ORACLE使用者自動被鎖解決方案

--１．
　　--系統參數配置　　connect sys/password@db_link as sysdba
　　select * from dba_profiles where resource_name like 'FAILED_LOGIN_ATTEMPTS%';
　　--1 DEFAULT FAILED_LOGIN_ATTEMPTS PASSWORD 10
　　--連續錯誤串連10次使用者被鎖定
　　--2.
　　--查看被鎖的使用者
　　select LOCK_DATE,username from dba_users where username='USERNAME';
　　LOCK_DATE為空白說明沒有鎖定，非空為鎖定。
　　-----
　　SELECT S.USERNAME,
　　DECODE(L.TYPE, 'TM', 'TABLE LOCK', 'TX', 'ROW LOCK', NULL) LOCK_LEVEL,
　　O.OWNER,
　　O.OBJECT_NAME,
　　O.OBJECT_TYPE,
　　S.SID,
　　S.SERIAL#,
　　S.TERMINAL,
　　S.MACHINE,
　　S.PROGRAM,
　　S.OSUSER
　　FROM V$SESSION S, V$LOCK L, DBA_OBJECTS O
　　WHERE S.SID = L.SID
　　AND O.OBJECT_ID = L.ID1
　　AND S.USERNAME IS NOT NULL;
　　--3.
　　--解鎖方法
　　ALTER USER USER_NAME ACCOUNT UNLOCK;
　　--值的注意，在升級過程中，被鎖的使用者，有可能不值一個
　　--重新升級
　　-----設定系統的預設登入次數
　　alter profile DEFAULT limit FAILED_LOGIN_ATTEMPTS 10;
　　alter profile DEFAULT limit FAILED_LOGIN_ATTEMPTS UNLIMITED;
　　------------
　　資料管理員為這個使用者單獨設定了登入次數則要尋找這個使用者對應的profile，然後修改.可以查看使用者的建立語名找到對應的設定。
　　Oracle系統中的profile可以用來對使用者所能使用的資料庫資源進行限制，使用 Create Profile命令建立一個Profile，用它來實現對資料庫資源的限制使用，如果把該profile分配給使用者，則該使用者所能使用的資料庫資源都在該 profile的限制之內。
　　二、條件：
　　建立profile必須要有CREATE PROFILE的系統許可權。
　　為使用者指定資源限制，必須：
　　1．動態地使用alter system或使用初始化參數resource_limit使資源限制生效。該改變對密碼資源無效，密碼資源總是可用。
　　SQL> show parameter resource_limit
　　NAME                                 TYPE        VALUE
　　———————————— ———– ——————————
　　resource_limit                       boolean     FALSE
　　SQL> alter system set resource_limit=true;
　　系統已更改。
　　SQL> show parameter resource_limit;
　　NAME                                 TYPE        VALUE
　　———————————— ———– ——————————
　　resource_limit                      boolean     TRUE
　　SQL>
　　2．使用create profile建立一個定義對資料庫資源進行限制的profile。
　　3．使用create user 或alter user命令把profile分配給使用者。
　　三、文法：
　　CREATE PROFILE profile LIMIT { resource_parameters | password_parameters } [ resource_parameters | password_parameters ]… ;    <resource_parameters>{{ SESSIONS_PER_USER | CPU_PER_SESSION | CPU_PER_CALL | CONNECT_TIME | IDLE_TIME | LOGICAL_READS_PER_SESSION | LOGICAL_READS_PER_CALL | COMPOSITE_LIMIT } { integer | UNLIMITED | DEFAULT }| PRIVATE_SGA { integer [ K | M ] | UNLIMITED | DEFAULT }}< password_parameters >
　　{{ FAILED_LOGIN_ATTEMPTS | PASSWORD_LIFE_TIME | PASSWORD_REUSE_TIME | PASSWORD_REUSE_MAX | PASSWORD_LOCK_TIME | PASSWORD_GRACE_TIME } { expr | UNLIMITED | DEFAULT }| PASSWORD_VERIFY_FUNCTION { function | NULL | DEFAULT }}四、文法解釋：
　　profile：設定檔的名稱。Oracle資料庫以以下方式強迫資源限制：
　　1．如果使用者超過了connect_time或idle_time的會話資源限制，資料庫就復原當前事務，並結束會話。使用者再次執行命令，資料庫則返回一個錯誤，
　　2．如果使用者試圖執行超過其他的會話資源限制的操作，資料庫放棄操作，復原當前事務並立即返回錯誤。使用者之後可以提交或復原當前事務，必須結束會話。
　　提示：可以將一條分成多個段，如1小時(1/24天)來限制時間，可以為使用者指定資源限制，但是資料庫只有在參數生效後才會執行限制。
　　Unlimited：分配該profile的使用者對資源使用無限制，當使用密碼參數時，unlimited意味著沒有對參數加限制。
　　Default：指定為default意味著忽略對profile中的一些資源限制，Default profile初始定義對資源不限制，可以通過alter profile命令來改變。
　　Resource_parameter部分：
　　Session_per_user：指定限制使用者的並發會話的數目。
　　Cpu_per_session：指定會話的CPU時間限制，單位為百分之一秒。
　　Cpu_per_call：指定一次調用（解析、執行和提取）的CPU時間限制，單位為百分之一秒。
　　Connect_time：指定會話的總的連線時間，以分鐘為單位。
　　Idle_time：指定會話允許連續不活動的總的時間，以分鐘為單位，超過該時間，會話將斷開。但是長時間執行查詢和其他動作的不受此限制。
　　Logical_reads_per_session：指定一個會話允許讀的資料區塊的數目，包括從記憶體和磁碟讀的所有資料區塊。
　　Logical_read_per_call：指定一次執行SQL（解析、執行和提取）調用所允許讀的資料區塊的最大數目。
　　Private_sga：指定一個會話可以在共用池（SGA）中所允許分配的最大空間，以位元組為單位。（該限制只在使用共用伺服器結構時才有效，會話在SGA中的私人空間包括私人的SQL和PL/SQL，但不包括共用的SQL和PL/SQL）。
　　Composite_limit：指定一個會話的總的資源消耗，以service units單位表示。Oracle資料庫以有利的方式計算cpu_per_session，connect_time， logical_reads_per_session和private-sga總的service units
　　Password_parameter部分：
　　Failed_login_attempts：指定在帳戶被鎖定之前所允許嘗試登陸的的最大次數。
　　Password_life_time：指定同一密碼所允許使用的天數。如果同時指定了 password_grace_time參數，如果在grace period內沒有改變密碼，則密碼會失效，串連資料庫被拒絕。如果沒有設定password_grace_time參數，預設值unlimited將引 發一個資料庫警告，但是允許使用者繼續串連。
　　Password_reuse_time和password_reuse_max：這兩個參數必須互相關聯設定，password_reuse_time指定了密碼不能重用前的天數，而password_reuse_max則指定了當前密碼被重用之前密碼改變的次數。兩個參數都必須被設定為整數。
　　1．如果為這兩個參數指定了整數，則使用者不能重用密碼直到密碼被改變了password_reuse_max指定的次數以後在password_reuse_time指定的時間內。
　　如：password_reuse_time=30，password_reuse_max=10，使用者可以在30天以後重用該密碼，要求密碼必須被改變超過10次。
　　2．如果指定了其中的一個為整數，而另一個為unlimited，則使用者永遠不能重用一個密碼。
　　3．如果指定了其中的一個為default，Oracle資料庫使用定義在profile中的預設值，預設情況下，所有的參數在profile中都被設定為unlimited，如果沒有改變profile預設值，資料庫對該值總是預設為unlimited。
　　4．如果兩個參數都設定為unlimited，則資料庫忽略他們。
　　Password_lock_time：指定登陸嘗試失敗次數到達後帳戶的縮定時間，以天為單位。
　　Password_grace_time：指定寬限天數，資料庫發出警告到登陸失效前的天數。如果資料庫密碼在這中間沒有被修改，則到期會失效。
　　Password_verify_function：該欄位允許將複雜的PL/SQL密碼驗證指令碼做 為參 數傳遞到create profile語句。Oracle資料庫提供了一個預設的指令碼，但是自己可以建立自己的驗證規則或使用第三方軟體驗證。 對Function名稱，指定的是密碼驗證規則的名稱，指定為Null則意味著不使用密碼驗證功能。如果為密碼參數指定運算式，則該運算式可以是任意格 式，除了資料庫標量子查詢。
　　五、舉例：
　　1．建立一個profile：
　　create profile new_profile limit password_reuse_max 10 password_reuse_time 30;
　　2．設定profile資源限制：
　　create profile app_user limit sessions_per_user unlimited cpu_per_session unlimited cpu_per_call 3000 connect_time 45 logical_reads_per_session default logical_reads_per_call 1000 private_sga 15k composite_limit 5000000;
　　總的resource cost不超過五百萬service units。計算總的resource cost的公式由alter resource cost語句來指定。
　　3．設定密碼限制profile：
　　create profile app_users2 limit failed_login_attempts 5 password_life_time 60 password_reuse_time 60 password_reuse_max 5 password_verify_function verify_function password_lock_time 1/24 password_grace_time 10;
　　4．將設定檔分配給使用者：
　　SQL> alter user dinya profile app_user;
　　使用者已更改。
　　SQL> alter user dinya profile default;
　　使用者已更改。
　　Oracle使用者被鎖原因及辦法
　　在登陸時被告知test使用者被鎖
　　1、用dba角色的使用者登陸，進行解鎖，先設定具體時間格式，以便查看具體時間
　　SQL> alter session set nls_date_format=’yyyy-mm-dd hh24:mi:ss’;
　　Session altered.
　　2、查看具體的被鎖時間
　　SQL> select username,lock_date from dba_users where username=’TEST’;
　　USERNAME LOCK_DATE
　　------------------------------ -------------------
　　TEST 2009-03-10 08:51:03
　　3、解鎖
　　SQL> alter user test account unlock;
　　User altered.
　　4、查看是那個ip造成的test使用者被鎖
　　查看$ORACLE_HOME/network/admin/log/listener.log日誌
　　10-MAR-2009 08:51:03 * (CONNECT_DATA=(SID=lhoms)(SERVER=DEDICATED)(CID=(PROGRAM=oracle)(HOST=omstestdb)(USER=oraoms))) * (ADDRESS=(PROTOCOL=tcp)(HOST=10.69.1.11)(PORT=49434)) * establish * lhoms * 0
　　10-MAR-2009 08:51:03 * (CONNECT_DATA=(SID=lhoms)(SERVER=DEDICATED)(CID=(PROGRAM=oracle)(HOST=omstestdb)(USER=oraoms))) * (ADDRESS=(PROTOCOL=tcp)(HOST=10.69.1.11)(PORT=49435)) * establish * lhoms * 0考試就到考試大
　　這樣可知是上面10.69.1.11的ip嘗試多次失敗登陸造成的被鎖
　　註：
　　一般資料庫預設是10次嘗試失敗後鎖住使用者
　　1、查看FAILED_LOGIN_ATTEMPTS的值
　　select * from dba_profiles
　　2、修改為30次
　　alter profile default limit FAILED_LOGIN_ATTEMPTS 30;
　　3、修改為無限次（為安全起見，不建議使用）
　　alter profile default limit FAILED_LOGIN_ATTEMPTS unlimited;