日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關咨詢
選擇下列產(chǎn)品馬上在線溝通
服務時間:8:30-17:00
你可能遇到了下面的問題
關閉右側工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
11種Oracle監(jiān)聽器保護方法

RHEL4 Oracle監(jiān)聽器會有很多地方可供黑客利用,所以針對RHEL4 Oracle的保護措施就會有很多,下面我們就來一一介紹這11種保護RHEL4 Oracle監(jiān)聽器的方法。

成都創(chuàng)新互聯(lián)公司-專業(yè)網(wǎng)站定制、快速模板網(wǎng)站建設、高性價比翼城網(wǎng)站開發(fā)、企業(yè)建站全套包干低至880元,成熟完善的模板庫,直接使用。一站式翼城網(wǎng)站制作公司更省心,省錢,快速模板網(wǎng)站建設找我們,業(yè)務覆蓋翼城地區(qū)。費用合理售后完善,10年實體公司更值得信賴。

1。RHEL4 Oracle監(jiān)聽器設置密碼

通過設置監(jiān)聽器密碼可以阻止大部分的菜鳥黑客的進攻,設置密碼有兩種方法,一種是通過lsnrctl命令來設置,另一種是直接修改listener.ora文件,第一種方法設置的密碼是經(jīng)過加密后存儲在listener.ora中,而第二種方法是以明文的形式放在listener.ora中的,所以推薦使用第一種方式。具體命令如下:
LSNRCTL> set current_listener <監(jiān)聽器名>
LSNRCTL> change_password
old password: <如果之前沒有設置密碼就直接按回車>
New password: <輸入新密碼>
Reenter new password: <再次輸入新密碼>
LSNRCTL> set password Password: <輸入剛剛設置的新密碼>
LSNRCTL> save_config

設置好密碼后,打開listener.ora,看是否有一條PASSWORDS_<監(jiān)聽器名>的記錄,類似于PASSWORDS_LISTENER = F4BAA4A006C26134.為監(jiān)聽器設置了密碼后,必須到客戶端重新配置連接。

2.RHEL4 Oracle監(jiān)聽器開啟日志

開啟監(jiān)聽器日志功能是為了捕獲監(jiān)聽器命令和防止密碼被暴力破解。開啟監(jiān)聽器日志功能的命令為:
LSNRCTL> set current_listener <監(jiān)聽器名>
LSNRCTL> set password Password: <輸入監(jiān)聽器密碼>
LSNRCTL> set log_directory /network/admin
LSNRCTL> set log_file .log
LSNRCTL> set log_status on
LSNRCTL> save_config

通過運行上面的命令,監(jiān)聽器將會在/network/admin目錄下創(chuàng)建一個.log日志文件,以后可以打開該文件查看一些常見的ORA-錯誤信息。

3.RHEL4 Oracle監(jiān)聽器在listener.ora中設置ADMIN_RESTRICTIONS

在listener.ora文件中設置了ADMIN_RESTRICTIONS參數(shù)后,當監(jiān)聽器在運行時,不允許執(zhí)行任何管理任何,屆時,set命令將不可用,不論是在服務器本地還是從遠程執(zhí)行都不行,這時如果要修改監(jiān)聽器設置就只有手工修改listener.ora文件了,通過手工修改listener.ora,要使修改生效,只能使用lsnrctl reload命令或lsnrctl stop/start命令重新載入一次監(jiān)聽器配置信息。在listener.ora文件中手動加入下面這樣一行:ADMIN_RESTRICTIONS_<監(jiān)聽器名> = ON

4.RHEL4 Oracle打上最新的監(jiān)聽器補丁

這一點就與操作系統(tǒng)類似,數(shù)據(jù)庫也有bug,也有漏洞,黑客會在漏洞發(fā)現(xiàn)第一時間掃描未打補丁的服務器,所以作為一個稱職的DBA要隨時關注Oracle的CPU(呵呵,不是處理器,是關鍵補丁升級的意思),這里要說明的是Oracle監(jiān)聽器的補丁是自動累加的,就像windows xp sp2的內(nèi)容包括了sp1的所有內(nèi)容一樣,所以只需要按照最新的補丁集就可以了,還有一點要注意的是在生產(chǎn)系統(tǒng)上應用任何補丁前都需要先在測試環(huán)境進行測試,保證升級后不影響正常業(yè)務才進行升級。最后要說明的是,只有購買了Oracle的正式許可才可以登陸下載補丁,否則就只有從第三方地址下載,其完整性就不能保證了。

5.RHEL4 Oracle監(jiān)聽器利用防火墻阻止SQL*NET

除非的確需要,否則不應該讓SQL*NET通訊通過防火墻,在設計防火墻規(guī)則時,應設計為只允許經(jīng)過認證的Web服務器和應用程序通過防火墻進行SQL*NET通信。而且放在防火墻DMZ區(qū)域的應用服務器使用SQL*NET通信時,應只允許它與特定的數(shù)據(jù)庫服務器進行通信。

通常很少有應用會從Internet直接訪問數(shù)據(jù)庫,因為這種方式的延遲非常明顯,通用的做法是配置應用服務器與數(shù)據(jù)庫通信,Internet客戶端通過瀏覽器訪問應用服務器即可,這時配置防火墻時也只需設置應用服務器和數(shù)據(jù)庫服務器之間的通信規(guī)則即可。#p#

6.保護$TNS_ADMIN目錄

$TNS_ADMIN目錄即我們通常看到的ORACLE_HOME/network/admin目錄,它下面包含有l(wèi)istener.ora,tnsnames.ora,sqlnet.ora,protocol.ora等重要配置文件,前面已經(jīng)提到,監(jiān)聽器的密碼就是保存在listener.ora中的,如果不保護好,可能造成密碼泄露,或整個文件被修改,這個目錄下的listener.ora,sqlnet.ora,protocol.ora文件應該只開放給Oracle主賬戶(通常是oracle或Administrator),而其他賬戶不能有任何權限,tnsnames.ora文件在Linux或Unix系統(tǒng)上權限可以設置為0644,在windows上可以設置其他用戶為瀏覽,讀取權限。

7.保護TNSLSNR和LSNRCTL

在Linux或Unix服務器上,應該將這兩個文件的權限設為0751,如果想更嚴格一點,可以設為0700,這樣就只有安裝oracle時指定的宿主用戶可以執(zhí)行它們了,這兩個文件位于ORACLE_HOME/bin目錄下。保護這兩個文件的目的是為了防止黑客直接破壞它們,如果tnslsnr被破壞,監(jiān)聽器肯定不能啟動,如果lsnrctl被破壞可能植入惡意代碼,在運行l(wèi)snrctl時就會執(zhí)行其它黑客行為。

8、移除不用的服務

默認安裝時,會安裝一個PL/SQL外部程序(ExtProc)條目在listener.ora中,它的名字通常是ExtProc或PLSExtProc,但一般不會使用它,可以直接從listener.ora中將這項移除,因為對ExtProc已經(jīng)有多種攻擊手段了。有時可能會在多個實例之間拷貝listener.ora,請檢查拷貝來的文件中是否含有不需要的服務,確保只留下的確需要的服務項目,減少Oracle監(jiān)聽器受攻擊的面。

9、改變默認的TNS端口號

改變Oracle監(jiān)聽器監(jiān)聽的端口號與修改ftp服務器默認的21端口,web服務器的80端口類似,因為Oracle默認的監(jiān)聽端口是1521(Oracle還正式注冊了兩個新的端口號2483和2484,說不定哪個新版本發(fā)布后,可能默認的端口號就會是這兩個了,其中2484用于SSL類型的連接),幾乎所有的掃描器都可以直接掃描這個端口是否打開,如果設置為一個不常用的端口號,可能會給人一種假象,而且即使掃描到端口打開,也還要猜測該端口運行是究竟是什么服務,攻擊難度就加大了。

在修改端口的時候也不要設在1521-1550和1600-1699范圍內(nèi),雖然通過修改默認端口并不算什么高級防護技術,但至少可以防止自動攻擊,以及在端口1521上的簡單掃描??芍苯泳庉媗istener.ora中端口號,也可以通過netca程序進行修改,當然在客戶端也要做對應的修改才行。同時要設置初始化參數(shù)LOCAL_LISTENER,這樣在監(jiān)聽端口發(fā)生變化后,數(shù)據(jù)庫才會自動進行Oracle監(jiān)聽器重新注冊。

10、設置節(jié)點驗證

根據(jù)應用程序和網(wǎng)絡配置情況,采用節(jié)點驗證對于保護監(jiān)聽器是一種強有力的方法,大部分Web應用程序都只需要從應用服務器訪問Oracle監(jiān)聽器,以及一臺管理客戶端,對于RHEL4 Oracle8/8i,在$ORACLE_HOME/network/admin/protocol.ora文件中添加節(jié)點檢查語句,對于RHEL4Oracle9i/10g,在$ORACLE_HOME/network/admin/sqlnet.ora文件中添加節(jié)點檢查語句,語句的格式都一樣,如:
tcp.validnode_checking = yes
tcp.invited_nodes = ( x.x.x.x | name, x.x.x.x | name)
tcp.excluded_nodes=( x.x.x.x | name, x.x.x.x | name)

注意:這里要么使用invited_nodes語句,要么使用excluded_nodes,不能同時都使用,也不能使用通配符,子網(wǎng)等,只能使用明確的ip地址或主機名。這里的x.x.x.x指的就是如192.168.1.100這樣的ip地址,name就是主機名,如果有多個ip地址或主機名,使用逗號進行分隔。

設置了節(jié)點驗證后,Oracle監(jiān)聽器需要重新啟動才會生效。使用這種方法進行節(jié)點驗證會消耗一定的系統(tǒng)資源和網(wǎng)絡帶寬,如果要驗證的地址過多,靠手工添加也很麻煩,這時可以使用RHEL4 OracleConnection Manager,如果是有許多客戶端通過SQL*NET訪問數(shù)據(jù)庫,使用這種節(jié)點驗證的方法也不可行,那會相當?shù)穆?/p>

11、RHEL4 Oracle監(jiān)視日志

在前面的方法中開啟了監(jiān)聽器日志功能,在產(chǎn)生了日志信息后,要對其進行分析,常見的可在日志文件中查找是否有TNS-01169,TNS-01189,TNS-01190或TNS-12508錯誤,如果有這些錯誤,至少可以說明要么有人攻擊,要么有異?;顒?,進一步可以使用shell基本或一些簡單的管理工具將這些有用的日志信息定期發(fā)送給DBA,實現(xiàn)實時監(jiān)控效果。

【編輯推薦】

  1. Oracle監(jiān)聽器配置的具體3步
  2. Oracle監(jiān)聽器出現(xiàn)的6種連接問題及其解決方法
  3. Oracle監(jiān)聽器安裝和配置的具體方法淺析
  4. 探討怎樣回收Oracle監(jiān)聽器日志文件
  5. 淺析Oracle監(jiān)聽器安裝與配置

網(wǎng)頁名稱:11種Oracle監(jiān)聽器保護方法
標題網(wǎng)址:http://www.5511xx.com/article/cceddcg.html