我用的是oracle个人版,我用scott登录sqlplusw,然后连接system,发现用任何密码都能连接到,附上截图:
然后试了下连接sys,发现也是任意密码均可,附上图
这么太容易就连接上管理员了,何来安全?求解释
------解决方案--------------------
怕有些250忘记了密码连接不进来,所以,如果发现当前的操作系统用户是当前的操作系统的管理员时,不校验密码。
你可以通过修改配置文件,不使用这种策略。
而且,只有对本机有效,别的机器连不上去。
如果一个人都能直接操作你的数据库所在的服务器,密码再安全有蛋用。
------解决方案--------------------
数据库的三种验证机制:
操作系统验证(具有sysdba和sysopera的用户)
密码文件验证(具有sysdba和sysopera的用户)
数据库验证(普通用户)
在创建sysdba用户的时候系统会自动把这个用户加入到计算机用户组(dba),
在这个组里的用户是不需要登录密码的,
这是操作系统的验证了,
一般在实际中我们会把计算机用户组中dba中的adminstorator用户删除,
删除之后登录就需要密码了。