Кто залочил аккаунт?

 
0
 
Oracle
ava
Dimich | 21.02.2006, 13:55
Собственно предыстория проблеммы:
Есть Oracle 10g и кол-во рабочих мест около 70. Соответственно и 70 юзеров со своими логинами и пассвордами. Иногда юзвери прыгают с места на место и соответственно за каким бы компом юзер не сидел, он логинится к ораклу со своими личными username/password. Иногда всплывают такие ситуации, когда юзер, пересев за другой комп, запускает прогу, а там в окошке "соединение" уже стоит последний username, с которым логинились. Так вот рассеянный юзер не посмотрев, что написано в поле username долбит свой пароль и получает ошибку, сообщение об ошибке ессесно не читается, и пароль долбится с новым все возрастающим усердием. Как следствие, аккаунт блокируется (ORA-28000) и юзер прибегает ко мне с дикими воплями о том, что он не может войти в программу! Корни проблемы были ясны и все было нормально, до тех пор, пока не оказался заблокированным мой "административный пароль".
Значит кто-то пытался подобрать мой пароль? Пусть так. Как узнать, кто? С какой машины/IP? Детальный анализ логов серверов (/var/log/messages и т.п.) показал, что атак извне не было, тут все четко скорее всего. Да и если бы атаковали, то скорее всего бы натворили чего похуже или попытались бы подобрать пароль к SYSу или SYSTEMу.

Теперь вопрос: где я могу увидеть, в каких логах и т.п. кто пытался коннектиться к ораклу.
Comments (8)
ava
LSD | 21.02.2006, 14:09 #
Традиционный вопрос: аудит включен?
ava
Dimich | 21.02.2006, 14:47 #
Сейчас уже включен. А тогда был отключен. Так получается без аудита - никак?
ava
LSD | 21.02.2006, 22:10 #
Еще есть вариант: трасировочные файлы для TNSListener-а. Но я думаю трассировка тоже была отключена, так?
ava
jsa | 22.02.2006, 04:38 #
а че это за ошибка такая ORA-28000, че то я в оракле ни в 9, ни в 8 никогда такого не видел, или это появилось только в 10
ava
LSD | 22.02.2006, 11:06 #
Цитата (jsa @ 22.2.2006, 04:38 findReferencedText)
а че это за ошибка такая ORA-28000

Цитата
ORA-28000: the account is locked

Cause: The user has entered wrong password consequently for maximum number of times specified by the user's profile parameter FAILED_LOGIN_ATTEMPTS, or the DBA has locked the account

Action: Wait for PASSWORD_LOCK_TIME or contact DBA

Когда появилась, не могу сказать.
ava
KaKTyCc | 05.06.2006, 13:59 #
а как разлочить? и как устанавливать этот параметр FAILED_LOGIN_ATTEMPTS
ava
LSD | 05.06.2006, 23:18 #
Цитата (KaKTyCc @ 5.6.2006, 14:59 findReferencedText)
а как разлочить?

alter user <user> account unlock


Цитата (KaKTyCc @ 5.6.2006, 14:59 findReferencedText)
и как устанавливать этот параметр FAILED_LOGIN_ATTEMPTS

Через профили:
alter profile <profile> limit failed_login_attempts unlimited
ava
KaKTyCc | 07.06.2006, 22:41 #
LSD, спасибо
Please register or login to write.
Firm of day
Вы также можете добавить свою фирму в каталог IT-фирм, и публиковать статьи, новости, вакансии и другую информацию от имени фирмы.
Подробнее
Contributors
ava  LSD   Dimich   KaKTyCc   jsa
advanced
Submit