爲什麼任何隨便輸入的賬號使用SYSDBA權限都能登陸oracle

原創 lianruidong 2020-06-16 14:10

其實簡單點就是檢查一下你的機器有沒有一個ora_dba用戶組,而且你登陸os的用戶是否在這個組裏,有的話問題的原因就找到了,下面是轉的高手的介紹

 

 

本文環境配置:Oracle10gR2,Windows XP

 

Oracle的用戶信息一般來說是保存在數據字典裏的,所以常規用戶在Oracle數據庫沒有啓動的時候是無法登陸的。但有兩類用戶例外,這就是具有sysdba或者sysoper權限的用戶。Oracle sysdba或者sysoper用戶的登陸有兩種方式:一是通過OS認證,二是通過密碼文件驗證。

 

究竟使用哪一種驗證方式以及能否成功登陸取決於三個方面的因素:

1. sqlnet.ora中SQLNET.AUTHENTICATION_SERVICES的設置

2. 參數文件中REMOTE_LOGIN_PASSWORDFILE的設置

3. 密碼文件 PWD%sid%.ora

 

Oracle進行權限驗證的大致順序如下:

1. 根據SQLNET.AUTHENTICATION_SERVICES的值決定是進行os驗證還是密碼文件驗證。

2. 如果是os驗證,根據當前用戶的用戶組判斷是否具有sysdba權限。如果os驗證失敗,則進行密碼文件驗證。

2. 如果是密碼文件驗證,REMOTE_LOGIN_PASSWORDFILE的值以及密碼文件是否存在決定了驗證是否成功。

 

1. OS

 

要啓用os驗證,就必須在qlnet.ora中設置SQLNET.AUTHENTICATION_SERVICES=(NTS),然後在Windows中建立ora_dba用戶組,把相關用戶加入到這個組中(e.g., administrator),這樣administrator就可以在不用提供用戶名和密碼(或者提供任意的用戶名和密碼)的情況下以sysdba身份本地登陸。因爲操作系統已經代替Oracle進行了驗證。

 

測試一:ora_dba用戶本地登陸

Sql代碼 複製代碼
  1. C:/>sqlplus / as sysdba   
  2. Connected to:   
  3. Oracle Database 10g Enterprise Edition Release 10.2.0.1.0 - Production   
  4. With the OLAP and Data Mining options   
  5. SQL>   
  6.   
  7. C:/>sqlplus wrong_user/wrong_password as sysdba   
  8. Connected to:   
  9. Oracle Database 10g Enterprise Edition Release 10.2.0.1.0 - Production   
  10. With the OLAP and Data Mining options   
  11. SQL>  
C:/>sqlplus / as sysdba
Connected to:
Oracle Database 10g Enterprise Edition Release 10.2.0.1.0 - Production
With the OLAP and Data Mining options
SQL>

C:/>sqlplus wrong_user/wrong_password as sysdba
Connected to:
Oracle Database 10g Enterprise Edition Release 10.2.0.1.0 - Production
With the OLAP and Data Mining options
SQL>

 

測試二:非ora_dba用戶本地登陸

Java代碼 複製代碼
  1. C:/>sqlplus / as sysdba   
  2. ERROR:   
  3. ORA-01031: insufficient privileges   
  4. Enter user-name:   
  5.   
  6. C:/>sqlplus wrong_user/wrong_password sysdba   
  7. ERROR:   
  8. ORA-01017: invalid username/password; logon denied   
  9. Enter user-name:   
  10.   
  11. C:/>sqlplus sys/change_on_install as sysdba   
  12. Connected to:   
  13. Oracle Database 10g Enterprise Edition Release 10.2.0.1.0 - Production   
  14. With the OLAP and Data Mining options   
  15. SQL>  
C:/>sqlplus / as sysdba
ERROR:
ORA-01031: insufficient privileges
Enter user-name:

C:/>sqlplus wrong_user/wrong_password sysdba
ERROR:
ORA-01017: invalid username/password; logon denied
Enter user-name:

C:/>sqlplus sys/change_on_install as sysdba
Connected to:
Oracle Database 10g Enterprise Edition Release 10.2.0.1.0 - Production
With the OLAP and Data Mining options
SQL>

 

2. 密碼文件驗證

 

密碼文件包含了被授予sysdba和sysoper權限的用戶的用戶名和密碼。這是一個加密文件,一般來說存放在%oracle_home%/database目錄下,文件名爲PWD%sid%.ora。

 

如果要使用密碼文件驗證,則把sqlnet.ora改爲SQLNET.AUTHENTICATION_SERVICES=none,或者從sqlnet.ora中刪除SQLNET.AUTHENTICATION_SERVICES。同上匿名登陸sqlplus會失敗,給出用戶名和密碼就可以成功登陸。

Sql代碼 複製代碼
  1. C:/>sqlplus / as sysdba   
  2. ERROR:   
  3. ORA-01031: insufficient privileges  
  4. Enter user-name:   
  5.   
  6. C:/>sqlplus sys/change_on_install as sysdba   
  7. Connected to an idle instance.   
  8. idle>  
C:/>sqlplus / as sysdba
ERROR:
ORA-01031: insufficient privileges
Enter user-name:

C:/>sqlplus sys/change_on_install as sysdba
Connected to an idle instance.
idle>

 

測試一:刪除密碼文件。使用用戶名和密碼登陸,失敗!

Sql代碼 複製代碼
  1. C:/>sqlplus sys/change_on_install as sysdba   
  2. ERROR:   
  3. ORA-01031: insufficient privileges  
  4. Enter user-name:  
C:/>sqlplus sys/change_on_install as sysdba
ERROR:
ORA-01031: insufficient privileges
Enter user-name:

 

測試二:恢復密碼文件,設置REMOTE_LOGIN_PASSWORDFILE=none。使用用戶名和密碼登陸,失敗!

Sql代碼 複製代碼
  1. SQL> alter system set remote_login_passwordfile=none scope=spfile;   
  2. System altered.   
  3.   
  4. C:/>sqlplus sys/change_on_install as sysdba   
  5. ERROR:   
  6. ORA-01017: invalid username/password; logon denied   
  7. Enter user-name:  
SQL> alter system set remote_login_passwordfile=none scope=spfile;
System altered.

C:/>sqlplus sys/change_on_install as sysdba
ERROR:
ORA-01017: invalid username/password; logon denied
Enter user-name:

 

測試三:恢復密碼文件,設置REMOTE_LOGIN_PASSWORDFILE爲EXCLUSIVE或者SHARED。使用用戶名和密碼登陸,成功!

Sql代碼 複製代碼
  1. SQL> alter system set remote_login_passwordfile=exclusive scope=spfile;   
  2. System altered.   
  3.   
  4. C:/>sqlplus sys/change_on_install as sysdba   
  5. Connected to an idle instance.   
  6. SQL>  
SQL> alter system set remote_login_passwordfile=exclusive scope=spfile;
System altered.

C:/>sqlplus sys/change_on_install as sysdba
Connected to an idle instance.
SQL>

 

3. 密碼文件

 

查看具有sysdba或者sysoper權限的用戶:

Sql代碼 複製代碼
  1. SQL> select * from v$pwfile_users;   
  2.   
  3. USERNAME                        SYSDB    SYSOP   
  4. ------------------------------  -------  -------   
  5. SYS                             TRUE     TRUE  
SQL> select * from v$pwfile_users;

USERNAME                        SYSDB    SYSOP
------------------------------  -------  -------
SYS                             TRUE     TRUE

 

每次使用grant sysdba/sysoper授予新用戶特殊權限或是alter user命令修改擁有sysdba/sysoper權限的用戶密碼的時候,Oracle都會自動的同步密碼文件,這樣保證在數據庫沒有打開的情況擁有特殊權限的用戶能正常的登陸數據庫以進行管理操作。

Sql代碼 複製代碼
  1. SQL> grant sysdba to logicgate;   
  2. Grant succeeded.   
  3.   
  4. SQL> select * from v$pwfile_users;   
  5.   
  6. USERNAME                       SYSDB     SYSOP   
  7. ------------------------------- -------- --------   
  8. SYS                             TRUE     TRUE  
  9. LOGICGATE                       TRUE     FALSE  
SQL> grant sysdba to logicgate;
Grant succeeded.

SQL> select * from v$pwfile_users;

USERNAME                       SYSDB     SYSOP
------------------------------- -------- --------
SYS                             TRUE     TRUE
LOGICGATE                       TRUE     FALSE

 

使用orapwd命令可以重建密碼文件。

Java代碼 複製代碼
  1. C:/>orapwd   
  2. Usage: orapwd file=<fname> password=<password> entries=<users> force=<y/n>   
  3.   where   
  4.     file - name of password file (mandatory),   
  5.     password - password for SYS (mandatory),   
  6.     entries - maximum number of distinct DBA (optional),   
  7.     force - whether to overwrite existing file (optional)  
C:/>orapwd
Usage: orapwd file=<fname> password=<password> entries=<users> force=<y/n>
  where
    file - name of password file (mandatory),
    password - password for SYS (mandatory),
    entries - maximum number of distinct DBA (optional),
    force - whether to overwrite existing file (optional)

 

其中文件名和密碼是必需的。entries設置了密碼文件可包含的dba用戶的最大數目。force定義了是否覆蓋當前文件。重建密碼文件會清除系統內除了sys用戶以外所有sysdba用戶的密碼。必須使用grant sysdba同步密碼文件。

Java代碼 複製代碼
  1. C:/>orapwd file=%oracle_home%/database/PWDepcit.ora password=temp entries=20 force=y;   
  2.   
  3. C:/>sqlplus sys/temp as sysdba   
  4. Connected to:   
  5. Oracle Database 10g Enterprise Edition Release 10.2.0.1.0 - Production   
  6. With the OLAP and Data Mining options   
  7.   
  8. SQL> select * from v$pwfile_users;   
  9.   
  10. USERNAME                        SYSDB    SYSOP   
  11. ------------------------------- -------- --------   
  12. SYS                             TRUE     TRUE  
C:/>orapwd file=%oracle_home%/database/PWDepcit.ora password=temp entries=20 force=y;

C:/>sqlplus sys/temp as sysdba
Connected to:
Oracle Database 10g Enterprise Edition Release 10.2.0.1.0 - Production
With the OLAP and Data Mining options

SQL> select * from v$pwfile_users;

USERNAME                        SYSDB    SYSOP
------------------------------- -------- --------
SYS                             TRUE     TRUE
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

Dolphinscheduler不重啓加載Oracle驅動

轉載自劉茫茫看山 問題背景 某天我們的租戶反饋數據庫連接缺少必要的驅動,我們通過日誌查看確實是缺少部分數據庫的驅動,因爲DolphinScheduler默認只帶了Oracle和MySQL的驅動,並且需要將pom文件中的test模式去掉纔可以

原創 2024-05-28 21:22:10

雲原生週刊:Flux 2.3 發佈 | 2024.5.20

開源項目推薦 kubeinvaders kubeinvaders 專爲 Kubernetes 用戶設計。它提供了一種有趣而交互式的方式來探索和可視化您的 Kubernetes 集羣。通過類似遊戲的界面,用戶可以瀏覽他們的集羣,發現資源,甚至

原創 2024-05-20 23:16:26

14 hive安裝

1.hive 1.1  解壓        tar -zxf apache-hive-1.2.2-bin.tar.gz -C ..        mv apache-hive-1.2.2-bin/ hive-1.2.2  1.2 修改配置

osc_pjx77r92 2024-05-14 00:41:14

從 Oracle 到 TiDB,國有大行打造本地生活 APP 新體驗

導讀 本文介紹了某國有大行推出的本地生活服務類 APP 在數字時代的創新應用實踐。該 APP 利用金融科技和互聯網平臺模式,打造“金融+非金融”的線上生態服務平臺,滿足了用戶多樣化的生活需求。爲應對用戶增長和數據量增加帶來的挑戰,該 APP

原創 2024-05-13 11:16:38

TiDB + ES:轉轉業財系統億級數據存儲優化實踐

以下文章來源於轉轉技術 ,作者戴美琪 導讀 本文詳細介紹了轉轉業財系統億級數據存儲優化的實踐。面對系統數據量大、慢查詢多等挑戰,轉轉業財採取了 TiDB 方案優化數據量問題,同時引入 Elasticsearch(ES)解決慢查詢難題。實踐表

原創 2024-05-13 11:16:34

MySQL 社區經理:MySQL 8.4 InnoDB 參數默認值爲什麼要這麼改?

MySQL 8.4 LTS 版本,我們一共修改了 20 個 InnoDB 變量的默認值。 作者:Frederic Descamps,EMEA 和亞太地區的 MySQL 社區經理。於 2016 年 5 月加入 MySQL 社區團隊。擔任開源

原創 2024-05-06 23:20:21

https://login.docker.com/oauth/token block是幾個意思?

https://login.docker.com/oauth/token block是幾個意思? Resolving login.docker.com (login.docker.com)... 104.244.43.57, 2a03:28

原創 2024-06-06 22:43:29

雲原生時代:從 Jenkins 到 Argo Workflows,構建高效 CI Pipeline

作者:蔡靖 Argo Workflows Argo Workflows [ 1] 是用於在 Kubernetes 上編排 Job 的開源的雲原生工作流引擎。可以輕鬆自動化和管理 Kubernetes 上的複雜工作流程。適用於各種場景,包括定

原創 2024-06-05 21:13:46

「Java開發指南」如何用MyEclipse搭建Spring安全策略?

本教程將引導您向現有的Web應用程序添加Spring安全策略,在本教程中您將學習如何: 搭建Spring安全策略 部署應用程序 MyEclipse v2023.1.2離線版下載   搭建Spring安全策略 1. 創建一個 scaf

原創 2024-05-30 12:19:47

天地圖開發接入指南

註冊賬號 https://uums.tianditu.gov.cn/register 登錄已有賬號 https://sso.tianditu.gov.cn/login?service=https%3A%2F%2Fuums.tiandi

原創 2024-05-15 12:08:42

Java Chassis 3:接口維度負載均衡

本文分享自華爲雲社區《Java Chassis 3技術解密:接口維度負載均衡》,作者: liubao68。 在Java Chassis 3技術解密:負載均衡選擇器中解密了Java Chassis 3負載均衡在解決性能方面提供的算法。這次解密

原創 2024-05-13 23:00:25

詳解數倉的3A安全能力

本文分享自華爲雲社區《GaussDB(DWS) 3A安全能力》,作者:yd_281561943。 1. 前言 適用版本:【8.0.0 (及以上)】 數據庫安全是指保護數據庫以防止未授權用戶竊取、篡改和破壞數據庫中數據信息的技術。數據庫

原創 2024-05-07 10:33:01

教你用Perl實現Smgp協議

本文分享自華爲雲社區《華爲雲短信服務教你用Perl實現Smgp協議》,作者:張儉。 引言&協議概述 中國電信短消息網關協議(SMGP)是中國網通爲實現短信業務而制定的一種通信協議,全稱叫做Short Message Gateway Pro

原創 2024-05-06 10:32:43

Linux系統中的文件和目錄權限

一、文件屬性        下文中,“文件”一詞默認代指廣義的數據類型,跟“目錄”等詞對比使用時,則專指普通文件(File)這一特定數據類型。        Linux系統中,我們可以使用命令“ls -al”來查看當前目錄

原創 2024-05-11 01:45:47

git 將其中一個文件恢復到之前的版本

要將Git中的一個文件恢復到之前的版本,你可以使用git checkout命令結合特定的提交哈希值(commit hash)或引用(如HEAD~1)來檢出該文件的特定版本。 以下是如何操作的步驟: 查看文件的歷史: 首先,你可以使用gi

原創 2024-05-08 12:43:22