ORACLE密码文件使用与维护技巧

oracle联系数据库体例以其特出的本能赢得了普遍的运用，而保护数据库安定性是数据库处置处事的要害实质。正文在归纳oracle数据库安定处置处事的普通上，对oracle数据库体例暗号文献的创造、运用和保护作了精细的引见，供大师参考。

在oracle数据库体例中，用户即使要以特权用户身份(internal/sysdba/sysoper)登录oracle数据库不妨有两种身份考证的本领：即运用与操纵体例集成的身份考证或运用oracle数据库的暗号文献举行身份考证。所以，处置好暗号文献，对于遏制受权用户从远端或本机登录oracle数据库体例，实行数据库处置处事，具备要害的意旨。

oracle数据库的暗号文献寄存有超等用户internal/sys的口令及其余特权用户的用户名/口令，它普遍寄存在oracle_home\database目次下。

一、暗号文献的创造

在运用oracle instance manager创造一数据库范例的时侯，在oracle_home\database目次下还机动创造了一个与之对应的暗号文献，文献名为pwdsid.ora，个中sid代办相映的oracle数据库体例操作符。此暗号文献是举行初始数据库处置处事的基矗在此之后，处置员也不妨按照须要，运用东西orapwd.exe细工创造暗号文献，吩咐方法如次：

c:\ >orapwdfile=< filename >password =< password > entries=< max_users >

各吩咐参数的含意为：

filename：暗号文献名;

password：树立internal/sys帐号的口令;

max_users：暗号文献中不妨寄存的最大用户数，对应于承诺以sysdba/sysoper权力登录数据库的最大用户数。因为在此后的保护中，若用户数胜过了此控制，则须要重修暗号文献，以是此参数不妨按照须要树立得大少许。

有了暗号文献之后，须要树立初始化参数remote_login_passwordfile来遏制暗号文献的运用状况。

二、树立初始化参数remote_login_passwordfile

在oracle数据库范例的初始化参数文献中，此参数遏制着暗号文献的运用及其状况。它不妨有以次几个选项：

none：引导oracle体例不运用暗号文献，特权用户的登录经过操纵体例举行身份考证;

exclusive：引导惟有一个数据库范例不妨运用此暗号文献。惟有在此树立下的暗号文献不妨包括有除internal/sys除外的用户消息，即承诺将体例权力sysoper/sysdba赋予除internal/sys除外的其余用户。

shared：引导可有多个数据库范例不妨运用此暗号文献。在此树立下惟有internal/sys帐号能被暗号文献辨别，纵然文献中存有其余用户的消息，也不承诺她们以sysoper/sysdba的权力登录。此树立为缺省值。

在remote_login_passwordfile参数树立为exclusive、shared情景下，oracle体例探求暗号文献的步骤为：在体例备案库中搜索ora_sid_pwfile参数值(它为暗号文献的全路途名);若未找到，则搜索ora_pwfile参数值;若仍未找到，则运用缺省值oracle_home\database\pwdsid.ora;个中的sid代办相映的oracle数据库体例操作符。

三、向暗号文献中减少、简略用户

开初始化参数remote_login_passwordfile树立为exclusive时，体例承诺除internal/sys除外的其余用户以处置员身份从远端或本机登录到oracle数据库体例，实行数据库处置处事;那些用户名必需生存于暗号文献中，体例本领辨别她们。因为尽管是在创造数据库范例时机动创造的暗号文献，仍旧运用东西orapwd.exe细工创造的暗号文献，都只包括internal/sys用户的消息;为此，在本质操纵中，大概须要向暗号文献增添或简略其余用户帐号。

因为仅被赋予sysoper/sysdba体例权力的用户才生存于暗号文献中，以是当向某一用户赋予或收回sysoper/sysdba体例权力时，她们的帐号也将相映地被介入到暗号文献或从暗号文献中简略。由此，向暗号文献中减少或简略某一用户，本质上也即是对某一用户赋予或收回sysoper/sysdba体例权力。

要举行此项受权操纵，需运用sysdba权力(或internal帐号)连入数据库，且初始化参数remote_login_passwordfile的树立必需为exclusive。简直操纵办法如次：

创造相映的暗号文献;

树立初始化参数remote_login_passwordfile=exclusive;

运用sysdba权力登录： connectsys/internal_user_passswordassysdba;

启用数据库范例并翻开数据库;

创造相映用户帐号，对其受权(囊括sysoper和sysdba)： 赋予权力：grantsysdbatouser_name;

收回权力：revokesysdbafromuser_name;

此刻那些用户不妨以处置员身份登录数据库体例了;

四、运用暗号文献登录

有了暗号文献后，用户就不妨运用暗号文献以sysoper/sysdba权力登录oracle数据库范例了，提防初始化参数remote_login_passwordfile应树立为exclusive或shared。任何用户以sysoper/sysdba的权力登录后，将坐落sys用户的schema之下，以次为两个登录的例子：

1. 以处置员身份登录：

假如用户scott已被赋予sysdba权力，则他不妨运用以次吩咐登录：

connectscott/tigerassysdba

2. 以internal身份登录：

connectinternal/internal_password