用户策略
参数设置
数据库用户鉴别相关参数包含在配置文件xugu.ini中,数据库管理员可通过管理配置文件以定义用户策略。参数设置详见数据库配置文件xugu.ini,也可以由数据库管理员(SYSDBA)登入数据库后以命令方式查看和修改。
| 身份鉴别相关参数 | 缺省值 | 取值范围 | 参数含义 |
|---|---|---|---|
| min_pass_len | 8 | [3, 32] | 口令的最小长度。 |
| pass_mode | 3 | 1|2|3 | 口令模式。 |
| conn_fail_cnt | 3 | [2, 100] | 用户错误登录尝试的阈值,当用户连续错误登录次数超过该配置项定义的值之后,系统会对账户进行锁定。 |
通过SQL命令方式查看和修改用户策略。
- 查看口令模式:sql
SQL> SHOW PASS_MODE; PASS_MODE | ------------------------------------------------------------------------------ 1 | - 修改口令模式:sql
SQL> SET PASS_MODE TO 3;
注意:
- 只有数据库管理员有权限修改数据库参数。
- 通过命令方式修改用户口令策略直接生效,通过修改xugu.ini配置文件需重启数据库生效。
- 建议设置较长的口令,同时保持口令模式为3,包括数字、字母以及特殊字符。复杂度越低,其被破解的可能性就越大,比如包含用户名、使用重复字符等。出于安全性考虑,需确保口令具有较高的复杂度。
鉴权时机
虚谷数据库在用户进行数据库登录时,除必要的连接信息如IP、端口号、库名外,会根据输入的用户名、密钥等进行用户鉴别,同时还会判断登录信息是否通过黑白名单规则,未通过身份鉴别的用户无法登入数据库,通过身份鉴别的用户成功登录数据库。
鉴权方式
虚谷数据库鉴别用户身份的方式为数据库鉴别,即验证用户的口令,暂未提供其他的认证方式。
登录失败处理
对于用户登录失败的情况,虚谷数据库有相应的安全处理机制。
默认以输入错误密码3次登录数据库后锁定该IP 3分钟,3分钟内此IP任何用户即使输入正确密码也无法登录。数据库管理员可通过命令或者直接修改配置文件xugu.ini中的conn_fail_cnt参数自定义锁定IP的失败次数。
用户可通过系统表sys_all_forbidden_ips可查看相关失败情况。有关表的详细信息请参见《系统字典参考》的禁止IP-sys_all_forbidden_ips章节。