ORACLE 新手，問個用戶安全的問題

znn19850323

大師們：

我用scott賬戶連接DB， 然后conn / as sysdba, 能輕松切換到user sys，我有個疑問，oracle允許這么切換安全嗎？ 肯定有安全隱患��？ 有辦法阻止其他賬戶隨意切換到sysdba嗎？ 怎么在DB里設置？

謝謝�。。�


[oracle@localhost ~]$ sqlplus scott/cat

SQL*Plus: Release 11.2.0.1.0 Production on Thu Mar 20 14:18:39 2014

Copyright (c) 1982, 2009, Oracle.  All rights reserved.


Connected to:
Oracle Database 11g Enterprise Edition Release 11.2.0.1.0 - Production
With the Partitioning, OLAP, Data Mining and Real Application Testing options

SQL> show user
USER is "SCOTT"
SQL> conn / as sysdba
Connected.
SQL> show user
USER is "SYS"

jackson198574

取消OS驗證登錄，在sqlnet.ora文件中加入：
SQLNET.AUTHENTICATION_SERVICES= (NONE)

znn19850323

回復 2# jackson198574


    高手。。。膜拜中。。。。

[oracle@localhost admin]$ sqlplus scott/cat

SQL*Plus: Release 11.2.0.1.0 Production on Thu Mar 20 15:07:04 2014

Copyright (c) 1982, 2009, Oracle.  All rights reserved.


Connected to:
Oracle Database 11g Enterprise Edition Release 11.2.0.1.0 - Production
With the Partitioning, OLAP, Data Mining and Real Application Testing options

SQL> conn / as sysdba
ERROR:
ORA-01031: insufficient privileges


Warning: You are no longer connected to ORACLE.
SQL> exit
[oracle@localhost admin]$ pwd
/home/oracle/app/oracle/product/11.2.0/dbhome_1/network/admin
[oracle@localhost admin]$ cat sqlnet.ora
SQLNET.AUTHENTICATION_SERVICES= (NONE)

znn19850323

回復 2# jackson198574


    能否詳細解釋下這么設置的意義？ 取消OS驗證是什么意思？

znn19850323

回復 2# jackson198574


    在sqlnet.ora中加入SQLNET.AUTHENTICATION_SERVICES= (NONE)

我sysdba 也進不去了啊。。。！�。�


[oracle@localhost admin]$ sqlplus / as sysdba

SQL*Plus: Release 11.2.0.1.0 Production on Thu Mar 20 15:22:36 2014

Copyright (c) 1982, 2009, Oracle.  All rights reserved.

ERROR:
ORA-01031: insufficient privileges


Enter user-name:
ERROR:
ORA-01017: invalid username/password; logon denied

wiliiwin

oracle數(shù)據(jù)庫有2種驗證方式，一種是系統(tǒng)驗證，一種是數(shù)據(jù)庫驗證，你要是用遠程連接scot再切到sys，是切換不到sys權限的，你現(xiàn)在目前是系統(tǒng)驗證方式，也就是在服務器上進行登陸的，因此可以切換。

jackson198574

回復 5# znn19850323


    通過客戶端之類的可以訪問Oracle。這樣能防止任何知道系統(tǒng)密碼的人登錄數(shù)據(jù)庫。改回原來的值就可以使用OS驗證了。

jackson198574

回復 4# znn19850323


    如果你有精力，可以看看密碼文件能做到什么程度，做一下實驗自己驗證一下。

www_xylove

誰允許這樣登陸數(shù)據(jù)庫，只有dba有這個權限登陸，應用是不會這樣登陸的。

dingning239

conn / as sysdba

這樣的連接方式是通過了操作系統(tǒng)驗證的，如果你進入了操作系統(tǒng)還有什么是安全不安全之談嗎？