暂无图片
暂无图片
暂无图片
暂无图片
暂无图片
首页 / 干货分享|DM数据库密码策略和登录限制设置

干货分享|DM数据库密码策略和登录限制设置

达梦大数据 2020-08-01
8694

在数据库的用户安全中,口令复杂度策略和资源限制是用户安全重要的一部分。在DM数据库中,口令策略分为系统口令策略和用户口令策略。只有安全版本才支持对每个用户设置口令策略(即用户口令策略),非安全版本,只支持系统口令策略。

DM数据库提供了用户IP地址和登录时段限制功能,本章介绍DM数据库系统口令策略设置和用户登录限制设置。

本章内容已在如下环境上测试:

①操作系统:中标麒麟7;

②数据库版本:达梦8;

相关关键字:DM密码策略,PWD_POLICY、IP限制、登录时段限制

系统口令策略

数据库在创建用户时,需要指定用户的密码,密码的复杂度要求由系统的口令策略PWD_POLICY参数决定。系统支持的口令策略有:

0无策略

1禁止与用户名相同

2口令长度不小于9

4至少包含一个大写字母(A-Z)

8至少包含一个数字(0-9)

16至少包含一个标点符号(英文输入法状态下,除”和空格外的所有符号)

口令策略可单独应用,也可组合应用。比如我们即要求禁止用户名与密码相同,又要求口令至少包含一个大写字母,则设置口令策略为1+4=5即可。

使用如下语句可查询系统的口令策略信息:

    SQL>select * where PARA_NAME = 'PWD_POLICY';

    查询结果如下,可以看到,默认口令参数为2。

    可以看出PWD_POLICY参数为动态参数,我们可以通过使用DM控制台工具或调用系统过程SP_SET_PARA_VALUE重新设置PWD_POLICY的值。

    使用DM控制台工具

    在DM安装目录tool下使用DM安装用户执行./console,即可打开DM控制台工具,在安全相关参数中找到PWD_POLICY参数选项(也可以直接在查找项输入PWD_POLICY参数),即可修改PWD_POLICY参数的值,如下图所示。

    需要注意的是,DM控制台工具为脱机工具,对参数值的修改通过修改dm.ini文件中参数值来实现,无论参数类型是静态还是动态,都需要重启DM服务器才能使新设置的参数值生效。

    使用系统过程

    DM控制台工具参数修改需要重启数据库才能生效,对于生产环境来说非常不方便,我们可以使用系统过程SP_SET_PARA_VALUE来配置PWD_POLICY参数值。例如,将PWD_POLICY置为15(1+2+4+8),由于PWD_POLICY为动态参数,我们可以同时修改文件和内存参数,此时设置后新参数值立即生效。执行如下函数修改参数:

      SQL>SP_SET_PARA_VALUE(1, 'PWD_POLICY', 15);

      修改完成后,查询系统参数,可以看到PWD_POLICY已经被修改。

      此时,我们新建testuser用户,指定密码为dameng123,系统将会提示密码不符合复杂度规则。修改密码为Dameng123(此时符合15的规则),提示创建成功。

      我们查询DBA_USERS视图,可以看到新建用户TESTUSER对应的口令策略为15,而SYSSSO、SYSDBA、SYS、SYSAUDITOR系统用户口令策略为0,其他普通用户的口令策略使用原来的口令策略2(创建用户时系统的口令策略)。

      可以看出,系统口令策略只对新创建的用户有效,而原来已创建的用户仍然使用原有的系统口令策略。

      假如我们想修改用户的口令策略,非安全版本是不支持的,只有安全版本才支持。非安全版本显示错误如下图。

      资源限制

      DM数据库提供用户资源限制、IP地址限制和用户时间段限制功能。

      我们使用如下命令限制testuser用户的登录,当用户连续登录失败10次后将会锁定,限制其登录IP为192.168.88.*的IP网络,登录时间限制为周一早上8:00至周四下午17:30。

        SQL>alter USER testuser LIMIT FAILED_LOGIN_ATTEMPS 10 ALLOW_IP "192.168.88.*" ALLOW_DATETIME "MON" "8:30:00" TO "THURS" "17:30:00";

        执行成功后,查询sysusers数字字典可以看到testuser已经限制了IP和时段。

        使用testuser用户登录,提示无效的IP。执行如下SQL修改IP限制增加127.0.0.1,再次使用testuser登录,提示错误:在限制的时段登录。

          SQL>alter user testuser ALLOW_IP "192.168.88.*","127.0.0.1";

          因为当前系统时间是周五,已经不在允许的登录时段范围内,我们执行如下命令修改可允许登录时间为周一8:00至周五17:30。

            SQL>alter user testuser ALLOW_DATETIME "MON" "8:30:00" TO "FRI" "17:30:00";

            再次使用testuser登录,显示登录成功。

            总结:

            1. 系统口令策略只对新创建的用户有效,老用户仍然使用原来的口令策略。

            2. 安全版本可以指定和修改用户的口令策略,非安全版本不能指定某个用户的口令策略。

            3. DM数据库开放了用户IP限制、时段限制功能,更多的保障了用户的登录安全。

            好,本次分享到此结束,

            希望能给大家带来帮助,

            感谢大家。

            往期干货精选

            干货分享|DM8数据库基于时间点的恢复

            干货分享|DM8多次故障恢复后使用不同数据库归档恢复

            干货分享|DM8表空间备份恢复

            干货分享|联机增量迁移DM数据库

            数据库达梦
            文章转载自达梦大数据,如果涉嫌侵权,请发送邮件至:contact@modb.pro进行举报,并提供相关证据,一经查实,墨天轮将立刻删除相关内容。

            评论