Oracle密碼文件使用與維護技巧

　　Oracle關系數據庫系統以其卓越的性能獲得了廣泛的應用，而保證數據庫安全性是數據庫管理工作的重要內容。本文在總結Oracle數據庫安全管理工作的基礎上，對Oracle數據庫系統密碼文件的創建、使用和維護作了詳細的介紹，供大家參考。

　　關鍵詞：Oracle數據庫密碼文件

　　在Oracle數據庫系統中，用戶如果要以特權用戶身份（INTERNAL／SYSDBA／SYSOPER）登錄Oracle數據庫可以有兩種身份驗證的方法：即使用與操作系統集成的身份驗證或使用Oracle數據庫的密碼文件進行身份驗證。因此，管理好密碼文件，對於控制授權用戶從遠端或本機登錄Oracle數據庫系統，執行數據庫管理工作，具有重要的意義。

　　Oracle數據庫的密碼文件存放有超級用戶INTERNAL／SYS的口令及其他特權用戶的用戶名／口令，它一般存放在ORACLE_HOME＼DATABASE目錄下。

　　一、密碼文件的創建

　　在使用Oracle Instance Manager創建一數據庫實例的時侯，在ORACLE_HOME＼DATABASE目錄下還自動創建了一個與之對應的密碼文件，文件名為PWDSID.ORA，其中SID代表相應的Oracle數據庫系統標識符。此密碼文件是進行初始數據庫管理工作的基矗在此之後，管理員也可以根據需要，使用工具ORAPWD.EXE手工創建密碼文件，命令格式如下：

　　C:＼ >ORAPWDFILE=＜ FILENAME ＞PASSWORD =＜ PASSWORD ＞ ENTRIES=< MAX_USERS >

　　各命令參數的含義為：

　　FILENAME：密碼文件名；

　　PASSWORD：設置INTERNAL／SYS帳號的口令；

　　MAX_USERS：密碼文件中可以存放的最大用戶數，對應於允許以SYSDBA／SYSOPER權限登錄數據庫的最大用戶數。由於在以後的維護中，若用戶數超出了此限制，則需要重建密碼文件，所以此參數可以根據需要設置得大一些。

　　有了密碼文件之後，需要設置初始化參數REMOTE_LOGIN_PASSWORDFILE來控制密碼文件的使用狀態。

　　二、設置初始化參數REMOTE_LOGIN_PASSWORDFILE

　　在Oracle數據庫實例的初始化參數文件中，此參數控制著密碼文件的使用及其狀態。它可以有以下幾個選項：

　　NONE：指示Oracle系統不使用密碼文件，特權用戶的登錄通過操作系統進行身份驗證；

　　EXCLUSIVE：指示只有一個數據庫實例可以使用此密碼文件。只有在此設置下的密碼文件可以包含有除INTERNAL／SYS以外的用戶信息，即允許將系統權限SYSOPER／SYSDBA授予除INTERNAL／SYS以外的其他用戶。

　　SHARED：指示可有多個數據庫實例可以使用此密碼文件。在此設置下只有INTERNAL／SYS帳號能被密碼文件識別，即使文件中存有其他用戶的信息，也不允許他們以SYSOPER／SYSDBA的權限登錄。此設置為缺省值。

　　在REMOTE_LOGIN_PASSWORDFILE參數設置為EXCLUSIVE、SHARED情況下，Oracle系統搜索密碼文件的次序為：在系統注冊庫中查找ORA_SID_PWFILE參數值（它為密碼文件的全路徑名）；若未找到，則查找ORA_PWFILE參數值；若仍未找到，則使用缺省值ORACLE_HOME＼DATABASE＼PWDSID.ORA；其中的SID代表相應的Oracle數據庫系統標識符。

　　三、向密碼文件中增加、刪除用戶

　　當初始化參數REMOTE_LOGIN_PASSWORDFILE設置為EXCLUSIVE時，系統允許除INTERNAL／SYS以外的其他用戶以管理員身份從遠端或本機登錄到Oracle數據庫系統，執行數據庫管理工作；這些用戶名必須存在於密碼文件中，系統才能識別他們。由於不管是在創建數據庫實例時自動創建的密碼文件，還是使用工具ORAPWD.EXE手工創建的密碼文件，都只包含INTERNAL／SYS用戶的信息；為此，在實際操作中，可能需要向密碼文件添加或刪除其他用戶帳號。

　　由於僅被授予SYSOPER／SYSDBA系統權限的用戶才存在於密碼文件中，所以當向某一用戶授予或收回SYSOPER／SYSDBA系統權限時，他們的帳號也將相應地被加入到密碼文件或從密碼文件中刪除。由此，向密碼文件中增加或刪除某一用戶，實際上也就是對某一用戶授予或收回SYSOPER／SYSDBA系統權限。

　　要進行此項授權操作，需使用SYSDBA權限（或INTERNAL帳號）連入數據庫，且初始化參數REMOTE_LOGIN_PASSWORDFILE的設置必須為EXCLUSIVE。具體操作步驟如下：

　　創建相應的密碼文件；

　　設置初始化參數REMOTE_LOGIN_PASSWORDFILE＝EXCLUSIVE；

　　使用SYSDBA權限登錄： CONNECTSYS／internal_user_passswordASSYSDBA；

　　啟動數據庫實例並打開數據庫；

　　創建相應用戶帳號，對其授權（包括SYSOPER和SYSDBA）： 授予權限：GRANTSYSDBATOuser_name；

　　收回權限：REVOKESYSDBAFROMuser_name；

　　現在這些用戶可以以管理員身份登錄數據庫系統了；

　　四、使用密碼文件登錄

　　有了密碼文件後，用戶就可以使用密碼文件以SYSOPER／SYSDBA權限登錄Oracle數據庫實例了，注意初始化參數REMOTE_LOGIN_PASSWORDFILE應設置為EXCLUSIVE或SHARED。任何用戶以SYSOPER／SYSDBA的權限登錄後，將位於SYS用戶的Schema之下，以下為兩個登錄的例子：

　　1. 以管理員身份登錄：

　　假設用戶scott已被授予SYSDBA權限，則他可以使用以下命令登錄：

　　CONNECTscott／tigerASSYSDBA

　　2. 以INTERNAL身份登錄：

　　CONNECTINTERNAL／INTERNAL_PASSWORD