为了尽可能保证数据库的安全,我想锁定 SYS 和 SYSTEM 帐户,这样任何人都无法使用它们登录。
假如说:
- 没有以 SYS 或 SYSTEM 身份登录的操作系统脚本/cron 作业
- 没有任何应用程序或外部实用程序使用这些帐户中的任何一个
- 我总是可以使用正确的操作系统帐户登录“/ as sysdba”
锁定这两个账户会不会有什么不良影响?有没有人这样做过,谁可以评论这是否是一个好主意?
AskOverflow.Dev
锁定它们(
SYS和SYSTEM)。你不应该每天都使用它们,什么都不会破坏。在日常工作中,您应该使用具有
SYSDBA或的命名用户帐户SYSOPER。Tom Kyte 建议这样做,因此如果出现问题,您总是可以责怪他 :-)
SYSTEM可以毫无困难地锁定。SYS虽然是不同的。你不能锁定它,即使你能,你也不能。SYS您可以通过设置remote_login_passwordfile来禁用远程登录none,因此只允许本地登录。例如,这将阻止使用 Data Guard。您也可以
'/ as sysdba'通过设置SQLNET.AUTHENTICATION_SERVICES=(none)来防止sqlnet.ora。最后,您可以通过将上述内容与从
$ORACLE_HOME/dbs. 这样,您将无法登录SYSDBA或根本无法登录SYSOPER。但即便如此,SYS用户也不会被真正锁定,只是您无法通过身份验证。如果您重新创建密码文件,您将能够再次进入。