0
使用Oracle的Security External Password Store功能实现无密码登录数据库
51
17页
0次
墨值5
使用 Oracle Security External Password Store 功能实现无密码登录数据库
先来做一下自介绍,我叫全文,现就职于太极计算机股份有限公司,在中电化教育馆做
Oracle DBA 的驻场运维工作
今年国内很多用户的 Oracle 数据库突然遭到比特币勒索,这一方面来说,据库的安全
大家没有引起足够的重视。实不难发现,我们在生产环境中使用的 Oracle 数据库确实存在着很多
安全隐患和安全风险。Oracle 在数据库安全方面的解决方案也有很多,比如 Oracle 审计与数据库防
火墙(AVDF)产品、Oracle 的透明数据加密功能(KDE) Oralce Wallet(也称 Oracle 钱夹)加密用户的密
码等等。如果需要从 SHELL 脚本连接到 Oracle 数据库,那么这些脚本包含数据库连接详细信息,
这可能是一个主要的安全问题。一个解决方案是使用操作系统身份验证, Oracle 10g 2 版提
了使用安全外部密码存储库的功,其 Oracle 登录证书存储在客户端 Oracle 电子钱包中,这样
的话, SHELL 脚本里就可以使用“/ @ db_alias这样的语法来连接。这对于用脚本登录数据库进
行操作来说是非常有用的,尤其对于企业安全要求很高,不希望用户名和密码明文存在配置文件中
而且对于密码的维护是极为方便的,比如把 wallet 放在指定路径下,当修改密码时,需统一覆盖
wallet 即可。
今天我和大家分享一下,何使用 Oracle Security External Password Store 功能实现无密码登录数据库,以此不将明文密码暴露在生产环境当中。
那么,Oracle 是如何通过全外部密码存储(Secure External Password Store)来达到无密码登录数据库?我们来说,连接到数据库的密码书是存储在
Oracle wallet 里,这个 wallet(钱夹)一个用来保存认证签名证书的一种安全软件容器这种钱包使用可以简化依靠密码凭据连接到数据库的大规模部
署。 配置此功能时,应用程序代码,批处理作业和脚本不再需要嵌入的用户名和密码。 险降低,因为这样的密码不再以明确的方式暴露,并且当用户
名或密码改变时,密码管理策略更容易实施,而不改变应用程序代码。
虽然说,使用 wallet 的图形界面( command line interface 输入 owm 令可以打开)可以极大的简化管理密码证书,于为什么不能用
owm(oracle
wallet manager)来创建和管理 wallet 的外部密码存储是使用 mkstore 命令?下是摘自 Oracle 官方文档的一段描述:
1 / 17
一般来说,用户(包括应用程序、批处理任务和脚本)是通过一个标准的数据库连接字符(database_connect_string)的连接语句(connect statement)
连接到 Oracle 数据库的。这些字符串包括用户名、密码和网络服务名,是在 tnsnames.ora 文件当中列出的 TNS 别名,还有另一种连接字符串的
形式是主机名:端口号:sid(种形式在应用程连接到 Oracle 数据库当中随处可见)
比如,下面这样的连接形式
其中 ORASALES TNS 别名,ourhost37:1527:DB17 为主机名:端口号:sid
然而,如果客户端配置了安全外部密码存的话,就可以使用下面的连接语法来连接到数据库,而不需要指定用户名和密码。
2 / 17
of 17

评论

最新上传
暂无内容,敬请期待...
下载排行榜
周榜月榜总榜
近期活动
全部
暂无活动,敬请期待...
相关课程
全部
暂无课程,敬请期待...