一、概述
本文將會(huì)給大家介紹在Oracle數(shù)據(jù)庫該如何限制某個(gè)IP訪問,或者限定某個(gè)IP段才能訪問。
- 通過
sqlnet.ora
- 通過
/etc/hosts.deny
和/etc/hosts.allow
- 通過
iptables
二、正式實(shí)驗(yàn)
本次實(shí)驗(yàn)環(huán)境是Centos6.10 + Oracle 11.2.0.4
單實(shí)例,數(shù)據(jù)庫服務(wù)器ip地址為192.168.31.71
1. 通過sqlnet.ora
a. 關(guān)閉數(shù)據(jù)庫服務(wù)器上的防火墻,修改sqlnet.ora
文件
該文件放在$ORACLE_HOME/network/admin
下,如果沒有就在該目錄下創(chuàng)建一個(gè)即可
添加以下兩行
tcp.validnode_checking = yes
tcp.invited_nodes = (192.168.31.71, 192.168.31.77)
這里需要注意的是必須把本機(jī)ip
地址加進(jìn)來(不能寫成localhost和127.0.0.1),否則監(jiān)聽啟動(dòng)會(huì)報(bào)錯(cuò)
b. 重啟監(jiān)聽,讓sqlnet.ora
的修改生效
lsnrctl stop
lsnrctl start
設(shè)置之后就只有這兩個(gè)ip
地址192.168.31.71
, 192.168.31.77
能訪問數(shù)據(jù)庫,其它ip
地址訪問會(huì)報(bào)ORA-12547: TNS:lost contact
錯(cuò)誤
tcp.invited_nodes
的意思是開通白名單,不在白名單中的一律拒絕訪問,它也可以寫成(192.168.31.*, 192.168.31.0/24)等方式,表明這個(gè)網(wǎng)段都能訪問
另外還有個(gè)參數(shù)tcp.excluded_nodes
,表示黑名單,這里不做介紹,有興趣的可以自己去做做實(shí)驗(yàn)
(推薦教程:Oracle教程)
2. 通過/etc/hosts.deny和/etc/hosts.allow
sqlnet.ora
屬于數(shù)據(jù)庫層面的限制,但如果一個(gè)ip
能夠使用root
或者oracle
,ssh
到這臺(tái)數(shù)據(jù)庫服務(wù)器的話,那么它依然能夠訪問數(shù)據(jù)庫。為了避免這種情況,這時(shí)就需要通過/etc/hosts.allow
和/etc/hosts.deny
去限制某個(gè)ip
或者ip
段才能ssh
訪問數(shù)據(jù)庫服務(wù)器
先刪除前面實(shí)驗(yàn)添加的sqlnet.ora
,然后重啟監(jiān)聽
lsnrctl stop
lsnrctl start
a. 修改/etc/hosts.deny
在文件尾部添加一行
all:all:deny
第一個(gè)all
表示禁掉所有使用tcp_wrappers
庫的服務(wù),舉例來說就是ssh
,telnet
等服務(wù)
第二個(gè)all
表示所有網(wǎng)段
b. 修改/etc/hosts.allow
在前面一步中我禁掉所有的網(wǎng)段,所以在這一步中要開通指定的網(wǎng)段
修改/etc/hosts.allow
,在文件尾部添加
all:192.168.31.71:allow
all:192.168.31.47:allow
格式與hosts.deny
一樣,第一行表示把本機(jī)放開,第二行表示給.47
開通白名單
下面用我另外一臺(tái)機(jī)器(即不在allow中的)ssh
或telnet
連接 71 這個(gè)機(jī)器,就會(huì)出現(xiàn)如下報(bào)錯(cuò)
[oracle@oracle19c1 ~]$ ssh 192.168.31.71
ssh_exchange_identification: read: Connection reset by peer
[oracle@oracle19c1 ~]$ telnet 192.168.31.71 22
Trying 192.168.31.71...
Connected to 192.168.31.71.
Escape character is '^]'.
Connection closed by foreign host.
連數(shù)據(jù)庫卻不受影響,因?yàn)閿?shù)據(jù)庫服務(wù)不歸hosts.deny
和hosts.allow
管
[oracle@oracle19c1 ~]$ sqlplus sys/xxxxx@192.168.31.71:1521/orcltest as sysdba
SQL*Plus: Release 19.0.0.0.0 - Production on Sun Aug 16 23:12:49 2020
Version 19.3.0.0.0
Copyright (c) 1982, 2019, Oracle. All rights reserved.
Connected to:
Oracle Database 11g Enterprise Edition Release 11.2.0.4.0 - 64bit Production
With the Partitioning, OLAP, Data Mining and Real Application Testing options
其中 ip 地址也可以換成以下的寫法
通配符的形式 192.168.31.*
表示192.168.31
這個(gè)網(wǎng)段
網(wǎng)段/掩碼 192.168.31.0/255.255.255.0
也表示192.168.31
這個(gè)網(wǎng)段
3. 通過iptables
sqlnet.ora
能夠限制數(shù)據(jù)庫的訪問,/etc/hosts.deny
和/etc/hosts.allow
能夠限制ssh
的訪問,那有沒有辦法既能限制數(shù)據(jù)庫的訪問,也能限制ssh
的訪問呢,答案就是linux
自帶的防火墻功能了。
為了實(shí)驗(yàn),將前面做的修改全部清除。
使用root
執(zhí)行以下命令
service iptables start # 打開防火墻服務(wù)
iptables -I INPUT -s 192.168.31.0/24 -p tcp --dport 1521 -j ACCEPT # 允許192.168.31網(wǎng)段的ip訪問本機(jī)1521端口
iptables -I INPUT ! -s 192.168.31.0/24 -p tcp --dport 22 -j DROP # 拒絕非192.168.31網(wǎng)段的ip訪問本機(jī)22端口
service iptables save # 規(guī)則保存到配置文件/etc/sysconfig/iptables中
這樣就同時(shí)限制了其它ip
對服務(wù)器的ssh
和數(shù)據(jù)庫訪問
一些擴(kuò)展知識(shí):
iptables -L -n --line-numbers #
查看當(dāng)前系統(tǒng)中的iptables
iptables -D INPUT 2 #
刪除input
鏈中編號(hào)為 2 的規(guī)則,編號(hào)數(shù)字可以通過上一個(gè)命令得到
(推薦微課:Oracle數(shù)據(jù)庫入門到實(shí)戰(zhàn))
三、總結(jié)
- 如果只是限制其它
ip
對數(shù)據(jù)庫的訪問,使用sqlnet.ora
- 如果要限制其它
ip
對數(shù)據(jù)庫所在服務(wù)器上的ssh
連接,使用/etc/hosts.deny
和/etc/hosts.allow
- 前面兩個(gè)配合起來,基本上就能保證你的數(shù)據(jù)庫安全了。但是如果你對
linux
的iptables
很熟悉,那么直接使用iptables
去限制。 - 使用
/etc/hosts.deny
和iptables
時(shí)一定要保證自己的操作機(jī)能連到服務(wù)器,不然很容易就把自己鎖死在外面了。
文章來自(墨天輪),來源:www.modb.pro/db/29270?ywm= 作者:楊豹
以上就是W3Cschool編程獅
關(guān)于 Oracle數(shù)據(jù)庫如何限制IP訪問 的相關(guān)介紹了,希望對大家有所幫助。