千家信息网

请输入关键字词

热门搜索排行

最新搜索排行

导航: 首页 > 数据库 >

配置数据库监听白名单

发表于:2025-02-04 作者:千家信息网编辑
千家信息网最后更新 2025年02月04日,一、背景:2020年伊始,我们的工作中多了一个词"护网行动",之前闻所未闻;这是一个从国家层面提出的安全概念,目的是为了保障信息安全。各个组织机构会定期组织安防演练。咱们数据库层面为了应对这次安防演练
千家信息网最后更新 2025年02月04日配置数据库监听白名单

一、背景:

2020年伊始,我们的工作中多了一个词"护网行动",之前闻所未闻;这是一个从国家层面提出的安全概念,目的是为了保障信息安全。各个组织机构会定期组织安防演练。咱们数据库层面为了应对这次安防演练也提出了自己的思想,数据库白名单策略限制非法设备对数据库进行访问。这是这次配置监听白名单的整个背景。

二、技术策略:

编辑sqlnet.ora文件

#开启ip限制功能

1tcp.validnode_checking= yes

#允许访问数据库的IP地址列表,多个IP地址使用逗号分开

1tcp.invited_nodes=(192.168.1.5,192.168.1.6,10.10.10.2)

#禁止访问数据库的IP地址列表,多个IP地址使用逗号分开

1tcp.excluded_nodes=(192.168.1.1,10.10.10.1)

注:

1、需要重启监听器生效。

2、这个方式只是适合TCP协议,适用于9i以上版本。在9i之前的版本使用文件protocol.ora。

3、第二行和第三行任写一行即可,如果tcp.invited_nodes与tcp.excluded_nodes都存在,以tcp.invited_nodes为主。

4、不要禁止服务器本机的IP地址,否则通过lsnrctl将不能启动或停止监听,因为该过程监听程序会通过本机的IP访问监听器。

三、操作步骤

3.1 从监听日志中获取层级访问的设备地址:

1 2 3 4 5 6 7grep HOST listener.log | awk -F 'HOST=' '{print $3}' | awk '{print $1}' | awk -F ')' '{print $1}' | grep - v jdbc| sort | uniq | wc -l && grep HOST listener.log | awk -F 'HOST=' '{print $3}' | awk '{print $1}' | awk -F ')' '{print $1}' | grep - v jdbc| sort | uniq 5 192.168.1.1 192.168.1.2 192.168.1.3 192.168.1.4 192.168.1.71

3.2 地址格式化

1 2tr -s "\n" "," echo 192.168.1.1,192.168.1.2,192.168.1.3,192.168.1.4,192.168.1.71

3.3 编辑sqlnet.ora

1 2 3[oracle@TestDB /u01/app/oracle/product/11 .2.0 /db_1/network/admin ]$ cat sqlnet.ora tcp.validnode_checking= yes tcp.invited_nodes=(192.168.1.1,192.168.1.2,192.168.1.3,192.168.1.4,192.168.1.71)

3.4 关闭监听

1 2 3 4 5[oracle@TestDB /u01/app/oracle/product/11 .2.0 /db_1/network/admin ]$lsnrctl stop LSNRCTL for Linux: Version 11.2.0.4.0 - Production on 28-JUL-2020 19:30:20 Copyright (c) 1991, 2013, Oracle. All rights reserved. Connecting to (DESCRIPTION=(ADDRESS=(PROTOCOL=TCP)(HOST=TestDB)(PORT=1521))) The command completed successfully

3.5 重新启动监听

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26[oracle@TestDB /u01/app/oracle/product/11 .2.0 /db_1/network/admin ]$lsnrctl start LSNRCTL for Linux: Version 11.2.0.4.0 - Production on 28-JUL-2020 19:30:25 Copyright (c) 1991, 2013, Oracle. All rights reserved. Starting /u01/app/oracle/product/11 .2.0 /db_1/bin/tnslsnr : please wait... TNSLSNR for Linux: Version 11.2.0.4.0 - Production System parameter file is /u01/app/oracle/product/11 .2.0 /db_1/network/admin/listener .ora Log messages written to /u01/app/oracle/diag/tnslsnr/TestDB/listener/alert/log .xml Listening on: (DESCRIPTION=(ADDRESS=(PROTOCOL=tcp)(HOST=TestDB)(PORT=1521))) Listening on: (DESCRIPTION=(ADDRESS=(PROTOCOL=ipc)(KEY=EXTPROC1521))) Connecting to (DESCRIPTION=(ADDRESS=(PROTOCOL=TCP)(HOST=TestDB)(PORT=1521))) STATUS of the LISTENER ------------------------ Alias LISTENER Version TNSLSNR for Linux: Version 11.2.0.4.0 - Production Start Date 28-JUL-2020 19:30:25 Uptime 0 days 0 hr. 0 min. 0 sec Trace Level off Security ON: Local OS Authentication SNMP OFF Listener Parameter File /u01/app/oracle/product/11 .2.0 /db_1/network/admin/listener .ora Listener Log File /u01/app/oracle/diag/tnslsnr/TestDB/listener/alert/log .xml Listening Endpoints Summary... (DESCRIPTION=(ADDRESS=(PROTOCOL=tcp)(HOST=TestDB)(PORT=1521))) (DESCRIPTION=(ADDRESS=(PROTOCOL=ipc)(KEY=EXTPROC1521))) The listener supports no services The command completed successfully

3.6 手工注册监听

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31[oracle@TestDB /u01/app/oracle/product/11 .2.0 /db_1/network/admin ]$sqlplus / as sysdba SQL*Plus: Release 11.2.0.4.0 Production on Tue Jul 28 19:30:29 2020 Copyright (c) 1982, 2013, Oracle. All rights reserved. Connected to: Oracle Database 11g Enterprise Edition Release 11.2.0.4.0 - 64bit Production With the Partitioning, OLAP, Data Mining and Real Application Testing options SQL> alter system register; System altered. SQL> !lsnrctl status LSNRCTL for Linux: Version 11.2.0.4.0 - Production on 28-JUL-2020 19:30:36 Copyright (c) 1991, 2013, Oracle. All rights reserved. Connecting to (DESCRIPTION=(ADDRESS=(PROTOCOL=TCP)(HOST=TestDB)(PORT=1521))) STATUS of the LISTENER ------------------------ Alias LISTENER Version TNSLSNR for Linux: Version 11.2.0.4.0 - Production Start Date 28-JUL-2020 19:30:25 Uptime 0 days 0 hr. 0 min. 11 sec Trace Level off Security ON: Local OS Authentication SNMP OFF Listener Parameter File /u01/app/oracle/product/11 .2.0 /db_1/network/admin/listener .ora Listener Log File /u01/app/oracle/diag/tnslsnr/TestDB/listener/alert/log .xml Listening Endpoints Summary... (DESCRIPTION=(ADDRESS=(PROTOCOL=tcp)(HOST=TestDB)(PORT=1521))) (DESCRIPTION=(ADDRESS=(PROTOCOL=ipc)(KEY=EXTPROC1521))) Services Summary... Service "ORCL" has 1 instance(s). Instance "ORCL1" , status READY, has 1 handler(s) for this service... Service "ORCL1XDB" has 1 instance(s). The command completed successfully

原文链接:http://blog.itpub.net/20674423/viewspace-2707617/

很赞哦!
监听 地址 数据 数据库 名单 安全 多个 层面 文件 版本 监听器 策略 背景 设备 这是 逗号 安防 本机 演练 限制 数据库的安全要保护哪些东西 数据库安全各自的含义是什么 生产安全数据库录入 数据库的安全性及管理 数据库安全策略包含哪些 海淀数据库安全审计系统 建立农村房屋安全信息数据库 易用的数据库客户端支持安全管理 连接数据库失败ssl安全错误 数据库的锁怎样保障安全 浪潮服务器改硬盘 ns暗黑2线上无法连接服务器 mongo自带的数据库 学校教学数据库论文 哈尔滨学网络技术有限公司 海南鲲鹏服务器供应公司 已服务器连接已中断 yigo软件开发机器人 服务器装几个盘是什么意思 移动公司网络安全工资 互联网科技公司都是做什么的 以前的模板网站现在想自己服务器 文件服务器管理许可证 nba2017球队数据库 软件开发过程有哪些模型 电子商务网络技术基础 中职 数据库技术与会计发展 数据库主窗体 重庆戴尔服务器维修调试哪家便宜 数据库的表空间 html5接收数据库 学校教学数据库论文 如何将pdf卡片导出数据库 access 数据库访问 重庆荣昌果蔬软件开发 数据库审计系统创新点 中国数据库发展史人物 国防网络安全教育观后感 wiley数据库联采 安徽党员量化积分管理软件开发

相关文章

0