Πώς κάνουμε enforce password policy σε βάση δεδομένων της Oracle

Σχετικά με
τελευταίες δημοσιεύσεις

Το ταξίδι άρχισε το 2008 όπου ξεκίνησα να εργάζομαι επίσημα στον τομέα της τεχνολογίας πληροφορικής (IT). Ξεκινώντας το πρώτο εξάμηνο της σχολής κατάλαβα μια ιδιαίτερη έλξη προς τις βάσεις δεδομένων και τους αυτοματισμούς.Έχω ασχοληθεί με βάσεις δεδομένων όπως Microsoft SQL Server / Oracle Database, ανάλυση δεδομένων και αυτοματισμούς με τη χρήση γραμμής εντολών (CLI), Visual Basic for Applications και Python. Μέσα από τα χρόνια εμπειρίας εξέλιξα αυτές τις δυνατότητες ώστε να μπορώ να κάνω τη ζωή μου πιο εύκολη. Για μένα ο σκοπός του κάθε IT guy αλλά και κάθε υπαλλήλου γραφείου είναι το να έχει τις γνώσεις ώστε μέσω εργαλείων να μπορεί να δουλεύει λίγο αλλά να παράγει πολύ. Μέσα από αυτό τον ιστότοπο του DataPlatform.gr προσπαθώ να προσφέρω γνώσεις και να προτείνω λύσεις σε καθημερινά προβλήματα.

Πιστοποιήσεις:

certs

Τελευταίες δημοσιεύσεις από Stratos Matzouranis (Προβολή όλων)

Πώς μπορούμε να συνδέσουμε Oracle Database με SQL Server με χρήση Oracle Gateway σε Windows - 5 Απρίλιος 2024
Πώς μπορούμε να λαμβάνουμε email κάθε φορά που ξεπερνάει ένα όριο η μνήμη PGA σε βάση δεδομένων της Oracle - 1 Μάρτιος 2024
Πώς κάνουμε μαζικά detach / attach βάσεις δεδομένων στον SQL Server - 2 Φεβρουάριος 2024

Όπως γνωρίζουμε σε μία βάση δεδομένων της Oracle μέσα από τα User Profiles μπορούμε να θέσουμε περιορισμούς σε ομάδες χρηστών όσον αφορά το πότε και αν λήγει ένας κωδικός (PASSWORD_LIFE_TIME), πόσες μέρες έχει περιθώριο να αλλαχτεί πριν σταματήσει να λειτουργεί (PASSWORD_GRACE_TIME) , μετά από πόσες μέρες μπορεί να ξαναχρησιμοποιηθεί (PASSWORD_REUSE_TIME) και μετά από πόσες αποτυχημένες προσπάθειες κλειδώνει (FAILED_LOGIN_ATTEMPTS). Δεν μπορούμε όμως από default να θέσουμε περιορισμούς όσων αφορά το μέγεθος και την πολυπλοκότητα του κωδικού.

Σε αυτό το άρθρο θα δούμε πώς κάνουμε εγκατάσταση του buildin functions που μας επιτρέπει αυτή τη δυνατότητα και τι επιλογές έχουμε.

Με την εγκατάσταση έχουμε την δυνατότητα να ενεργοποιήοσουμε ένα από τα δύο functions άνα user profile.

ora12c_verify_function

Με την ενεργοποίηση του ora12c_verify_function θα πληρούνται οι παρακάτω κανόνες:

Ο κωδικός πρέπει να είναι τουλάχιστον 8 χαρακτήρες.
Ο κωδικός πρέπει να έχει τουλάχιστον 1 γράμμα.
Ο κωδικός πρέπει να έχει τουλάχιστον 1 νούμερο.
Ο κωδικός δεν πρέπει να περιέχει το username
Ο κωδικός δεν πρέπει να περιέχει το username ανάποδα
Ο κωδικός δεν πρέπει να περιέχει το όνομα του server
Ο κωδικός δεν μπορεί να είναι κοινότυπος όπως ‘oracle’ και ‘password1’ .
Ο κωδικός δεν πρέπει να διαφέρει τουλάχιστον 3 χαρακτήρες από τον προηγούμενο κωδικό.

ora12c_strong_verify_function

Με την ενεργοποίηση του ora12c_strong_verify_function θα πληρούνται οι παρακάτω κανόνες:

Ο κωδικός πρέπει να είναι τουλάχιστον 9 χαρακτήρες.
Ο κωδικός πρέπει να έχει τουλάχιστον 2 κεφαλαία γράμματα.
Ο κωδικός πρέπει να έχει τουλάχιστον 2 μικρά γράμματα.
Ο κωδικός πρέπει να έχει τουλάχιστον 2 αριθμούς.
Ο κωδικός πρέπει να έχει τουλάχιστον 2 ειδικούς χαρακτήρες.
Ο κωδικός δεν πρέπει να διαφέρει τουλάχιστον 3 χαρακτήρες από τον προηγούμενο κωδικό.

Η εγκατάσταση

Μέσα από το εργαλείο sqlplus εκτελούμε την παρακάτω εντολή ώστε να γίνουν εγκατάσταση τα functions:

sqlplus / as sysdba

@$ORACLE_HOME/rdbms/admin/utlpwdmg.sql

Με την εγκατάσταση όμως θα ενεργοποιηθεί αυτόματα ora12c_verify_function στο default profile, για να την απενεργοποιήσουμε τρέχουμε τα παρακάτω:

alter profile default limit password_verify_function null;
alter profile default limit password_grace_time unlimited;
alter profile default limit PASSWORD_LIFE_TIME unlimited;
alter profile default limit PASSWORD_LOCK_TIME unlimited;

Αν όμως κάποια κωδικοί δεν πληρούσαν τα κριτήρια π.χ. αν έχει περάσει ο κωδικός τις 180 ημέρες θα γυρίσει σε status EXPIRED(GRACE) καθώς το script αυτόματα άλλαξε την παράμετρο PASSWORD_LIFE_TIME σε 180.

Σε αυτή τη περίπτωση μπορούμε να κάνουμε generate τα commands ώστε να ξαναπεράσουμε τους ίδιους κωδικούς σε όσους χρήστες άνηκαν στο profile DEFAULT και έχουν γυρίσει σε status EXPIRED(GRACE) με το παρακάτω script:

select 'ALTER USER ' ||USERNAME|| ' IDENTIFIED BY VALUES ''' ||spare4|| ''';'  from dba_users du 
inner join sys.user$ su on du.username=su.name
where 1=1
and profile='DEFAULT'
and account_status='EXPIRED(GRACE)';

Σε περίπτωση κατά την σύνδεση του χρήστη μας εμφανίσει θέμα ασυμβατότητας του password file τότε το ξαναδημιουργούμε μέσα από command line ορίζοντας τον κωδικό του χρήστη sys και το format=12:

orapwd file=$ORACLE_HOME/dbs/orapwdbname force=y password=passw0rd format=12

Για να ενεργοποιήσουμε το ora12c_verify_function σε ένα user profile τρέχουμε την παρακάτω εντολή:

alter profile profile_name limit password_verify_function ora12c_verify_function;

Για να ενεργοποιήσουμε το ora12c_strong_verify_function σε ένα user profile τρέχουμε την παρακάτω εντολή:

alter profile profile_name limit password_verify_function ora12c_strong_verify_function;

Για να δούμε όλα τα policies σε ένα user profile τρέχουμε το παρακάτω query:

select * from dba_profile where PROFILE='DEFAULT';

Πώς κάνουμε enforce password policy σε βάση δεδομένων της Oracle — 01

Όπως βλέπουμε στην προκειμένη περίπτωση έχει ενεργοποιηθεί ως PASSWORD_VERIFY_FUNCTION η function ora12c_verify_function.

Πηγές:

What Are the Oracle Database Built-in Password Protections?

Μοιράσου το

Κουλουράκι	Διάρκεια	Περιγραφή
cookielawinfo-checkbox-advertisement	1 year	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Advertisement".
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Κουλουράκι	Διάρκεια	Περιγραφή
__gads	1 year 24 days	This cookie is set by Google and stored under the name dounleclick.com. This cookie is used to track how many times users see a particular advert which helps in measuring the success of the campaign and calculate the revenue generated by the campaign. These cookies can only be read from the domain that it is set on so it will not track any data while browsing through another sites.
_ga	2 years	This cookie is installed by Google Analytics. The cookie is used to calculate visitor, session, campaign data and keep track of site usage for the site's analytics report. The cookies store information anonymously and assign a randomly generated number to identify unique visitors.
_gid	1 day	This cookie is installed by Google Analytics. The cookie is used to store information of how visitors use a website and helps in creating an analytics report of how the website is doing. The data collected including the number visitors, the source where they have come from, and the pages visted in an anonymous form.

Κουλουράκι	Διάρκεια	Περιγραφή
IDE	1 year 24 days	Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile.
test_cookie	15 minutes	This cookie is set by doubleclick.net. The purpose of the cookie is to determine if the user's browser supports cookies.

ora12c_verify_function

ora12c_strong_verify_function

Η εγκατάσταση

Αφήστε μία απάντηση Ακύρωση απάντησης