admin 20 - profiles

102-1 사용자 계정 관리
 
오라클 사용자 들에게
~ 하지마라 : profile
~ 해도좋다 : privilege
 
 
크게 두가지
- password 관련 : profile 만들기
- resource자원(cpu,메모리) 관련 : profile 만들기
 
(=법) 만들어 놓으면 무조건 적용
      디폴트 프로파일 무조건 1개는 있다. 별도로 추가 생성 가능
 
※ 해야 하는것 : profile 만드는법
 
 
 
102-2 password 관리
계정잠그기 / 패스워드이력(과거사용내용) / 패스워드조회 / 패스워드만기관리
 
 
 
 
102-3 항목
프로파일을 만들었는데 적용이 안된다?
DB 수동으로 만들었을 경우 별도로 스크립트 실행 해 주어야 한다.
 → 스크립트 utlpwdmg.sql가 실행이 안되어서..
 → 스크립트 별도로 실행 시키고 profile 한다.
 
스크립트 어디있는지 모를때? - 리눅스 명령어 : find로 찾기
 
 
※참고 (sys계정으로)
@?/ : @실행해라, ?오라클홈(.bash에 ORACLE_HOME에 지정해준 경로)
 
 
 
 
 
102-4 profile 안에 들어가는 항목들.
 
FAILED_LOGIN_ATTEMPTS : 암호 실패횟수 지정 (=3 3번 잘못 입력하면 잠근다)
PASSWORD_LOCK_TIME : 잠궈놓는 시간 (=10 10일동안 잠궈놓는다. 기본값:영원히DBA가 풀어주기 전까지)
 
 
 
 
 
 
103-1
 
PASSWORD_LIFE_TIME : 패스워드 변경없이 사용할수 있는 기간 (Ex. =30 : 30일동안 암호 안 바꾸고 사용가능. 30일 후 로그인을 하면 강제로 암호 바꾸라고 뜬다.)
PASSWORD_GRACE_TIME : 유예기간 (Ex. =5 하면 30+5=35일간 사용)
 
 
 
 
103-2
PASSWORD_REUSE_TIME : 특정 기간안에는 동일한 암호를 사용할 수 없다. (Ex. =5 5일 안에는 똑같은 암호를 못 쓴다)
PASSWORD_REUSE_MAX : reuse time 에 상관없이 동일한 암호를 사용할수 있는 최대 횟수
 
 
ex) 현재암호(abc) : 라이프타임3일로 지정해놓으면.. 123일 (abc) ~ 4일(abc-못씀)
                                                                 456일(abc123) ~ 7일(abc-5일지났으므로 쓸수 있다)
                    → 평생 암호 두개로 번갈아가면서 쓸수 있다. 보안에 취약 : REUSE_MAX
 
※ MAX계산하기 귀찮으면 REUSE_TIME에 99999999쓰면 99999999기간동안 같은암호 사용 못함
 
 
 
103-3
PASSWORD_VERIFY_FUNCTION : 사용자 암호를 복잡하게 만들어주는 함수
 
 
103-4
수동으로 만들수 있음(사용할일없음)
자동으로 만들어진것 사용
 
 
104-1 VERIFY_FUNCTION (기본값)이 해준다.
최소 4글자 (10g → 6글자)
유저이름과 같으면 안된다
하나의 숫자나 특수문자
적어도 이전암호와 3글자 이상 다르게
 
→ 이조건을 만족하면 통과, 못하면 에러
 
※생각 : 암호가 복잡하면 안전하지만 불편 할 수 있다. 암호가 너무 복잡하면 오랫만에 오는 고객 놓칠수 있다.
 
 
 
 
104-2
profile 만드는 명령어
 
SQL> create profile sample_prof limit
  2  failed_login_attempts 3
  3  password_lock_time unlimited
  4  password_life_time 15
  5  password_reuse_time 15
  6  password_grace_time 5;
 
→ 로그인시도 3회 실패시 로그인 할수 있다.(2line)
   20일에 한번씩 암호를 변경해야 한다.(4line + 6line)
   15일 안에는 동일안 암호를 사용할 수 없다.(5line)
 
 
 
 
※ 할 줄 알아야 하는 것
어떤 사용자가 어떤 프로파일을 쓰고 있는가?
프로파일에는 어떠한 항목이 있는가?
 
 
 
 
 
104-3
프로파일 바꾸는 명령어
SQL> alter profile 프로파일이름 limit
  2  옵션들;
 
 
 
 
104-4
프로파일 지우기
SQL> drop profile 프로파일이름;
사용자가 해당 프로파일을 쓰고 있으면 안지워짐 → 옵션 : CASCADE 강제로 지움
 
 
 
 
 
 
 
105-1
리소스 관련 프로파일
(잘못 설정하면 큰 사고, 거의 사용안함)
 
 
105-2
사용하려면,
파라미터 파일 : RESOURCE_LIMIT = true
바로 적용 : alter system set resource_limit=true;
 
※ 리소스프로파일과 패스워드프로파일은 별개
 
 
 

105-3 resource Limits 후폭풍 커서 거의 안씀
CPU_PER_SESSION : 1/100초 - CPU사용 허용시간. 한 세션이 CPU를 사용할수 있는 시간을 막는다.(PMON)
             Ex) 500=5초, 월말재고집계쿼리(20초)=쿼리가 안돌아간다. 정상적인 쿼리도 죽일 수 있다.
SESSIONS_PER_USER : 하나의 사용자 계정에 동시 접속 허용 수
CONNECT_TIME : DB에 접속 허용 시간(하루에 접속할수 있는 시간)
IDLE_TIME : 접속후 아무작업 없으면 일정시간후 접속종료(PMON) - Ex)인터넷뱅킹
            Ex) 10분 - 100만건 업뎃 걸어두고 20분휴식..10분후 접속종료 (잘안씀)
 
 
 
 
 
106-1 만드는법
SQL> create profile 이름 limit
 
프로파일은 여러개를 만들어 두고 A,B에게 할당할때,
프로파일은 하나밖에 지정할 수 없다. 마지막에 준것만 사용된다.
→ 만들때 패스워드프로파일, 리소스프로파일 섞어서 만든다.