OraclePROFILE的管理

PROFILE的管理（资源文件） 当需要设置资源限制时，必须设置数据库系统启动参数RESOURCE_LIMIT，此参数默认为FALSE 可以使用如下命令来启动当前资源限制： alter system set RESOURCE_LIMIT=true; 当需要以后启动时也启动限制，必须在initSID.ora中设置 RESO

PROFILE的管理（资源文件）
当需要设置资源限制时，必须设置数据库系统启动参数RESOURCE_LIMIT，此参数默认&＃20540;为FALSE
可以使用如下命令来启动当前资源限制：
alter system set RESOURCE_LIMIT=true;
当需要以后启动时也启动限制，必须在init.ora中设置
RESOURCE_LIMIT=true

如何限制oracle中用户的资源的使用（包括连接时间和空闲时间等）

可以创建不同的资源限制，最好将ALTER SYSTEM SET RESOURCE_LIMIT=TRUE
写在init文件中：RESOURCE_LIMIT=TRUE ，不然下次启动可能……

create profile low_limits limit
idle_time 10 ----分钟
connect_time unlimited; ----分钟

然后把某种配置文件赋给某个用户：
alter user youruser profile low_limits;

然后可以查看：
select profile from dba_users where username='YOURUSER';
select * from dba_profiles where profile='low_limits';

其它资源比如：
session_per_user 限制一个用户名可进行的连接
cpu_per_session 一次会话用户可使用的server的cpu时间（白分秒）
cpu_per_call 用户进程对数据库一次调用用时（百分秒）
private_sga 限制一个用户可占用内存

一、目的：
Oracle系统中的profile可以用来对用户所能使用的数据库资源进行限制，使用Create Profile命令创建一个Profile，用它来实现对数据库资源的限制使用，如果把该profile分配给用户，则该用户所能使用的数据库资源都在该profile的限制之内。
二、条件：
创建profile必须要有CREATE PROFILE的系统权限。
为用户指定资源限制，必须：
1．动态地使用alter system或使用初始化参数resource_limit使资源限制生效。该改变对密码资源无效，密码资源总是可用。
SQL> show parameter resource_limit
NAME TYPE VALUE
------------------------------------ ----------- ------------------------------
resource_limit boolean FALSE
SQL> alter system set resource_limit=true;
系统已更改。
SQL> show parameter resource_limit;
NAME TYPE VALUE
------------------------------------ ----------- ------------------------------
resource_limit boolean TRUE
SQL>
2．使用create profile创建一个定义对数据库资源进行限制的profile。

create profile test
limit
idle_time 30
connect_time 480;

3．使用create user 或alter user命令把profile分配给用户。

alter user username profile test;

4.修改PROFILE

alter profile test limit idle_time 60;

5.删除PROFILE

drop profile test
drop profile test cascade;

注：
1.已分配的profile，删除时必须加cascade选项。
2.必须要有create profile 权限，才能创建profile。
3.DEFAULT为默认profile，不能删除。

6.信息获取　　

dba_profiles
profile及参数限制的&＃20540;
dba_users
username,profile

三、语法：
CREATE PROFILE profile
LIMIT { resource_parameters
| password_parameters
}
[ resource_parameters
| password_parameters
]... ;


{ { SESSIONS_PER_USER
| CPU_PER_SESSION
| CPU_PER_CALL
| CONNECT_TIME
| IDLE_TIME
| LOGICAL_READS_PER_SESSION
| LOGICAL_READS_PER_CALL
| COMPOSITE_LIMIT
}
{ integer | UNLIMITED | DEFAULT }
| PRIVATE_SGA
{ integer [ K | M ] | UNLIMITED | DEFAULT }
}

{ { FAILED_LOGIN_ATTEMPTS
| PASSWORD_LIFE_TIME
| PASSWORD_REUSE_TIME
| PASSWORD_REUSE_MAX
| PASSWORD_LOCK_TIME
| PASSWORD_GRACE_TIME
}
{ expr | UNLIMITED | DEFAULT }
| PASSWORD_VERIFY_FUNCTION
{ function | NULL | DEFAULT }
}
四、语法解释：
profile：配置文件的名称。Oracle数据库以以下方式强迫资源限制：
1．如果用户超过了connect_time或idle_time的会话资源限制，数据库就回滚当前事务，并结束会话。用户再次执行命令，数据库则返回一个错误，
2．如果用户试图执行超过其他的会话资源限制的操作，数据库放弃操作，回滚当前事务并立即返回错误。用户之后可以提交或回滚当前事务，必须结束会话。
提示：可以将一条分成多个段，如1小时(1/24天)来限制时间，可以为用户指定资源限制，但是数据库只有在参数生效后才会执行限制。

Unlimited：分配该profile的用户对资源使用无限制，当使用密码参数时，unlimited意味着没有对参数加限制。
Default：指定为default意味着忽略对profile中的一些资源限制，Default profile初始定义对资源不限制，可以通过alter profile命令来改变。
Resource_parameter部分

Session_per_user：指定限制用户的并发会话的数目。
Cpu_per_session：指定会话的CPU时间限制，单位为百分之一秒。
Cpu_per_call：指定一次调用（解析、执行和提取）的CPU时间限制，单位为百分之一秒。
Connect_time：指定会话的总的连接时间，以分钟为单位。
Idle_time：指定会话允许连续不活动的总的时间，以分钟为单位，超过该时间，会话将断开。但是长时间运行查询和其他操作的不受此限制。
Logical_reads_per_session：指定一个会话允许读的数据块的数目，包括从内存和磁盘读的所有数据块。
Logical_read_per_call：指定一次执行SQL（解析、执行和提取）调用所允许读的数据块的最大数目。
Private_sga：指定一个会话可以在共享池（SGA）中所允许分配的最大空间，以字节为单位。（该限制只在使用共享服务器结构时才有效，会话在SGA中的私有空间包括私有的SQL和PL/SQL，但不包括共享的SQL和PL/SQL）。
Composite_limit：指定一个会话的总的资源消耗，以service units单位表示。Oracle数据库以有利的方式计算cpu_per_session，connect_time，logical_reads_per_session和private-sga总的service units

Password_parameter部分：

Failed_login_attempts：指定在帐户被锁定之前所允许尝试登陆的的最大次数。
Password_life_time：指定同一密码所允许使用的天数。如果同时指定了password_grace_time参数，如果在grace period内没有改变密码，则密码会失效，连接数据库被拒绝。如果没有设置password_grace_time参数，默认&＃20540;unlimited将引发一个数据库警告，但是允许用户继续连接。
Password_reuse_time和password_reuse_max：这两个参数必须互相关联设置，password_reuse_time指定了密码不能重用前的天数，而password_reuse_max则指定了当前密码被重用之前密码改变的次数。两个参数都必须被设置为整数。
1．如果为这两个参数指定了整数，则用户不能重用密码直到密码被改变了password_reuse_max指定的次数以后在password_reuse_time指定的时间内。
如：password_reuse_time=30，password_reuse_max=10，用户可以在30天以后重用该密码，要求密码必须被改变超过10次。
2．如果指定了其中的一个为整数，而另一个为unlimited，则用户永远不能重用一个密码。
3．如果指定了其中的一个为default，Oracle数据库使用定义在profile中的默认&＃20540;，默认情况下，所有的参数在profile中都被设置为unlimited，如果没有改变profile默认&＃20540;，数据库对该&＃20540;总是默认为unlimited。
4．如果两个参数都设置为unlimited，则数据库忽略他们。
Password_lock_time：指定登陆尝试失败次数到达后帐户的缩定时间，以天为单位。
Password_grace_time：指定宽限天数，数据库发出警告到登陆失效前的天数。如果数据库密码在这中间没有被修改，则过期会失效。
Password_verify_function：该字段允许将复杂的PL/SQL密码验证脚本做为参数传递到create profile语句。Oracle数据库提供了一个默认的脚本，但是自己可以创建自己的验证规则或使用第三方软件验证。 对Function名称，指定的是密码验证规则的名称，指定为Null则意味着不使用密码验证功能。如果为密码参数指定表达式，则该表达式可以是任意&＃26684;式，除了数据库标量子查询。

五、举例：
1．创建一个profile：
create profile new_profile
limit password_reuse_max 10
password_reuse_time 30;
2．设置profile资源限制：
create profile app_user limit
sessions_per_user unlimited
cpu_per_session unlimited
cpu_per_call 3000
connect_time 45
logical_reads_per_session default
logical_reads_per_call 1000
private_sga 15k
composite_limit 5000000;
总的resource cost不超过五百万service units。计算总的resource cost的公式由alter resource cost语句来指定。

3．设置密码限制profile：
create profile app_users2 limit
failed_login_attempts 5
password_life_time 60
password_reuse_time 60
password_reuse_max 5
password_verify_function verify_function
password_lock_time 1/24
password_grace_time 10;

4．将配置文件分配给用户：
SQL> alter user dinya profile app_user;
用户已更改。
SQL>

SQL> alter user dinya profile default;
用户已更改。
SQL>

管理profile

Proflie是口令限制,资源限制的命名集合.建立oracle数据库时,oracle会自动建立名为DEFAULT的PROFILE,初始化的DEFAULT没有进行任何口令和资源限制.使用PROFILE有以下一些主要事项.

1,建立PROFILE时,如果只设置了部分口令或资源限制选项,其他选项会自动使用默认&＃20540;(DEFAULT的相应选项)

2,建立用户时,如果不指定PROFILE选项,oracle会自动将DEFAULT分配给相应的数据库用户.

3,一个用户只能分配一个PROFILE.如果要同时管理用户的口令和资源,那么在建立PROFILE时应该同时指定口令和资源选项.

4,使用PROFILE管理口令时,口令管理选项总是处于被激活状态,但如果使用PROFILE管理资源,必须要激活资源限制.

帐户锁定

帐户锁定用于控制用户联系登陆失败的最大次数.

FAILED_LOGIN_ATTEMPTS:用于指定联系登陆的最大失败次数.

PASSWORD_LOCK_TIME:用于指定帐户被锁定的天数.

为了控制帐户锁定,必须首先执行CREATE PROFILE命令建立PROFILE,然后使用ALTER USER命令将profile分配给用户.

CREATE PROFILE lock_accout LIMIT

FAILED_LOGIN_ATTEMPTS 3

PASSWORD_LOCK_TIME 10;

ALTER USER devep PROFILE lock_account;

如果建立PROFILE时没有提供PASSWORD_LOCK_TIME选项,将自动使用默认&＃20540;(UNLIMITED),在这种情况下,需要DBA手工解锁.

ALTER USER devep UNLOCK;

口令有效期和终止期

PASSWORD_LIFE_TIME:用于指定口令有效期

PASSWORD_GRACE_TIME:用于指定口令宽限期.

为了强制用户定期改变口令,二者必须同时设置.

CREATE PROFILE password_life_ime LIMIT

PASSWORD_LIFE_TIME 10

PASSWORD_GRACE_TIME 2;

ALTER USER devep PROFILE password_life_time;

口令历史

PASSWORD_REUSE_TIME:用于指定口令可重用时间.

PASSWORD_REUSE_MAX;用于指定在重用口令之前口令需要改变的次数.

需要主要,使用口令历史选项时,只能使用其中的一个选项.并将另一个选项设置为UNLIMITED.

CREATE PROFILE password_history LIMIT

PASSWORD_LIFE_TIME 10 PASSWORD_GRACE_TIME 2

PASSWORD_REUSE_TIME 10 PASSWORD_REUSE_MAX UNLIMITED;

口令复杂性校验.

口令复杂性校验是指使用PL/SQL函数确保用户口令的有效性,从而加强用户使用复杂口令.

1,使用系统口令校验函数VERIFY_FUNCTION

安装oracle数据库时,oracle提供了sql脚本UTLPWDMG.SQL,改脚本用于建立系统口令校验函数VERIFY_FUNCTION,改口令校验函数实现了以下口令规则.

口令不能少于4个字符

口令不能与用户名相同.

口令至少包含一个字符,一个数字和一个特殊字符($,_,#,!等)

需要主要,当建立系统口令校验函数VERIFY_FUNCTION时,必须以SYS用户运行SQL脚本utlpwdmg.sql.

SQL>@%oracle_home%rdbmsadminutlpwdmg.sql

建立系统口令校验函数VERIFY_FUNCTION,还会修改DEFAULT的其他口令管理选项.

建立了VERIFY_FUNCTION函数后,如果在修改用户口令时口令不能满足改函数的规则,将显示错误信息.

2,使用自定义口令校验函数.(略)

3,禁用口令校验

如果要禁用口令校验函数,可以将PASSWORD_VERIFY_FUNCTION选项设置为NULL.

ALTER PROFILE password_history LIMIT

PASSWORD_VERIFY_FUNCTION NULL;

ALTER USER devep IDENTIFIED BY devep;

使用PROFILE管理资源

使用PROFILE管理资源时,必须激活资源限制.

ALTER SYSTEM SET resource_limit=TRUE;

1,限制会话资源是指限制会话在连接期间所占用的总计资源.当超过会话资源限制时,oracle不好对SQL语句进行任何处理并返回错误信息.

CPU_PER_SESSION:用于指定每个会话可以占用的最大CPU时间.

LOGICAL_READS_PER_SESSON:用于指定会话的最大逻辑读取次数.

PRIVATE_SGA:用于指定会话在共享池中可以分配的最大总计私有空间.需要注意,该选项只使用与共享服务器模式.

COMPOSITE_LIMIT:用于指定会话的总计资源消耗(单位:服务单元).oracle会根据CPU_PER_SESSION,CONNECT_TIME,LOGICAL_READS_PER_SESSION以及PRIVATE_SGA的求权结果取得总计服务单元.

下面以限制帐户DEVEP会话占用CPU时间不超过50秒,逻辑读取次数不超过100次为例,说明使用PROFILE限制会话资源的方法.为了控制会话资源,首先应执行CREATE PROFILE命令建立PROFILE,然后使用ALTER USER 命令将PROFILE分配给用户DEVEP.

CREATE PROFILE session_limit LIMIT

CPU_PER_SESSION 5000 LOGICAL_READS_PER_SESSION 100;

ALTER USER devep PROFILE session_limit;

限制调用资源

CPU_PER_CALL:限制每次调用(解析,执行或提取数据)可占用的最大CPU时间(单位:百分之一秒)

LOGICAL_READS_PER_CALL:用于限制每次调用的最大逻辑I/O次数.

限制其他资源

SESSIONS_PER_USER:用于指定每个用户的最大并发会话个数.

CONNECT_TIME:用于指定会话的最大连接时间.

IDLE_TIME:用于指定会话的最大空闲时间.

修改和删除PROFILE

修改PROFILE是使用ALTER PROFILE命令完成的.

删除PROFILE是使用DROP PROFILE命令完成的.

DROP PROFILE call_limit;

如果PROFILE已经分配给某个用户,那么当删除该PROFILE时必须带有CASCADE选项.

显示PROFILE信息.

1,显示用户的PROFILE

通过查询数据字典视图dba_users,可以显示用户所使用的PROFILE

SELECT profile FROM dba_users WHERE username=’DEVEP’;

Username 用于标识数据库用户名,profile用于标识用户使用的PROFILE

2,显示PROFILE的口令和资源限制选项.

Dba_profiles,可以显示PROFILE的口令限制,资源限制信息.

SELECT resource_name,limit FROM dba_profiles

WHERE profile=’SESSION_LIMIT’ AND resource_type=’KERNEL’;