为什么任何随便输入的账号使用SYSDBA权限都能登陆oracle

其实简单点就是检查一下你的机器有没有一个ora_dba用户组,而且你登陆os的用户是否在这个组里,有的话问题的原因就找到了,下面是转的高手的介绍

 

 

本文环境配置:Oracle10gR2,Windows XP

 

Oracle的用户信息一般来说是保存在数据字典里的,所以常规用户在Oracle数据库没有启动的时候是无法登陆的。但有两类用户例外,这就是具有sysdba或者sysoper权限的用户。Oracle sysdba或者sysoper用户的登陆有两种方式:一是通过OS认证,二是通过密码文件验证。

 

究竟使用哪一种验证方式以及能否成功登陆取决于三个方面的因素:

1. sqlnet.ora中SQLNET.AUTHENTICATION_SERVICES的设置

2. 参数文件中REMOTE_LOGIN_PASSWORDFILE的设置

3. 密码文件 PWD%sid%.ora

 

Oracle进行权限验证的大致顺序如下:

1. 根据SQLNET.AUTHENTICATION_SERVICES的值决定是进行os验证还是密码文件验证。

2. 如果是os验证,根据当前用户的用户组判断是否具有sysdba权限。如果os验证失败,则进行密码文件验证。

2. 如果是密码文件验证,REMOTE_LOGIN_PASSWORDFILE的值以及密码文件是否存在决定了验证是否成功。

 

1. OS 验 证

 

要启用os验证,就必须在qlnet.ora中设置SQLNET.AUTHENTICATION_SERVICES=(NTS),然后在Windows中建立ora_dba用户组,把相关用户加入到这个组中(e.g., administrator),这样administrator就可以在不用提供用户名和密码(或者提供任意的用户名和密码)的情况下以sysdba身份本地登陆。因为操作系统已经代替Oracle进行了验证。

 

测试一:ora_dba用户本地登陆

Sql代码  复制代码
  1. C:/>sqlplus / as sysdba   
  2. Connected to:   
  3. Oracle Database 10g Enterprise Edition Release 10.2.0.1.0 - Production   
  4. With the OLAP and Data Mining options   
  5. SQL>   
  6.   
  7. C:/>sqlplus wrong_user/wrong_password as sysdba   
  8. Connected to:   
  9. Oracle Database 10g Enterprise Edition Release 10.2.0.1.0 - Production   
  10. With the OLAP and Data Mining options   
  11. SQL>  
[sql]  view plain copy
  1. C:/>sqlplus / as sysdba  
  2. Connected to:  
  3. Oracle Database 10g Enterprise Edition Release 10.2.0.1.0 - Production  
  4. With the OLAP and Data Mining options  
  5. SQL>  
  6.   
  7. C:/>sqlplus wrong_user/wrong_password as sysdba  
  8. Connected to:  
  9. Oracle Database 10g Enterprise Edition Release 10.2.0.1.0 - Production  
  10. With the OLAP and Data Mining options  
  11. SQL>  

 

测试二:非ora_dba用户本地登陆

Java代码  复制代码
  1. C:/>sqlplus / as sysdba   
  2. ERROR:   
  3. ORA-01031: insufficient privileges   
  4. Enter user-name:   
  5.   
  6. C:/>sqlplus wrong_user/wrong_password sysdba   
  7. ERROR:   
  8. ORA-01017: invalid username/password; logon denied   
  9. Enter user-name:   
  10.   
  11. C:/>sqlplus sys/change_on_install as sysdba   
  12. Connected to:   
  13. Oracle Database 10g Enterprise Edition Release 10.2.0.1.0 - Production   
  14. With the OLAP and Data Mining options   
  15. SQL>  
[java]  view plain copy
  1. C:/>sqlplus / as sysdba  
  2. ERROR:  
  3. ORA-01031: insufficient privileges  
  4. Enter user-name:  
  5.   
  6. C:/>sqlplus wrong_user/wrong_password sysdba  
  7. ERROR:  
  8. ORA-01017: invalid username/password; logon denied  
  9. Enter user-name:  
  10.   
  11. C:/>sqlplus sys/change_on_install as sysdba  
  12. Connected to:  
  13. Oracle Database 10g Enterprise Edition Release 10.2.0.1.0 - Production  
  14. With the OLAP and Data Mining options  
  15. SQL>  

 

2. 密码文件验证

 

密码文件包含了被授予sysdba和sysoper权限的用户的用户名和密码。这是一个加密文件,一般来说存放在%oracle_home%/database目录下,文件名为PWD%sid%.ora。

 

如果要使用密码文件验证,则把sqlnet.ora改为SQLNET.AUTHENTICATION_SERVICES=none,或者从sqlnet.ora中删除SQLNET.AUTHENTICATION_SERVICES。同上匿名登陆sqlplus会失败,给出用户名和密码就可以成功登陆。

Sql代码  复制代码
  1. C:/>sqlplus / as sysdba   
  2. ERROR:   
  3. ORA-01031: insufficient privileges  
  4. Enter user-name:   
  5.   
  6. C:/>sqlplus sys/change_on_install as sysdba   
  7. Connected to an idle instance.   
  8. idle>  
[sql]  view plain copy
  1. C:/>sqlplus / as sysdba  
  2. ERROR:  
  3. ORA-01031: insufficient privileges  
  4. Enter user-name:  
  5.   
  6. C:/>sqlplus sys/change_on_install as sysdba  
  7. Connected to an idle instance.  
  8. idle>  

 

测试一:删除密码文件。使用用户名和密码登陆,失败!

Sql代码  复制代码
  1. C:/>sqlplus sys/change_on_install as sysdba   
  2. ERROR:   
  3. ORA-01031: insufficient privileges  
  4. Enter user-name:  
[sql]  view plain copy
  1. C:/>sqlplus sys/change_on_install as sysdba  
  2. ERROR:  
  3. ORA-01031: insufficient privileges  
  4. Enter user-name:  

 

测试二:恢复密码文件,设置REMOTE_LOGIN_PASSWORDFILE=none。使用用户名和密码登陆,失败!

Sql代码  复制代码
  1. SQL> alter system set remote_login_passwordfile=none scope=spfile;   
  2. System altered.   
  3.   
  4. C:/>sqlplus sys/change_on_install as sysdba   
  5. ERROR:   
  6. ORA-01017: invalid username/password; logon denied   
  7. Enter user-name:  
[sql]  view plain copy
  1. SQL> alter system set remote_login_passwordfile=none scope=spfile;  
  2. System altered.  
  3.   
  4. C:/>sqlplus sys/change_on_install as sysdba  
  5. ERROR:  
  6. ORA-01017: invalid username/password; logon denied  
  7. Enter user-name:  

 

测试三:恢复密码文件,设置REMOTE_LOGIN_PASSWORDFILE为EXCLUSIVE或者SHARED。使用用户名和密码登陆,成功!

Sql代码  复制代码
  1. SQL> alter system set remote_login_passwordfile=exclusive scope=spfile;   
  2. System altered.   
  3.   
  4. C:/>sqlplus sys/change_on_install as sysdba   
  5. Connected to an idle instance.   
  6. SQL>  
[sql]  view plain copy
  1. SQL> alter system set remote_login_passwordfile=exclusive scope=spfile;  
  2. System altered.  
  3.   
  4. C:/>sqlplus sys/change_on_install as sysdba  
  5. Connected to an idle instance.  
  6. SQL>  

 

3. 密码文件

 

查看具有sysdba或者sysoper权限的用户:

Sql代码  复制代码
  1. SQL> select * from v$pwfile_users;   
  2.   
  3. USERNAME                        SYSDB    SYSOP   
  4. ------------------------------  -------  -------   
  5. SYS                             TRUE     TRUE  
[sql]  view plain copy
  1. SQL> select * from v$pwfile_users;  
  2.   
  3. USERNAME                        SYSDB    SYSOP  
  4. ------------------------------  -------  -------  
  5. SYS                             TRUE     TRUE  

 

每次使用grant sysdba/sysoper授予新用户特殊权限或是alter user命令修改拥有sysdba/sysoper权限的用户密码的时候,Oracle都会自动的同步密码文件,这样保证在数据库没有打开的情况拥有特殊权限的用户能正常的登陆数据库以进行管理操作。

Sql代码  复制代码
  1. SQL> grant sysdba to logicgate;   
  2. Grant succeeded.   
  3.   
  4. SQL> select * from v$pwfile_users;   
  5.   
  6. USERNAME                       SYSDB     SYSOP   
  7. ------------------------------- -------- --------   
  8. SYS                             TRUE     TRUE  
  9. LOGICGATE                       TRUE     FALSE  
[sql]  view plain copy
  1. SQL> grant sysdba to logicgate;  
  2. Grant succeeded.  
  3.   
  4. SQL> select * from v$pwfile_users;  
  5.   
  6. USERNAME                       SYSDB     SYSOP  
  7. ------------------------------- -------- --------  
  8. SYS                             TRUE     TRUE  
  9. LOGICGATE                       TRUE     FALSE  

 

使用orapwd命令可以重建密码文件。

Java代码  复制代码
  1. C:/>orapwd   
  2. Usage: orapwd file=<fname> password=<password> entries=<users> force=<y/n>   
  3.   where   
  4.     file - name of password file (mandatory),   
  5.     password - password for SYS (mandatory),   
  6.     entries - maximum number of distinct DBA (optional),   
  7.     force - whether to overwrite existing file (optional)  
[java]  view plain copy
  1. C:/>orapwd  
  2. Usage: orapwd file=<fname> password=<password> entries=<users> force=<y/n>  
  3.   where  
  4.     file - name of password file (mandatory),  
  5.     password - password for SYS (mandatory),  
  6.     entries - maximum number of distinct DBA (optional),  
  7.     force - whether to overwrite existing file (optional)  

 

其中文件名和密码是必需的。entries设置了密码文件可包含的dba用户的最大数目。force定义了是否覆盖当前文件。重建密码文件会清除系统内除了sys用户以外所有sysdba用户的密码。必须使用grant sysdba同步密码文件。

Java代码  复制代码
  1. C:/>orapwd file=%oracle_home%/database/PWDepcit.ora password=temp entries=20 force=y;   
  2.   
  3. C:/>sqlplus sys/temp as sysdba   
  4. Connected to:   
  5. Oracle Database 10g Enterprise Edition Release 10.2.0.1.0 - Production   
  6. With the OLAP and Data Mining options   
  7.   
  8. SQL> select * from v$pwfile_users;   
  9.   
  10. USERNAME                        SYSDB    SYSOP   
  11. ------------------------------- -------- --------   
  12. SYS                             TRUE     TRUE  
[java]  view plain copy
  1. C:/>orapwd file=%oracle_home%/database/PWDepcit.ora password=temp entries=20 force=y;  
  2.   
  3. C:/>sqlplus sys/temp as sysdba  
  4. Connected to:  
  5. Oracle Database 10g Enterprise Edition Release 10.2.0.1.0 - Production  
  6. With the OLAP and Data Mining options  
  7.   
  8. SQL> select * from v$pwfile_users;  
  9.   
  10. USERNAME                        SYSDB    SYSOP  
  11. ------------------------------- -------- --------  
  12. SYS                             TRUE     TRUE  

你可能感兴趣的:(为什么任何随便输入的账号使用SYSDBA权限都能登陆oracle)