admin管理员组文章数量:1534884
2024年2月4日发(作者:)
计算机光盘软件与应用 工程科技 Computer CD Software and Applications 2012年第13期 登录账号安全管理 阎焯 (中国人民银行长沙中心支行,长沙410005) 摘要:本文将介绍数据库服务器登录账号的管理。 关犍词:登录账号;角色;安全 中图分类号:TP393 文献标识码:A文章垴号:1007-9599(2o12 13—0030—03 随着金融网络的发展,网络及数据的安全越来越受到重视。 网络发展的初期仅要求金融机构内部联网,随着金融业务的不断 发展,需要实现不同金融机构之间交换数据或者内部网络与外部 网络之间相互访问,这就要求我们必须保障数据的安全。我们知 [,defdb【,deflanguage[, fullname h [,password_expiration】,minimum_passwordlengt_[,maximum_failed_logins珈圳 其中,defdb为缺省数据库。缺省数据库是登录账号登录服务 道,登录账号(1ogin)是一个允许一个用户连接到数据库服务器 器时所在的数据库,如果被创建的登录账号没有指定缺省数据库, 的账号,为了让一个用户访问数据库,该用户必须首先通过数据 库服务器的登录账号认证。因此,为了保障应用系统数据安全, 掌握如何设置、修改及管理数据库服务器登录账号是很有必要的。 本文将介绍(依据SYBASE ASE 12.5)数据库服务器登录账号的 管理。 一则master数据库被指定为该登录账号登录服务器时所在的数据 库。delfanguage是登录账号的缺省语言,如果服务器登录被创建 时没有指定缺省语言,则数据库服务器的缺省语言被用作登录账 号的缺省语言。passwordexpiration是登录账号的口令有效天数, _该参数为0表示口令永不过期。如果登录账户的口令已过了有效 登录账号及角色 期,则该登录账号能登录服务器但不能执行操作。 minimun_、如图1所示,用户为了访问数据库中的数据,就必须通过三 层的安全认证。第一,用户应该具有登录服务器的有效登录账号。 第二,用户必须具有数据库的合法用户身份。第三,用户应该具 有访问对象(如表)的许可。通过这三层认证后,用户才能访问 到数据,本文将介绍服务器登录账号的管理。 password leng ̄指定登录账号的口令最小字符数。 maximunfailed logins指定登录账号登录服务器的最大失败次数, _这一参数用于防止非法用户的口令测试(非法用户可通过计算机 程序提交所有可能的字符组合来测试用户口令)。 例如 sp_addlogin ejarre, bleurouge,pubs2, french, “Claire Jarre”, 30 , 该操作创建一个登录账号ejarre,口令为bleurouge,缺省数 据库为pubs2,缺省语言为french,全名为claire Jarre,口令有效 期为30天。 登录账号存放在syslogins系统表中。 图1用户访问认证 针对一个服务器登录,我们可以给它赋予相应的角色(role), 使它能够处理相应安全级别的事务。系统角色是被赋予一个登录 账号的一套特权的集合,它使登录账号能执行必要的管理和安全 工作。服务器登录的主要角色包括系统管理员(sa role)、系统安 全员(SSO role)、操作员(opcr role) 。系统管理员可以将系统管.例如 1>select from syslogins 2>go suid status accdate totcpu totio spacelimit timelimit name password language pwdate resultlimit dbname audflags fullname Sl'vname logincount procid 理员的角色赋予一个登录账号,系统安全员可以将系统安全员、 操作员的角色赋予一个登录账号。一个登录账号可以拥有多个角 色,也可以没有角色,一个登录账号拥有的角色越多,它就越有 权力。例如,sa登录账号拥有系统管理员、・系统安全员、操作员 等多个角色。以下我们将介绍如何创建一个登录账号及管理登录 账号,如何将角色赋予一个登录账号。 二、创建登录账号 l 0 Nov 15 2006 8:43AM 94 78006 sa 0 0 0master 为了访问数据,系统安全员必须创建登录账号并将相应的角 色赋予该登录账号,即创建服务器登录账号的工作由系统安全员 来执行。创建服务器登录账号操作的语法格式为: sp_addlogin loginname,password 一0x73056117dc275fb7349e8O6Od76966565168817571826146d9 8ecdc2fa92 NULL Nov 15 2006 30一
计算机光盘软件与应用 2012年第13期 Computer CD Software and Applications 工程技术 8:43AM 0 令,登录账号也可以修改自己的登录账号口令。修改登录账号口 NULL NULL 令操作的语法格式为: NULL NULL sp_password caller password, new_password, [, 2 0 Jan 26 2007 l1:37AM 0 0 0 Ioginname】 0 0 sybsystemdb 其中caller_password是登录账号原口令,new._password是登 probe 录账号新口令,loginname是登录账号名。 0xcc05970fe710877dd99lobe21d3dade9af38fd5328t2fie819e8a l68e0b3 例如 NULL Jan 26 2007 11:37AM 0 sp_password bleurouge, blancmange , NULL NULL 该操作将原口令bleurouge改为blancmange。 NULL N1ⅡlL 又如 3 224 Nov 15 2006 1:03PM 6332 sp_password bleurouge, blancmange, ejarre , 32816O 该操作(系统管理员执行)将登录账号ejarre的口令blnerouge 0 0 0 safedb 修改为blancmange。 ejarre 0x5a056b32b4dded30c129O289b3b867785d957Oe7fofo845af7a 删除一个登录账号 删除一个登录账号的操作只能由系统 435d08c36 安全员执行,其语法格式为: NULL Nov 15 2006 sp—droplogin loginname l:03PM 0 其中,loginname为登录账号名。 NULL NULL 例如 NULL NULL sp_droplogin cjarre , 三、修改登录账号 该操作将登录账号cjarre删除。 创建登录账号后,我们还可以根据实际需要来修改登录账号。 在执行删除操作时必须注意,一些特殊的登录账号是不能被 修改登录账号的语法格式为: 删除的,这些账户包括作为数据库用户的登录账号、拥有对象的 sp_modifylogin loginaccount, columnvalue,new value 登录账号、剩下的最后一个系统管理员或者系统安全员、sa登录 —_其中,loginaccount是被修改的登录账号,column—value的 账号。 —取值包括:add default role(登录时激活指定的角色)、匡 圆 加锁一个登录账号。在日常管理中,加锁一个登录账号比删 圆(登录时停止指定的角色)、defdb(缺省数据库)、delfanguage 除一个登录账号更为安全,因为加锁一个登录账号能保留该账号 (缺省语言)、fullname(全名)、passwdexpiration(口令有效期)、 的ID(sid),而删除一个登录账号将释放该登录账号ID(该ID _min password length(最小口令长度)、max failed会被他人使用)。解锁操作是加锁操作的反操作。加锁、解锁登录 _lgoins(最大失 败次数),而new value是修改后的新值。 账户操作的语法格式为: 例如 sp—locklogin[1oginname, {"lock”l''unlock”)】 sp_modifylogin rstein,defdb, safesdb , 其中loginname为登录账号名。 该操作用于将登录账号rstein的缺省数据库修改为safesdb。 当执行splocklogin操作没带任何参数时,执行结果将返回 —当修改登录账号时,修改不同的内容需要以不同的角色身份执行。 所有加锁的登录账号。我们不能加锁一个最后没有加锁的系统管 如系统管理员可以修改缺省数据库、缺省语言、全名等,系统安 理员或者系统安全员。 全员可以修改口令有效期、最小口令长度、最大失败次数等。当 查看一个登录账号资料操作的语法格式为: 修改口令有效期、最小I=I令长度、最大失败次数时,spsp_displaylogin loginname _modifylogin 操作要求这些参数带双引号。 其中loginname为登录账号名。 例如 例如 sp_modifylogin rstein, ‘'passwd expiration”, ‘‘30” , 1>spdisplaylogin sa _2>go 该操作用于将登录账号rstein的口令有效期修改为30天。 Suid:1 四、登录账号的其他操作 Loginame:sa 为了更好地管理登录账号,我们还必须掌握登录账号其他操 Fululame: 作,包括修改登录账号口令、删除登录账号、加锁登录账号、查 Default Database:master 看登录账号等方法。 Default Language: AutoLogin Script: 修改登录账号口令系统安全员可以修改一个登录账号的口 Confiugred Authorization: 一31—
计算机光盘软件与应用 工程科技 sa role(default ON) sso_Computer CD Software and Appl icat ions 2012年第13期 rolc(default ON) 0 sarole —oper_role(default ON) sybasetsrole(default oN) ___NULL NULL NULL NULL NULL NULL NULL NULL 1 ssorole —Locked:NO Date ofLast Password Change:Nov 15 2006 8:43AM Password expiration interval:0 Password expired:NO Minimum password length:6 Maximum failed logins:0 Current failed login attempts: Authenticatewith:ANY 2 operrole _NULL NULL NULL NULL NULL NULL NULL NULL 3 sybase ts role 4 navigatorrole __NULL NULL NULL NULL NULL NULL 5 replicationrole NULL 7 dimtmrole ——NULL NULL NULL NULL NULL 8 harole —NULL NULL NULL NULL NULL NULL NULL NULL 10 monrole —11js_admin_role _NULL NULL NULL NULL NULL NULL NULL NULL NULL (return status=01 五、登录账号的角色赋予及去除 12 messagingrole NULL NULL NULL 13 js_client_role NULL 14 js_user_role NULL NULL NULL 创建了登录账号后,我们就可以根据需要赋予登录账号某种 角色或者去除登录用户的某种角色。系统管理员可以赋予或者去 除登录账号的系统管理员角色,系统安全员可以赋予或者去除登 六、代理授权与代理权利 代理权利让一个登录账号能以另一个登录账号的身份登录服 务器。因为具有代理权利的登录账号能代理其他登录账号在服务 器范围内执行操作,所以授予登录账号代理权利要十分谨慎。系 统安全员可以将代理权利授予一个登录账号,授予一个登录账号 代理权利的语法格式为: rantg set session authorization to loginnmae —录账号的系统安全员、操作员的角色。赋予登录账号某种角色的 操作语法格式为: grant role role granted[,role_granted…】t0 {PUBLIC I name—list __le_name} 其中,rolegrantd为被赋予的角色,naemelist为一个或者多 个登录账号名,role name为某个角色(即一个角色可以赋予另一 个角色)。 例如 ragnt role sso__其中,loginname为获得代理权利的登录账号名,系统安全员 从master系统数据库中执行的这一代理授权操作。 例如 rantg ste session suthorization to cjarre roletonyja, 该操作将系统安全员的角色赋予登录账户nyja。 , 该操作将代理权利授予登录账号 ̄arre。即ejarre获得代理权 利。具有代理权利的登录账号可以代理其他登录账号登录服务器, 该具有代理权登录账号设置代理的操作语法格式为: Set session authorization‘‘loginname’’ 去除登录账号某种角色的操作语法格式为: { revoke role rolegranted_.【, role granted…】from {PUBLIC Iname—list _le_name) —其中,loginname为被模仿的登录账号。 例如 set session authorization ‘'rstein” 其中,rolegrantd为被赋予的角色,naemelist为一个或者多 个登录账户名,role name为某个角色。 例如 revoke role sso—该操作将登录账号自身设置为retein的身份。 role from nyja, 查看关于授权代理的信息操作语法格式如下: sp_who[1oginname】 该操作将系统安全员的角色从登录账户nyja中去除。 在角色管理方面,除了系统管理员、系统安全员、操作员等 角色,系统中还有其他系统角色,另外还有用户定义的角色。一 其中, ̄gmname为登录账号名。 例如 1>spwho rstein _个登录账号可以拥有一个或者多个角色,角色可以被激活或者停 止,其操作的语法格式为: set role rolename—2>gO {on Ioff} login name orignname 其中role name为角色名。 被停止的角色可以用set role操作激活或者登录账号再次 登录服务器时被激活。角色放置在syssrvroles系统表中,例如 1>sdect from syssrvroles 2>go rstein } cja盯e 以上内容介绍了数据库服务器登录账号及角色、创建登录账 号、修改登录账号、登录账号的操作、登录账号角色的赋予及去 除、代理授权及代理权利等。通过对这些方面的认识,我们可管 srid name password pwdate sta ̄S logincount 理好服务器的登录账号,提高应用系统的安全性。在实际应用中, 我们往往不注意这方面的管理,从而忽视了存在的安全隐患。 ——32——
版权声明:本文标题:登录账号安全管理 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://m.elefans.com/dianzi/1706989519a185307.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论