处理Oracle数据库服务安全漏洞的几种方法

其他 2020-02-28 15:07:16 阅读次数: 0

处理Oracle数据库服务安全漏洞的几种方法

1、Ultra Search组件未明的漏洞

1.1、Ultra Search组件一般用于构建搜索引擎功能,如内网网站无需使用,请直接卸载ultra search组件,运行sql文件remove,

$ORACLE_HOME/ultrasearch/admin/wk0deinst.sql;

1.2、如仍需使用该组件,建议升级Oracle版本;

 

2、如无法升级,请限制IP访问来源:

2.1、通过SQLNET.ORA文件配置IP地址白名单,黑名单;

oracle配置访问白名单教程

出于提高数据安全性等目地,我们可能想要对oracle的访问进行限制,允许一些IP连接数据库或拒绝一些IP访问数据库。

当然使用iptables也能达到限制的目地,但是从监听端口变更限制仍可生效、只针对oracle自己不和其他端口的限制相混杂和不需要root账号这几方面来说,通过配置sqlnet.ora文件来进行访问限制可能是一种更好的选择。

2.1.1.配置sqlnet.ora文件

进入$TNS_ADMIN(一般对应的真实路径形如

/oracle/app/oracle/product/11.2.0/dbhome_1/network/admin)

Windows server 平台下可以直接如下图方式找到

查看是否存在sqlnet.ora文件及是否已配置tcp.validnode_checking、tcp.invited_nodes、tcp.excluded_nodes项。

 

如果文件存在且已有这几项,则在此基础上修改这几项;如果文件存在但这几项不存在,则在最后追加;如果文件不存在则直接新建。

oracle默认是没有的,我们以没有为例新建该文件,并写入以下内容:

 

tcp.validnode_checking=yes

tcp.invited_nodes=(192.168.220.128,127.0.0.1)

tcp.excluded_nodes=(192.168.220.1)

 

  1. 127.0.0.1是指服务器本地的IP,也可以是本身的IP,否则监听不起作用
  2. tcp.validnode_checking--此项是启用IP合法检查,此项是必须配置的,如果不启用其他两项配了也没用。
  3. tcp.invited_nodes--此项是允许连接数据库的IP地址,多个地址用逗号(半角)隔开;如果启用此项,一定要配上本地地址不然监听无法启动。

如果想设置一个网段,可以试试使用%或?。如上面的192.168.220.128,可以写192.168.220.%或192.168.220.?

  1. tcp.excluded_nodes--此项是不允许连接数据库的IP地址,多个地址用逗号(半角)隔开;如果与tcp.invited_nodes有相同IP,则还是允许该IP访问数据库

tcp.invited_nodes和tcp.excluded_nodes其实可以只配置一项,当只配tcp.invited_nodes时就是白名单,在此项列表中的所有IP允许访问数据库,所有不在此项列表中的所有IP拒绝访问数据库;

当只配置tcp.excluded_nodes时,在此项列表中的所有IP拒绝访问数据库,所有不在此项列表中的所有IP允许访问数据库。

 

2.1.2.重新加载使配置生效

如果之前不存在sqlnet.ora则需要重启监听

在CMD命令窗口下直接执行以下命令

 

lsnrctl stop

lsnrctl start

如果之前存在sqlnet.ora则只需要重新加载配置即可

 

lsnrctl reload

关于重启和reload的区别,应该是监听完全停上和不完全停止的区别;使用stop/start当前所有已连接的会话会强制断开,reload不会断开已有会话。

如果服务器多,都要进行同一操作,把重启做成bat文件,双击即可

 

2.2、 通过触发器TRIGGER设置,IP地址和用户禁止登陆。

create or replace trigger logon_ip_control

after logon on database

declare

  ip STRING(30);

  user STRING(30);

begin

SELECT SYS_CONTEXT('USERENV','SESSION_USER') into user from dual;

SELECT SYS_CONTEXT('USERENV','IP_ADDRESS') into ip from dual;

if user='EPAY_USER'

  THEN

      IF ip not in ('192.168.219.20','192.168.219.22') 

      THEN raise_application_error(-20001,'User '||user||' is not allowed to connect from '||ip);

      END IF;

END IF;

end;

 

知识点笔记

请关注微信公众号:qghktit

 

 

参考来源

黑白名单

https://www.cnblogs.com/lsdb/p/7729434.html

触发器

https://blog.csdn.net/dbanote/article/details/9231863

jeansmy111
发布了17 篇原创文章 · 获赞 0 · 访问量 2190
私信 关注

猜你喜欢

转载自blog.csdn.net/jeansmy111/article/details/103819712
今日推荐
美国拟限制 AI 大模型出口中国和俄罗斯
苹果将与 OpenAI 达成协议,将 ChatGPT 应用于 iPhone
openKylin 社区生态委员会第六次会议圆满召开
阿里云正式发布通义千问 2.5
Python 3.13 发布首个 Beta:实验性自由线程模式和 JIT、改进交互式解释器
Stack Overflow 拿我的代码去训练 AI 大模型,还封了我的账号
Pop!_OS 的 COSMIC 桌面完成 App Store 上架工作
报告:Django 仍然是 74% 开发者的首选
《2024 年一季度互联网投融资运行情况》研究报告
15 年前上了“FFmpeg 耻辱柱”,今天他还得谢谢咱——腾讯QQPlayer一雪前耻?
TIOBE 5 月榜单:Fortran “复活”进入 Top 10
GCC 14.1 发布
周排行
curl的POST请求,封装方法
8.1.1. Integer Types
Java基础 Day05(个人复习整理)
Python - Django - 中间件 process_exception
小L的试卷
【Shell编程】 (函数)判断用户是否存在
python(css样式)
spring ant path 匹配原则 - 【笔记】
《JavaScript与JScript从入门到精通》(美)James.Jaworski.中译本.扫描版.pdf
Eclipse运行带参数的java程序
每日归档
更多
2024-05-12(0)
2024-05-11(38)
2024-05-10(38)
2024-05-09(35)
2024-05-08(42)
2024-05-07(14)
2024-05-06(40)
2024-05-05(0)
2024-05-04(7)
2024-05-03(19)

代码天地 © 2018 codetd.com

境外服务器   最新电视剧2022