキーマ内のオブジェクトへアクセスできなくなります。</blockquote>
===PUBLICユーザーの権限管理===
!内容
|-
|PASSWORD_LIFE_TIMEPASSWO[[R]]D_LIFE_TIME
|失効するまでの有効期間
|-
|PASSWORD_GRACE_TIMEPASSWO[[R]]D_G[[R]]ACE_TIME
|失効後、最初にログインした後からパスワードを変更できる猶予期間
|-
|PASSWORD_REUSE_MAXPASSWO[[R]]D_[[R]]EUSE_MAX
|再使用できるようになるまで必要な変更回数
|-
|PASSWORD_REUSE_TIMEPASSWO[[R]]D_[[R]]EUSE_TIME
|再使用できるようになるまでの期間
|-
|PASSWORD_LOCK_TIMEPASSWO[[R]]D_LOCK_TIME
|ログインを指定回数以上失敗した後、ロックされる期間
|-
|-
|PASSWORD_VERIFY_FUNCTION
|パスワード複雑さを評価するPL/SQLファンクション[[SQL]]ファンクション
|-
|}
=====パラメータの設定=====
[[File:0914_ora_profile02.jpg]]
=====[[SQL]]===== CREATE PROFILE C[[R]]EATE P[[R]]OFILE "STRICT_PASSWDST[[R]]ICT_PASSWD" LIMIT CPU_PER_SESSION CPU_PE[[R]]_SESSION DEFAULT CPU_PER_CALL CPU_PE[[R]]_CALL DEFAULT
CONNECT_TIME DEFAULT
IDLE_TIME DEFAULT
FAILED_LOGIN_ATTEMPTS 1
====ユーザにプロファイルを設定====
[[File:0915_ora_profile03.jpg]]
=====[[SQL]]===== ALTER USER ALTE[[R]] USE[[R]] "EXAM2" PROFILE P[[R]]OFILE "STRICT_PASSWDST[[R]]ICT_PASSWD"
=====試してみる=====
でたらめなパスワードで接続
[[SQL]]> conn exam2/xxxxx@oradb1; ERRORE[[R]][[R]]O[[R]]: ORAO[[R]]A-01017: invalid username/password; logon denied
正しいパスワードで接続
[[SQL]]> conn exam2/abc123@oradb1; ERRORE[[R]][[R]]O[[R]]: ORAO[[R]]A-28000: the account is locked
ロックされている
© 2006 矢木浩人
