161.In your database instance, the user sessions are connected to the database server from the remot

161.In your database instance, the user sessions are connected to the database server from the remote

machines. You want to achieve the following for these users:

1: The user account must be locked after four unsuccessful login attempts.

2: The user must be prompted to change the password at regular intervals.

3: The user may not have more than three simultaneous sessions.

4: The user session must automatically be logged off if more than 10 minutes elapsed time used.

How would you accomplish the above?

A.by assigning profiles for the users

B.by implementing Fine-Grained Auditing (FGA)

C.by granting a secure application role to the users

D.by implementing the Database Resource Manager plan

答案：A

解析：

A：正确，profile就是干这个的

   一、概要文件

     1.概要文件是一组命了名的口令和资源限制，它是通过ddl语句create user或者alter user赋予用户的

     2.概要文件可以开启(开启)和关闭(禁止),也可以和默认的概要文件相关

     3.创建数据库的时候，会默认创建一个defatlt概要文件，如果用户没有显示的赋予概要文件，那么就会使用default概要文件

     4.概要文件具有的特性

       a.赋予用户的概要文件不影响当前的会话

       b.只能将概要文件赋予用户，不能赋予角色或者其他的概要文件

     5.概要文件可以加在会话一级，也可以加在调用一级，还可以同时加在这两级上，具体步骤如下

       a.create 创建概要文件   

       b.create user 或者 alter user 将概要文件赋予用户

       c.用以下方法开启概要限制

         i.初始化参数中将 resource_limit设置为 true

         ii.使用了 alter system 命令将 resource_limit 设为true

            alter system set resource_limit=true;

         iii.口令限制只要定义了就起作用，不需要进行上边的设置

     6.会话级可以设置的资源限制如下

       a. sessions_per_user :每个用户所允许的并行会话数

       b. cpu_per_session   :总共cpu时间，单位1%秒

       c. idle_time         :没有活动的时间，单位分，idle_time 只是计算服务器进程

       d. connect_time      :连接的时间，单位是分

       e. logical_reads_per_session  : 物理(磁盘)和逻辑(内存)读的数据块数

     7.调用一级的限制是加在每个sql语句上的,当超过了调用级的资源限制时候

       a. 挂起所处理的语句

       b. 回滚这条语句

       c. 所有之前的语句完好无损

       d. 用户的会话仍然保持连接状态

     8.调用级可以设置的资源限制如下

       a. cpu_per_call           :每个调用所用的cpu时间，单位是1%

       b. logical_reads_per_call :每个调用读取的数据块数  

     9.创建资源限制概要文件

       create profile 概要文件名 limit

         [ sessions_per_user 最大值 ]

         [ cpu_per_session 最大值 ]

         [ cpu_per_call 最大值 ]

         [ connect_time 最大值 ]

         [ idle_time 最大值 ]

         [ logical_reads_per_session 最大值 ]

         [ logical_reads_per_call 最大值 ]

         最大值为一正整数，或 unlimited 或 default(默认)

     10.查询该要文件

       select * from dba_profiles;

       --字段resource_type 显示为kernel的时候，就表示一个资源限制，如果为一个password表示一个口令安全限制

   二、口令限制

     1.以下是一些口令管理的特性

       a.账户加锁

          通过下面两个参数实现

            i.  failed_login_attempts :账号锁定之前可以尝试登录的失败次数---（满足第一个)

            ii. password_lock_time    :在尝试登录指定次数失败后，用户被锁定的天数

        b.口令衰老和过期

          通过下面两个参数实现

            i.  password_life_time   :口令的生命周期(可以使用的天数),在此之后作废

            ii. password_grace_time  :当口令过期后，第一次成功地使用原口令登录后要改变口令的宽免天数

        c.口令历史

            i.  password_reuse_time  :在一个口令可以重用之前的天数

            ii. password_reuse_max   :在一个口令可以重用之前的最大变化数

        d.口令复杂性检查

            需要执行utlpwdmg.sql脚本文件，

            password_verify_function 在一个新的口令被赋予一个用户之前，要运行验证口令的复杂性是否满足

        安全要求的一个pl/sql函数，所有新口令必须通过该函数的验证

      --注：a，b，c两个参数的任何一个值被设置为某一个值，而不是default或者unlimited的时候，另外一个值必须设置为unlimited

   三、口令验证函数

     1.验证的函数名为 verify_function,必须是sys运行 utlpwdmg.sql 的脚本文件生成，存放的位置是$ORACLE_HOME\rdbms\admin目录下

     2.当执行该sql的时候orcle会创建verify_function函数并且使用如下的alter profile命令来修改default 概要文件

        alter profile default limit

          password_life_time 60

          password_grace_time 10

          password_reuse_time 1800

          password_reuse_max unlimited

          failed_login_attempts 3

          password_lock_time 1/1440

          password_verify_function verify_function;

     3.该函数对用户提供的口令进行如下检查

        a.最小长度为4个字符

        b.口令不能与用户名相同

        c.至少包含一个字符、一个数字、一个特殊字符

        d.至少3个字母与以前的口令不同

     4.11g中变成了verify_function_11G,它会进行如下检查

        a.最小长度为8个字符

        b.口令不能与用户名相同，不能用户名后跟任何1~100的数字，不能是保留用户名

          不能是服务器名，也不能是服务器名后跟1~100的数字，不能跟任何大家都知道的口令

        c.至少包含一个字符、一个数字

        d.至少3个字母与以前的口令不同

     5.自己写一个，按照下面的格式

      function_name(

         userid_parameter in varchar2(30),

         password_parameter in varchar2(30),

         old_password_parameter in varchar2(30)) return boolean

         这里需要注意:如果口令函数产生异常或者出错，系统将返回出错信息，并且相应的 create user 或者 alter user

                   将会停止，该口令函数必须是sys所拥有的

     6.事例(按照题目中的要求)

        create profile unlock_prof limit

          failed_login_attempts 4  --可以尝试4次失败(满足第一条）

          password_life_time 44         --口令的生命周期为44天（满足第二条）

          sessions_per_user 3           --三个会话（满足第三条）

          connect_time    10            --10分钟后断掉(满足第四条）

          可以使用alter进行修改概要文件

          alter profile unlock_prof ....

     7.删除概要文件

        drop profile luck_prof cascade;

B：错误,fga是细粒度审计，主要是对表的访问进行细化到列以及特定条件的审计

C：错误，参考158,这个主要是对用户进行角色是否启用进行控制的，并不能完成题目中要求的

D：错误，这个是资源管理计划