【漏洞-Oracle】未设置口令复杂度校验、密码有效期

1.场景描述

三方漏洞扫描： 

2.详细描述

       安全问题：Oracle未设置系统的口令复杂度校验、密码有效期。

       危害分析结果：存在使用口令被恶意用户猜测获得，合法用户身份被仿冒，导致系统被非授权访问的可能性。

       整改建议：建议根据需要对系统用户口令设置复杂度限制，口令的复杂度(8位以上、至少字母、数字、符号等混合组成)并更换周期进行合理设置(90天以内)，不允许新设定的口令与前次旧口令相同。

       涉及对象: Oracle。 

3.方案分析

查询后得知：可通过配置密码复杂度策略解决。
       Oracle数据库通过Profile来管理密码策略。默认情况下，数据库中有一个默认Profile：DEFAULT。我们可以修改这个默认的Profile，或者创建一个新的Profile并将其应用到需要的用户中。

        在profile中可配置，通过LIMIT子句可设置多个密码策略，如密码有效期、密码错误n次后锁定用户、密码错误后锁定的天数、密码是否可和之前一样、密码可一样几次、密码到期后可使用的天数、密码复杂度等。其中，密码复杂度验证可以用默认函数，可以根据需要自定义一个密码验证函数。

            为了不影响原有用户，本文创建一个新Profile 进行测试。 步骤：

           1）创建一个新profile：taiy_secure_profile，指定各种策略。

                 创建一个新密码验证函数：taiy_verify_function（8位以上，含字母、数字、符号等）。

           2）将这个配置文件分配给特定的数据库用户，使得该用户的密码将受到这些策略的约束。

4.问题处理

4.1查询

[oracle@neptune ~]$ sqlplus / as sysdbaSQL*Plus: Release 19.0.0.0.0 - Production on Thu Dec 19 22:13:13 2024
Version 19.3.0.0.0Copyright (c) 1982, 2019, Oracle.  All rights reserved.Connected to:
Oracle Database 19c Enterprise Edition Release 19.0.0.0.0 - Production
Version 19.3.0.0.0SYS@orcl> alter session set container=orclpdb1;Session altered.

1）查看oracle 用户密码管理策略

select DISTINCT PROFILE from dba_users ;

SYS@orcl> select DISTINCT PROFILE from dba_users t ;PROFILE
---------
DEFAULTSYS@orcl>

 结果截图： 策略都为DEFAULT 

2)查看默认密码策略里的配置

命令：
SELECT * FROM dba_profiles WHERE resource_type='PASSWORD' ;

结果截图：

3) 查看密码复杂度校验

SELECT PROFILE,LIMIT FROM dba_profiles T WHERE resource_type='PASSWORD' AND T.resource_name='PASSWORD_VERIFY_FUNCTION'
order by 1,2

结果截图： 

 

     说明：Limit 列的值为null 表示未启用密码验证函发功能;

               如果返回值为函数名称，如：VERIFY_FUNCTION 则表示启用验证函数功能。

4.2 创建新 密码验证函数：taiy_verify_function

     密码复杂度要求：如8位以上，必须包含字母、数字、符号。

CREATE OR REPLACE FUNCTION taiy_verify_function (username IN VARCHAR2,password IN VARCHAR2,old_password IN VARCHAR2
) RETURN BOOLEAN ISl_min_length CONSTANT NUMBER := 8;l_has_upper BOOLEAN := FALSE;l_has_lower BOOLEAN := FALSE;l_has_zm   BOOLEAN := FALSE;l_has_digit BOOLEAN := FALSE;l_has_special BOOLEAN := FALSE;l_char CHAR(1);
BEGIN-- 检查密码长度IF LENGTH(password) <= l_min_length THENRAISE_APPLICATION_ERROR(-20001, 'Password is too short');END IF;-- 遍历密码字符，检查是否包含大写字母、小写字母、数字和特殊字符/* FOR i IN 1 .. LENGTH(password) LOOPl_char := SUBSTR(password, i, 1);IF REGEXP_LIKE(l_char, '[A-Z]') THENl_has_upper := TRUE;ELSIF REGEXP_LIKE(l_char, '[a-z]') THENl_has_lower := TRUE;ELSIF REGEXP_LIKE(l_char, '[0-9]') THENl_has_digit := TRUE;ELSIF REGEXP_LIKE(l_char, '[^a-zA-Z0-9]') THENl_has_special := TRUE;END IF;END LOOP;*/IF REGEXP_LIKE(password, '[A-Z]') THENl_has_upper := TRUE;END IF;IF REGEXP_LIKE(password, '[a-z]') THENl_has_lower := TRUE;END IF;IF l_has_upper OR l_has_lower THENl_has_zm := TRUE;END IF;IF REGEXP_LIKE(password, '[0-9]') THENl_has_digit := TRUE;END IF;IF REGEXP_LIKE(password, '[^a-zA-Z0-9]') THENl_has_special := TRUE;END IF;-- 检查是否满足所有复杂度要求IF NOT l_has_zm OR NOT l_has_digit OR NOT l_has_special THENRAISE_APPLICATION_ERROR(-20002, 'Password does not meet complexity requirements');END IF;-- 其他检查（例如，密码不能与用户名、服务器名等相同）-- ...RETURN TRUE;
EXCEPTIONWHEN OTHERS THENRETURN FALSE;
END;
/GRANT EXECUTE ON taiy_verify_function TO PUBLIC container=current;create or replace function my_password_test( username varchar2,password varchar2,old_password varchar2)return boolean ISdiffer integer;
beginif not ora_complexity_check(password, chars => 8, upper => 1, lower => 1,digit => 1, special => 1) then return(false);end if;-- Check if the password differs from the previous password by at least-- 6 charactersif old_password is not null then differ := ora_string_distance(old_password, password);if differ < 3 thenraise_application_error(-20033, 'The new password should differ '|| 'from the previous password by '|| 'at least 4 characters.');end if;end if;return(true);
end;
/GRANT EXECUTE ON my_password_test TO PUBLIC container=current;

     查找资料：ORACLE的默认密码复杂度函数位置：$ORACLE_HOME/rdbms/admin下utlpwdmg.sql脚本中，有兴趣的可以看下。因此可将此函数写入该sql中，或者在任何位置执行sql创建函数即可。本文在该位置创建sql文件：taiy_verify_function.sql，赋予权限，执行。

     @?/rdbms/admin/feng_verify_function.sql

/home/u01/app/oracle/product/19.3.0/dbhome_1/rdbms/admin/
-- 执行utlpwdmg.sql脚本  
--"?"是一个占位符，代表Oracle的环境变量，代表Oracle的home目录。
--@ 是调用脚本标识，@后面直接写脚本的完整路径及...

执行结果：

 

4.3 创建新 profile： taiy_secure_profile，指定各种策略

含义：
FAILED_LOGIN_ATTEMPTS 10  --密码错误尝试次数，超过后被锁定
PASSWORD_LIFE_TIME 90        --密码有效期90天
PASSWORD_REUSE_TIME UNLIMITED     --指定了口令不能重用前的天数：30天内不能重复使用旧密码
PASSWORD_REUSE_MAX  UNLIMITED     --重复使用旧密码的最大次数：如3
PASSWORD_LOCK_TIME 1      --登录尝试失败达到指定次数，用户锁定天数
PASSWORD_GRACE_TIME 7     /*--表示密码到期后可以延续使用的天数，
                          并且可延续时间内登录会有相应口令即将过期的提示。*/
PASSWORD_VERIFY_FUNCTION taiy_verify_function;          

执行： 

CREATE  PROFILE taiy_secure_profile LIMIT
FAILED_LOGIN_ATTEMPTS 10
PASSWORD_LIFE_TIME 90
PASSWORD_REUSE_TIME UNLIMITED
PASSWORD_REUSE_MAX  UNLIMITED
PASSWORD_LOCK_TIME  1
PASSWORD_GRACE_TIME 7
PASSWORD_VERIFY_FUNCTION taiy_verify_function;

4.4 将配置文件分配给特定用户，使其密码将受策略约束

执行：-- 将该配置文件分配给用户

ALTER USER NH_AML PROFILE taiy_secure_profile;

执行后，查看结果：

 

4.5 验证结果

[oracle@neptune admin]$ pwd
/home/u01/app/oracle/product/19.3.0/dbhome_1/rdbms/admin

 提示：

试了10次密码 失败后，再次登录正确密码，提示锁定

5.知识总结

CREATE PROFILE     taiy_secure_profile    LIMIT
FAILED_LOGIN_ATTEMPTS 10  --密码错误尝试次数，超过后被锁定
PASSWORD_LIFE_TIME 90        --密码有效期90天
PASSWORD_REUSE_TIME UNLIMITED     --指定了口令不能重用前的天数：

                                                                          如：30天内不能重复使用旧密码
PASSWORD_REUSE_MAX  UNLIMITED     --重复使用旧密码的最大次数：如3
PASSWORD_LOCK_TIME 1                         --登录尝试失败达到指定次数，用户锁定天数
PASSWORD_GRACE_TIME 7                    /*--表示密码到期后可以延续使用的天数，
                                                         并且可延续时间内登录会有相应口令即将过期的提示。*/
PASSWORD_VERIFY_FUNCTION taiy_verify_function;