DBCAセキュリティ強化
Oracle11g よりデータベースのセキュリティが強化された。
DBCA で作成時に、11g のデフォルトの高度セキュリティ設定を維持 という
チェックボックスのある画面で、有効にすると適用される。
デフォルトのセキュリティポリシー
設定されるポリシーを把握せず、うっかりチェックを入れたまま運用を開始すると、
ユーザがロックされるなど由々しき事態となるので注意が必要だ。
では、どの辺りのセキュリティが強化されたか?
現状把握している初期化パラメータは、以下の通り。
AUDIT_TRAIL
DB の監査方法を指定するパラメータ。従来の NONE → DB となっている。
監査証跡は sys.aud$ テーブルに出力される。
PASSWORD_LIFE_TIME
パスワードの有効日数を指定するパラメータ。
従来は UNLIMITED だったのが、180日になっている。
デフォルトでは半年に1度は、パスワードを変更しなければならない。
PASSWORD_GRACE_TIME
パスワードの有効期限が過ぎるとログイン不可となるが、期限切れ後でも
パスワードを変更できる日数を指定するいわゆる救済パラメータ。
従来は UNLIMITED だったのが、わずか7日になっている。
PASSWORD_LOCK_TIME
ログイン失敗回数の上限( FAILED_LOGIN_ATTEMPTS の設定値)を
超えた場合、アカウントをロックする期間を指定するパラメータ。
従来は UNLIMITED だったのが、1日になっている。
これらのセキュリティポリシーに引っかかりロックされた場合、
そのユーザでは、リカバリが出来なくなる。(SYS などの管理ユーザで対応が必要)
「11g のデフォルトの高度セキュリティ設定を維持」を有効とするかは、
システムのセキュリティポリシー次第と言えるが、個人的には設定するとしても
本番環境のみで十分かと。開発環境に設定したら、ひんしゅくを買いそうな気がする。
![データをマスクするリダクション[12c新機能]](https://www.sql-dbtips.com/wp-content/themes/keni8-child/images/no-image.jpg)
“Oracle11g デフォルトの高度セキュリティ設定を維持” への1件のフィードバック