资源限制

DM支持在创建和修改用户时指定对用户进行资源限制,具体语法参考本文2.2节的介绍。

资源限制用于限制用户对DM数据库系统资源的使用,表9.1列出了资源限制所包含的内容。

表9.1 DM资源限制项
资源限制项 说明 最大值 最小值 缺省值
SESSION_PER_USER 在一个实例中,一个用户可以同时拥有的会话数量 32768 1 安全版本中默认值为4096;其他版本中默认值为系统所能提供的最大值
CONNECT_TIME 一个会话连接、访问和操作数据库服务器的时间上限(单位:1分钟。若配置了ini参数RESOURCE_FLAG=1,则单位为1秒钟) 1440分或86400秒(1天) 1 无限制
CONNECT_IDLE_TIME 会话最大空闲时间(单位:1分钟。若配置了ini参数RESOURCE_FLAG=1,则单位为1秒钟) 1440分或86400秒(1天) 1 无限制
FAILED_LOGIN_ATTEMPS 将引起一个账户被锁定的连续注册失败的次数 100 1 3
CPU_PER_SESSION 一个会话允许使用的CPU时间上限(单位:秒) 31536000(365天) 1 无限制
CPU_PER_CALL 用户的一个请求能够使用的CPU时间上限(单位:秒) 86400(1天) 1 无限制
READ_PER_SESSION 会话能够读取的总数据页数上限 2147483646 1 无限制
READ_PER_CALL 每个请求能够读取的数据页数 2147483646 1 无限制
MEM_SPACE 会话占有的私有内存空间上限(单位:MB) 2147483647 1 无限制
PASSWORD_LIFE_TIME 一个口令在其终止前可以使用的天数 365 1 无限制
PASSWORD_REUSE_TIME 一个口令在可以重新使用前必须经过的天数 365 1 无限制
PASSWORD_REUSE_MAX 一个口令在可以重新使用前必须改变的次数 32768 1 无限制
PASSWORD_LOCK_TIME 如果超过 FAILED_LOGIN_ATTEMPS设置值,一个账户将被锁定的分钟数 1440(1天) 1 1
PASSWORD_GRACE_TIME 以天为单位的口令过期宽限时间,过期口令超过该期限后,禁止执行除修改口令以外的其他操作 30 1 10
注意

若用户为系统预设用户(包括SYSDBA、SYSAUDITOR、SYSSSO),则关于口令的6项资源限制项自动失效。

DM安全版本还提供了用户IP地址限制和用户时间段限制。

IP地址限制规则如下表所示。

表9.2 IP地址限制规则
IP地址限制项 集合状态
IP地址集合 不允许的IP地址 N N
允许的IP地址 Y Y
IP限制结果 只允许属于集合Y的IP地址 只允许属于集合N以外的所有IP地址 允许所有IP,即无任何IP地址限制 只允许属于Y-N (差集)集合的IP地址

允许IP和禁止IP用于控制此登录是否可以从某个IP访问数据库,其中禁止IP优先。在设置IP时,设置的允许和禁止IP需要用双引号括起来,中间用逗号隔开,如"192.168.0.29","192.168.0.30",也可以利用*来设置网段,如"192.168.0.*"。

用户时间段限制规则如下表所示。

表9.3用户时间段限制规则
时间段限制项 集合状态
时间段集合 不允许的时间段 N N
允许的时间段 Y Y
时间段限制结果 只允许属于集合Y的时间段 只允许属于集合N以外的所有时间段 允许所有时间段,即无任何时间段限制 只允许属于Y-N (差集)集合的时间段

允许时间段和禁止时间段用于控制此登录是否可以在某个时间段访问数据库,其中禁止时间段优先。设置的时间段中的日期和时间要分别用双引号括起来。在设置时间段时,有两种方式:

  • 具体时间段,如2016年1月1日 8:30至2016年2月1日17:00;
  • 规则时间段,如每周一 8:30至每周五 17:00。

例1,创建对失败登录次数进行控制的用户,如果用户失败的登录次数达到3次,这个用户账号将被锁定。

CREATE USER USER1 IDENTIFIED BY USER1PASSWORD

LIMIT FAILED_LOGIN_ATTEMPS 3, PASSWORD_LOCK_TIME 5;

例2,创建对修改口令进行限制的用户,要求用户在30天内必须把口令修改过5次后,才能使用过去用过的口令。

CREATE USER USER2 IDENTIFIED BY USER2PASSWORD

LIMIT PASSWORD_REUSE_TIME 30, PASSWORD_REUSE_MAX 5;

例3,创建对允许IP和允许时间段进行限制的用户,要求用户在192.168.0.*网段进行登录,且访问时间必须为工作时段。

CREATE USER USER3 IDENTIFIED BY USER3PASSWORD

ALLOW_IP "192.168.0.*" ALLOW_DATETIME MON "8:30:00" TO FRI "17:30:00";

例4,创建对允许IP和允许时间段进行限制的用户,要求用户在192.168.0.29或192.168.0.30 IP进行登录,且访问时间段为2016年1月1日 8:30至2016年12月31日17:30。

CREATE USER USER4 IDENTIFIED BY USER4PASSWORD ALLOW_IP "192.168.0.29", "192.168.0.30" ALLOW_DATETIME "2016-1-1" "8:30:30" to

"2016-12-12" "17:30:00";
微信扫码
分享文档
扫一扫
联系客服