使用Oracle的Security External Password Store功能实现无密码登录数据库

325

17页

0次

2019-06-20

5墨值下载

使用 Oracle 的 Security External Password Store 功能实现无密码登录数据库

先来做一下自我介绍，我叫赵全文，现就职于太极计算机股份有限公司，在中央电化教育馆做

Oracle DBA 的驻场运维工作。

在今年国内很多用户的 Oracle 数据库突然遭到比特币勒索，从这一方面来说，数据库的安全，

大家没有引起足够的重视。其实不难发现，我们在生产环境中使用的 Oracle 数据库确实存在着很多

安全隐患和安全风险。Oracle 在数据库安全方面的解决方案也有很多，比如 Oracle 审计与数据库防

火墙(AVDF)产品、Oracle 的透明数据加密功能(KDE)和 Oralce Wallet(也称 Oracle 钱夹)加密用户的密

码等等。如果需要从 SHELL 脚本来连接到 Oracle 数据库，那么这些脚本包含数据库连接详细信息，

这可能是一个主要的安全问题。一个解决方案是使用操作系统身份验证，但 Oracle 10g 第 2 版提供

了使用安全外部密码存储库的功能，其中 Oracle 登录证书存储在客户端 Oracle 电子钱包中，这样

的话，在 SHELL 脚本里就可以使用“/ @ db_alias”这样的语法来连接。这对于用脚本登录数据库进

行操作来说是非常有用的，尤其对于企业安全要求很高，不希望用户名和密码明文存在配置文件中，

而且对于密码的维护是极为方便的，比如把 wallet 放在指定路径下，当修改密码时，只需统一覆盖

wallet 即可。

今天我和大家分享一下，如何使用 Oracle 的 Security External Password Store 功能实现无密码登录数据库，以此不将明文密码暴露在生产环境当中。

那么，Oracle 是如何通过安全外部密码存储(Secure External Password Store)来达到无密码登录数据库呢?我们来说，连接到数据库的密码证书是存储在

Oracle wallet 里，这个 wallet(钱夹)是一个用来保存认证和签名证书的一种安全软件容器。这种钱包使用可以简化依靠密码凭据连接到数据库的大规模部

署。配置此功能时，应用程序代码，批处理作业和脚本不再需要嵌入的用户名和密码。风险降低，因为这样的密码不再以明确的方式暴露，并且当用户

名或密码改变时，密码管理策略更容易实施，而不改变应用程序代码。

虽然说，使用 wallet 的图形界面(在 command line interface 下输入 owm 命令可以打开)可以极大的简化管理密码证书，至于为什么不能用

owm(oracle

wallet manager)来创建和管理 wallet 的外部密码存储，而是使用 mkstore 命令?以下是摘自 Oracle 官方文档的一段描述：

1 / 17

一般来说，用户(包括应用程序、批处理任务和脚本)都是通过一个标准的数据库连接字符串(database_connect_string)的连接语句(connect statement)

来连接到 Oracle 数据库的。这些字符串里包括用户名、密码和网络服务名，或者是在 tnsnames.ora 文件当中列出的 TNS 别名，还有另一种连接字符串的

形式是主机名:端口号:sid(这种形式在应用程序连接到 Oracle 数据库当中随处可见)。

比如，下面这样的连接形式：

其中 ORASALES 为 TNS 别名，ourhost37:1527:DB17 为主机名:端口号:sid。

然而，如果客户端配置了安全外部密码存储的话，就可以使用下面的连接语法来连接到数据库，而不需要指定用户名和密码。

2 / 17

of 17

5墨值下载

关注