限制ip访问Oracle数据库的方法步骤
一、概述
本文将给大家介绍如何限制某个ip或某个ip段才能访问Oracle数据库
- 通过sqlnet.ora
- 通过/etc/hosts.deny和/etc/hosts.allow
- 通过iptables
二、正式实验
本次实验环境是Centos6.10+Oracle11.2.0.4单实例,数据库服务器ip地址为192.168.31.71
1.通过sqlnet.ora
a.关闭数据库服务器上的防火墙,修改sqlnet.ora文件
该文件放在$ORACLE_HOME/network/admin下,如果没有就在该目录下创建一个即可
添加以下两行
tcp.validnode_checking=yes tcp.invited_nodes=(192.168.31.71,192.168.31.77)
这里需要注意的是必须把本机ip地址加进来(不能写成localhost和127.0.0.1),否则监听启动会报错
b.重启监听,让sqlnet.ora的修改生效
lsnrctlstop lsnrctlstart
设置之后就只有这两个ip地址192.168.31.71,192.168.31.77能访问数据库,其它ip地址访问会报ORA-12547:TNS:lostcontact错误
tcp.invited_nodes的意思是开通白名单,不在白名单中的一律拒绝访问,它也可以写成(192.168.31.*,192.168.31.0/24)等方式,表明这个网段都能访问
另外还有个参数tcp.excluded_nodes,表示黑名单,这里不做介绍,有兴趣的可以自己去做做实验
2.通过/etc/hosts.deny和/etc/hosts.allow
sqlnet.ora属于数据库层面的限制,但如果一个ip能够使用root或者oracle,ssh到这台数据库服务器的话,那么它依然能够访问数据库。为了避免这种情况,这时就需要通过/etc/hosts.allow和/etc/hosts.deny去限制某个ip或者ip段才能ssh访问数据库服务器
先删除前面实验添加的sqlnet.ora,然后重启监听
lsnrctlstop lsnrctlstart
a.修改/etc/hosts.deny
在文件尾部添加一行
all:all:deny
第一个all表示禁掉所有使用tcp_wrappers库的服务,举例来说就是ssh,telnet等服务
第二个all表示所有网段
b.修改/etc/hosts.allow
在前面一步中我禁掉所有的网段,所以在这一步中要开通指定的网段
修改/etc/hosts.allow,在文件尾部添加
all:192.168.31.71:allow all:192.168.31.47:allow
格式与hosts.deny一样,第一行表示把本机放开,第二行表示给.47开通白名单
下面用我另外一台机器(即不在allow中的)ssh或telnet连接71这个机器,就会出现如下报错
[oracle@oracle19c1~]$ssh192.168.31.71 ssh_exchange_identification:read:Connectionresetbypeer [oracle@oracle19c1~]$telnet192.168.31.7122 Trying192.168.31.71... Connectedto192.168.31.71. Escapecharacteris'^]'. Connectionclosedbyforeignhost.
连数据库却不受影响,因为数据库服务不归hosts.deny和hosts.allow管
[oracle@oracle19c1~]$sqlplussys/xxxxx@192.168.31.71:1521/orcltestassysdba SQL*Plus:Release19.0.0.0.0-ProductiononSunAug1623:12:492020 Version19.3.0.0.0 Copyright(c)1982,2019,Oracle.Allrightsreserved. Connectedto: OracleDatabase11gEnterpriseEditionRelease11.2.0.4.0-64bitProduction WiththePartitioning,OLAP,DataMiningandRealApplicationTestingoptions
其中ip地址也可以换成以下的写法
通配符的形式192.168.31.*表示192.168.31这个网段
网段/掩码192.168.31.0/255.255.255.0也表示192.168.31这个网段
3.通过iptables
sqlnet.ora能够限制数据库的访问,/etc/hosts.deny和/etc/hosts.allow能够限制ssh的访问,那有没有办法既能限制数据库的访问,也能限制ssh的访问呢,答案就是linux自带的防火墙功能了。
为了实验,将前面做的修改全部清除。
使用root执行以下命令
serviceiptablesstart#打开防火墙服务 iptables-IINPUT-s192.168.31.0/24-ptcp--dport1521-jACCEPT#允许192.168.31网段的ip访问本机1521端口 iptables-IINPUT!-s192.168.31.0/24-ptcp--dport22-jDROP#拒绝非192.168.31网段的ip访问本机22端口 serviceiptablessave#规则保存到配置文件/etc/sysconfig/iptables中
这样就同时限制了其它ip对服务器的ssh和数据库访问
一些扩展知识:
- iptables-L-n--line-numbers#查看当前系统中的iptables
- iptables-DINPUT2#删除input链中编号为2的规则,编号数字可以通过上一个命令得到
三、总结
- 如果只是限制其它ip对数据库的访问,使用sqlnet.ora
- 如果要限制其它ip对数据库所在服务器上的ssh连接,使用/etc/hosts.deny和/etc/hosts.allow
- 前面两个配合起来,基本上就能保证你的数据库安全了。但是如果你对linux的iptables很熟悉,那么直接使用iptables去限制。
- 使用/etc/hosts.deny和iptables时一定要保证自己的操作机能连到服务器,不然很容易就把自己锁死在外面了。
到此这篇关于限制ip访问Oracle数据库的文章就介绍到这了,更多相关限制ip访问Oracle数据库内容请搜索毛票票以前的文章或继续浏览下面的相关文章希望大家以后多多支持毛票票!
声明:本文内容来源于网络,版权归原作者所有,内容由互联网用户自发贡献自行上传,本网站不拥有所有权,未作人工编辑处理,也不承担相关法律责任。如果您发现有涉嫌版权的内容,欢迎发送邮件至:czq8825#qq.com(发邮件时,请将#更换为@)进行举报,并提供相关证据,一经查实,本站将立刻删除涉嫌侵权内容。