达梦8安全策略
1、 用户的密码策略
用户的密码策略可以通过两种方式来设置,一种是通过在创建用户的时候显示指定密码策略,另一种是通过参数来控制整个数据库级别的密码策略。达梦默认的密码策略是2,即口令长度不小于9,。
a.显示指定
0 无策略
1 禁止与用户名相同
2 口令长度不小于9
4 至少包含一个大写字母(A-Z)
8 至少包含一个数字(0-9)
16 至少包含一个标点符号(英文输入法状态下,除“和空格外的所有符号)
口令策略可单独应用,也可组合应用。组合应用时,如需要应用策略2和4,则设置口令策略为2+4=6即可。
alter user test PASSWORD_POLICY 2;
b.使用参数PWD_POLICY
查询当前的PWD_POLICY值
SELECT * FROM V$PARAMETER WHERE NAME= ‘PWD_POLICY’;
修改PWD_POLICY值
SP_SET_PARA_VALUE(1, ‘PWD_POLICY’,8);
PWD_POLICY参数为动态参数,修改完成后立即生效。
2、用户的资源限制
1》.用户的连接时间限制
CONNECT_TIME
一个会话连接、访问和操作数据库服务器的时间上限(单位:1分钟)
alter user test limit CONNECT_TIME 10;
该参数可以使用户连接时间截止后强制失效,即使当前用户正在执行sql语句,也会将正在执行的语句进行断开,语句执行失败。默认为无限制。
CONNECT_IDLE_TIME
会话最大空闲时间(单位:1分钟)
alter user test limit connect_idle_time 10;
该参数就是通常意义的用户连接时间限制,指的是若一个用户在改参数指定的时间范围内一直处于空闲状态,没有执行相关sql,则该用户连接进行断开,下次需要重新输入密码登录。
2》密码输入错误相关限制
FAILED_LOGIN_ATTEMPS
将引起一个账户被锁定的连续注册失败的次数。
alter user test limit failed_login_attemps 5;
该参数指的是密码输入错误5次,该用户则锁定。
解锁命令
alter user test account unlock;
锁定命令
alter user test account lock;
PASSWORD_LOCK_TIME
如果超过FAILED_LOGIN_ATTEMPS设置值,一个账户将被锁定的分钟数
alter user test limit password_lock_time 5;
3》口令使用限制
PASSWORD_LIFE_TIME
一个口令在其终止前可以使用的天数
PASSWORD_REUSE_TIME
一个口令在可以重新使用前必须经过的天数
PASSWORD_REUSE_MAX
一个口令在可以重新使用前必须改变的次数
PASSWORD_GRACE_TIME
以天为单位的口令过期宽限时间,过期口令超过该期限后,禁止执行除修改口令以外的其他操作
小提示
因为资源限制无法通过参数设置为数据库级别的限制,我们想要设置多个用户的资源限制还需要通过不断的执行alter user limit语句,这样就很不方便。所以,我们可以通过创建一个profile来制定这些用户使用相同的一个资源限制。具体方式如下:
create profile resource_test limit connect_idle_time 1, failed_login_attemps 5, password_lock_time 5, password_grace_time 30;
alter user test profile resource_test;
这样就可以通过指定test用户使用resource_test的资源限制。
详细手册可参考达梦官方网站,或登录社区进行交流学习
https://eco.dameng.com
