开启审计日志

1.查询当前审计日志开启状态

show parameter audit;

 show parameter audit;
 
NAME                     TYPE    VALUE
------------------------------------ ----------- ------------------------------
audit_file_dest              string  /app/oracle/******/adum
                         p
audit_sys_operations             boolean     TRUE
audit_syslog_level           string
audit_trail              string  DB

• audit_sys_operations 应为True
• audit_trail 的value值为NONE表示不开启；
• audit_trail 的value值为FALSE表示不开启；
• audit_trail 的value值为DB表示开启；
• audit_trail 的value值为TURE表示开启；

2.开启审计日志

alter system set audit_sys_operations=TRUE scope=spfile;

需重启

3.关闭审计功能

conn /as sysdba
show parameter audit
alter system set audit_trail = none scope=spfile;

密码策略

1.创建profile

create profile DEFAULTE limit
sessions_per_user unlimited
cpu_per_session unlimited
cpu_per_call unlimited
connect_time unlimited
;

这里分两类：

(1) 对数据库资源做限制

• sessions_per_user　　每个用户名所允许的并行会话数
• cpu_per_session　　 一个会话一共可以使用的cpu时间，单位是百分之一秒
• ccpu_per_call 　　　　一次sql调用(解析、执行和获取)允许使用的cpu时间
• connect_time 　　　　限制会话连接时间，单位是分钟
• idle_time 　　　　　 允许空闲会话的时间，单位是分钟
• logical_reads_per_session　　限制会话对数据块的读取，单位是块
• logical_reads_per_call　　　　限制sql调用对数据块的读取，单位是块
• composite_limit　　　　　　 指定一个会话的总的资源消耗，以service units单位表示
• private_sga 　　　　　　　　　限制会话在sga中shared pool中私有空间的分配

(2) 对密码做限制

• failed_login_attempts　　　　帐户被锁定之前可以错误尝试的次数
• password_life_time　　　　　 密码可以被使用的天数，单位是天，默认值180天
• password_reuse_time 　　　 密码可重用的间隔时间(结合password_reuse_max)
• password_reuse_max　　　　 密码的最大改变次数(结合password_reuse_time)
• password_lock_time　　　　 超过错误尝试次数后，用户被锁定的天数，默认1天
• password_grace_time　　　　 当密码过期之后还有多少天可以使用原密码
• password_verify_function　　 该字段允许将复杂的PL/SQL密码验证脚本做为参数传递到create

2.修改新profile

SELECT resource_type,resource_name,limit FROM dba_profiles WHERE resource_type='PASSWORD' AND profile='DEFAULTE';

alter profile DEFAULTE limit
FAILED_LOGIN_ATTEMPTS 5
PASSWORD_LIFE_TIME UNLIMITED
PASSWORD_REUSE_TIME UNLIMITED
PASSWORD_REUSE_MAX UNLIMITED
PASSWORD_VERIFY_FUNCTION VERIFY_FUNCTION_11G
PASSWORD_LOCK_TIME 1
PASSWORD_GRACE_TIME 7;

3. 修改用户对应的profile

select username,profile from dba_users ;

alter user SYSTEM  profile DEFAULTE;
alter user SYS  profile DEFAULTE;
alter user ...  profile DEFAULTE;

4.修改旧profile

alter profile DEFAULT limit
FAILED_LOGIN_ATTEMPTS 5
PASSWORD_LIFE_TIME 90
PASSWORD_REUSE_TIME 5
PASSWORD_REUSE_MAX 3
PASSWORD_VERIFY_FUNCTION VERIFY_FUNCTION_11G
PASSWORD_LOCK_TIME 1
PASSWORD_GRACE_TIME 7;

5.删除profile

如果需要回滚，所有用户用default的话

alter user SYSTEM  profile DEFAULT;
alter user SYS  profile DEFAULT;
alter user ...  profile DEFAULT;


drop profile DEFAULTE cascade;