Exadata | Password Expiration Policy

Posted on by Juan Andres Mercado in exadata, Linux, Oracle 12c

Password Expiration Policy on Exadata

Hubo momentos en los que realizamos tareas de soporte o de implementaciones en diferentes customers, notando que los administradores no se encontraban bajo politicas de seguridad SOX o bajo reglamentaciones standart y que contaban con practicas como:

  • Actividades con Cron (Practica no recomendada)
  • JOBS desde consolas web, con el usuario oracle. (Practica no recomendada, se recomienda usar otro user mon)
  • otras tareas de administracion con el usuario oracle u oragrid , o grid.

Pudimos observar que al intentar loguearnos con el usuario oracle, que se nos solicito cambiar la contraseña por que la misma se encontraba expirada.

Por ello decidimos utilizar el comando chage para poder actualizar nuestra policy de expiracion.

Ejecutamos el comando chage con el wildcard -h para poder comprender mejor las opciones:

La salida se corresponde con todas las opciones disponibles para la correcta ejecuccion e implementacion de nuestra policy.

Initial Setup encontrado en nuestra database machine

Con el comando chage -l <user> observamos el initial setup de nuestro Exa:

[root@exa1adbadm02 ~]# chage -l oracle
Last password change                                    : May 17, 2017
Password expires                                        : Aug 15, 2017
Password inactive                                       : never
Account expires                                         : never
Minimum number of days between password change          : 1
Maximum number of days between password change          : 90
Number of days of warning before password expires       : 7
[root@exa1adbadm02 ~]#

Veamos un ejemplo Practico:

Tenemos un customer que nos solicita que ciertas politicas de seguridad en claves, cambian en el periodo del mes noviembre.

Con ello, los cambios se dan el 30 de noviembre.

Que necesitamos para poder hacer nuestra tarea ??

Dia de hoy: 25 de Agosto de 2017.

Dia de Impacto de las claves: 30 Noviembre de 2017.

Dias para que el evento ocurra: 97

Ejecutemos el comando chage con los wildacards para lograr la policy definida en el paso anterior:

chage -I -1 -m 5 -M 365 -E -1 oracle

Congrats ! Podemos observar lso cambios:

[root@exa1adbadm01 ~]# chage -I -1 -m 5 -M 365 -E -1 oracle
[root@exa1adbadm01 ~]# chage -l oracle
Last password change                                    : Aug 24, 2017
Password expires                                        : Aug 24, 2018
Password inactive                                       : never
Account expires                                         : never
Minimum number of days between password change          : 5
Maximum number of days between password change          : 365
Number of days of warning before password expires       : 7
[root@exa1adbadm01 ~]#

Espero que les sea de utilidad… saludos a LATAM !

Published by Juan Andres Mercado

MLops & Devops Leader Manager | Innovation & Tech Evangelist| Big Data & ML Enthusiast | Ex-DBA & Exadata Manager | Consultant | Father | Musician | Farmer | Environmentalist Argentina | juanmercadoit.com