Oracle中對使用者所能使用的資料庫資源進行限制

一、目的：

系統中的profile可以用來對使用者所能使用的資源進行限制，使用Create Profile命令建立一個Profile，用它來實現對資料庫資源的限制使用，如果把該profile分配給使用者，則該使用者所能使用的資料庫資源都在該profile的限制之內。

二、條件：

建立profile必須要有CREATE PROFILE的系統許可權。

為使用者指定資源限制，必須：

1．動態地使用alter system或使用初始化引數resource_limit使資源限制生效。該改變對密碼資源無效，密碼資源總是可用。

SQL> show parameter resource_limit

NAME                                 TYPE        VALUE

———————————— ———– ——————————

resource_limit                       boolean     FALSE

SQL> alter system set resource_limit=true;

系統已更改。

SQL> show parameter resource_limit;

NAME                                 TYPE        VALUE

———————————— ———– ——————————

resource_limit                       boolean     TRUE

2．使用create profile建立一個定義對資料庫資源進行限制的profile。

3．使用create user 或alter user命令把profile分配給使用者。

三、語法：

     CREATE PROFILE profile

LIMIT { resource_parameters

         | password_parameters

         }

           [ resource_parameters

           | password_parameters

           ]... ;

{ { SESSIONS_PER_USER

 | CPU_PER_SESSION

 | CPU_PER_CALL

 | CONNECT_TIME

 | IDLE_TIME

 | LOGICAL_READS_PER_SESSION

 | LOGICAL_READS_PER_CALL

 | COMPOSITE_LIMIT

 }

 { integer | UNLIMITED | DEFAULT }

| PRIVATE_SGA

 { integer [ K | M ] | UNLIMITED | DEFAULT }

}

< password_parameters >

{ { FAILED_LOGIN_ATTEMPTS

 | PASSWORD_LIFE_TIME

 | PASSWORD_REUSE_TIME

 | PASSWORD_REUSE_MAX

 | PASSWORD_LOCK_TIME

 | PASSWORD_GRACE_TIME

 }

 { expr | UNLIMITED | DEFAULT }

| PASSWORD_VERIFY_FUNCTION

     { function | NULL | DEFAULT }

}

四、語法解釋：

       profile：配置檔案的名稱。資料庫以以下方式強迫資源限制：

       1．如果使用者超過了connect_time或idle_time的會話資源限制，資料庫就回滾當前事務，並結束會話。使用者再次執行命令，資料庫則返回一個錯誤，

       2．如果使用者試圖執行超過其他的會話資源限制的操作，資料庫放棄操作，回滾當前事務並立即返回錯誤。使用者之後可以提交或回滾當前事務，必須結束會話。

       提示：可以將一條分成多個段，如1小時(1/24天)來限制時間，可以為使用者指定資源限制，但是資料庫只有在引數生效後才會執行限制。

       Unlimited：分配該profile的使用者對資源使用無限制，當使用密碼引數時，unlimited意味著沒有對引數加限制。

       Default：指定為default意味著忽略對profile中的一些資源限制，Default profile初始定義對資源不限制，可以透過alter profile命令來改變。

      
       Resource_parameter部分

       Session_per_user：指定限制使用者的併發會話的數目。

       Cpu_per_session：指定會話的CPU時間限制，單位為百分之一秒。

       Cpu_per_call：指定一次呼叫（解析、執行和提取）的CPU時間限制，單位為百分之一秒。

       Connect_time：指定會話的總的連線時間，以分鐘為單位。

       Idle_time：指定會話允許連續不活動的總的時間，以分鐘為單位，超過該時間，會話將斷開。但是長時間執行查詢和其他操作的不受此限制。

       Logical_reads_per_session：指定一個會話允許讀的資料塊的數目，包括從記憶體和磁碟讀的所有資料塊。

       Logical_read_per_call：指定一次執行SQL（解析、執行和提取）呼叫所允許讀的資料塊的最大數目。

       Private_sga：指定一個會話可以在共享池（SGA）中所允許分配的最大空間，以位元組為單位。（該限制只在使用共享伺服器結構時才有效，會話在SGA中 的 私有空間包括私有的SQL和PL/SQL，但不包括共享的SQL和PL/SQL）。

       Composite_limit：指定一個會話的總的資源消耗，以service units單位表示。Oracle資料庫以有利的方式計算cpu_per_session，connect_time，logical_reads_per_session和private-sga總的service units

      

       Password_parameter部分：

       Failed_login_attempts：指定在帳戶被鎖定之前所允許嘗試登陸的的最大次數。

       Password_life_time：指定同一密碼所允許使用的天數。如果同時指定了password_grace_time引數，如果在grace period內沒有改變密碼，則密碼會失效，連線資料庫被拒絕。如果沒有設定password_grace_time引數，預設值unlimited將引發一個資料庫警告，但是允許使用者繼續連線。

       Password_reuse_time和password_reuse_max：這兩個引數必須互相關聯設定，password_reuse_time指定了密碼不能重用前的天數，而password_reuse_max則指定了當前密碼被重用之前密碼改變的次數。兩個引數都必須被設定為整數。

       1．如果為這兩個引數指定了整數，則使用者不能重用密碼直到密碼被改變了password_reuse_max指定的次數以後在password_reuse_time指定的時間內。

       如：password_reuse_time=30，password_reuse_max=10，使用者可以在30天以後重用該密碼，要求密碼必須被改變超過10次。

       2．如果指定了其中的一個為整數，而另一個為unlimited，則使用者永遠不能重用一個密碼。

       3．如果指定了其中的一個為default，Oracle資料庫使用定義在profile中的預設值，預設情況下，所有的引數在profile中都被設定為unlimited，如果沒有改變profile預設值，資料庫對該值總是預設為unlimited。

       4．如果兩個引數都設定為unlimited，則資料庫忽略他們。

       Password_lock_time：指定登陸嘗試失敗次數到達後帳戶的縮定時間，以天為單位。

       Password_grace_time：指定寬限天數，資料庫發出警告到登陸失效前的天數。如果資料庫密碼在這中間沒有被修改，則過期會失效。

       Password_verify_function：該欄位允許將複雜的PL/SQL密碼驗證指令碼做為引數傳遞到create profile語句。Oracle資料庫提供了一個預設的指令碼，但是自己可以建立自己的驗證規則或使用第三方軟體驗證。 對Function名稱，指定的是密碼驗證規則的名稱，指定為Null則意味著不使用密碼驗證功能。如果為密碼引數指定表示式，則該表示式可以是任意格式，除了資料庫標量子查詢。

      

五、舉例：

       1．建立一個profile：

       create profile new_profile

              limit password_reuse_max 10

                     password_reuse_time 30;

       2．設定profile資源限制：

       create profile app_user limit

              sessions_per_user unlimited

              cpu_per_session unlimited

              cpu_per_call 3000

              connect_time 45

              logical_reads_per_session default

              logical_reads_per_call 1000

              private_sga 15k

              composite_limit 5000000;

              總的resource cost不超過五百萬service units。計算總的resource cost的公式由alter resource cost語句來指定。

      
       3．設定密碼限制profile：

       create profile app_users2 limit

              failed_login_attempts 5

              password_life_time 60

              password_reuse_time 60

              password_reuse_max 5

              password_verify_function verify_function

              password_lock_time 1/24

              password_grace_time 10;

             

       4．將配置檔案分配給使用者：

              SQL> alter user dinya profile app_user;

使用者已更改。

SQL>

             SQL> alter user dinya profile default;

使用者已更改。