[20230306]os認證連線資料庫問題.txt

[20230306]os認證連線資料庫問題.txt

--//幫別人解決問題，登陸資料庫伺服器時使用sqlplus / as sysdba.報錯
ORA-01017: invalid username/password; logon denied

--//檢查環境變數沒有問題，檢視sqlnet.ora設定，發現存在：
SQLNET.AUTHENTICATION_SERVICES=(NONE)

--//我猜測等保實施造成的情況，實際上這個修改毫無意義，人家既然已經能登陸伺服器，修改它很容易實現。
--//我以前寫過一篇blog描述這樣的情況。

--//連結：[20160912]設定SQLNET.AUTHENTICATION_SERVICES=(NONE).txt=>http://blog.itpub.net/267265/viewspace-2124815/

--//一般很可能做一個操作，以root使用者執行如下限制其他使用者修改該檔案：
# chattr +i sqlnet.ora

--//我遇到的情況不是這樣，對方修改了檔案owner，group的屬性，其他使用者可以看不能修改。
--//簡單一點就是以root使用者臨時取消限制，當時現場就是這樣做的。

--//我在想是否自己可以定義TNS_ADMIN環境變數，重新定位sqlnet.ora來繞過這項設定。

$ cp -a  $ORACLE_HOME/network/admin $ORACLE_HOME/network/admin_new
$ export TNS_ADMIN=$ORACLE_HOME/network/admin_new
--//修改sqlnet.ora檔案，加入如下：
SQLNET.AUTHENTICATION_SERVICES=(NONE)

$ sqlplus -s -l / as sysdba  <<<@ver1
ERROR:
ORA-01017: invalid username/password; logon denied
SP2-0751: Unable to connect to Oracle.  Exiting SQL*Plus

$ export TNS_ADMIN=

$ sqlplus -s -l / as sysdba  <<<@ver1
PORT_STRING                    VERSION        BANNER
------------------------------ -------------- --------------------------------------------------------------------------------
x86_64/Linux 2.4.xx            11.2.0.4.0     Oracle Database 11g Enterprise Edition Release 11.2.0.4.0 - 64bit Production

--//收尾:
--//$ rm -fr $ORACLE_HOME/network/admin_new

--//總之國內現在安全等保做的越來越嚴格，許多都是無聊商家臆想天開,比如修改SYS使用者為SYSDM,到底在實施前測試沒有!!
--//也給許多所謂的商家許多商機以及利益,總之如何更好的安全管理與運維都是一個相互矛盾的話題。