Oracle11g デフォルトの高度セキュリティ設定を維持

Oracle11g よりデータベースのセキュリティが強化された。
DBCA で作成時に、11g のデフォルトの高度セキュリティ設定を維持 という
チェックボックスのある画面で、有効にすると適用される。


デフォルトのセキュリティポリシー

設定されるポリシーを把握せず、うっかりチェックを入れたまま運用を開始すると、
ユーザがロックされるなど由々しき事態となるので注意が必要だ。

では、どの辺りのセキュリティが強化されたか?
現状把握している初期化パラメータは、以下の通り。

AUDIT_TRAIL

DB の監査方法を指定するパラメータ。従来の NONE → DB となっている。
監査証跡は sys.aud$ テーブルに出力される。

PASSWORD_LIFE_TIME

パスワードの有効日数を指定するパラメータ。
従来は UNLIMITED だったのが、180日になっている。
デフォルトでは半年に1度は、パスワードを変更しなければならない。

PASSWORD_GRACE_TIME

パスワードの有効期限が過ぎるとログイン不可となるが、期限切れ後でも
パスワードを変更できる日数を指定するいわゆる救済パラメータ。
従来は UNLIMITED だったのが、わずか7日になっている。

PASSWORD_LOCK_TIME

ログイン失敗回数の上限( FAILED_LOGIN_ATTEMPTS の設定値)を
超えた場合、アカウントをロックする期間を指定するパラメータ。
従来は UNLIMITED だったのが、1日になっている。

 

これらのセキュリティポリシーに引っかかりロックされた場合、
そのユーザでは、リカバリが出来なくなる。(SYS などの管理ユーザで対応が必要)

「11g のデフォルトの高度セキュリティ設定を維持」を有効とするかは、
システムのセキュリティポリシー次第と言えるが、個人的には設定するとしても
本番環境のみで十分かと。開発環境に設定したら、ひんしゅくを買いそうな気がする。


関連記事

人気ブログランキングへ

このページの先頭へ