一、概述
本文將給大家介紹如何限制某個ip或某個ip段才能訪問Oracle數(shù)據(jù)庫
- 通過sqlnet.ora
- 通過/etc/hosts.deny和/etc/hosts.allow
- 通過iptables
二����、正式實驗
本次實驗環(huán)境是Centos6.10 + Oracle 11.2.0.4單實例�����,數(shù)據(jù)庫服務器ip地址為192.168.31.71
1. 通過sqlnet.ora
a. 關閉數(shù)據(jù)庫服務器上的防火墻�,修改sqlnet.ora文件
該文件放在$ORACLE_HOME/network/admin下�����,如果沒有就在該目錄下創(chuàng)建一個即可
添加以下兩行
tcp.validnode_checking = yes
tcp.invited_nodes = (192.168.31.71, 192.168.31.77)
這里需要注意的是必須把本機ip地址加進來(不能寫成localhost和127.0.0.1),否則監(jiān)聽啟動會報錯
b. 重啟監(jiān)聽���,讓sqlnet.ora的修改生效
lsnrctl stop
lsnrctl start
設置之后就只有這兩個ip地址192.168.31.71, 192.168.31.77能訪問數(shù)據(jù)庫���,其它ip地址訪問會報ORA-12547: TNS:lost contact錯誤
tcp.invited_nodes的意思是開通白名單,不在白名單中的一律拒絕訪問�����,它也可以寫成(192.168.31.*, 192.168.31.0/24)等方式���,表明這個網(wǎng)段都能訪問
另外還有個參數(shù)tcp.excluded_nodes,表示黑名單�,這里不做介紹,有興趣的可以自己去做做實驗
2. 通過/etc/hosts.deny和/etc/hosts.allow
sqlnet.ora屬于數(shù)據(jù)庫層面的限制����,但如果一個ip能夠使用root或者oracle,ssh到這臺數(shù)據(jù)庫服務器的話�,那么它依然能夠訪問數(shù)據(jù)庫。為了避免這種情況����,這時就需要通過/etc/hosts.allow和/etc/hosts.deny去限制某個ip或者ip段才能ssh訪問數(shù)據(jù)庫服務器
先刪除前面實驗添加的sqlnet.ora����,然后重啟監(jiān)聽
lsnrctl stop
lsnrctl start
a. 修改/etc/hosts.deny
在文件尾部添加一行
第一個all表示禁掉所有使用tcp_wrappers庫的服務���,舉例來說就是ssh�,telnet等服務
第二個all表示所有網(wǎng)段
b. 修改/etc/hosts.allow
在前面一步中我禁掉所有的網(wǎng)段���,所以在這一步中要開通指定的網(wǎng)段
修改/etc/hosts.allow���,在文件尾部添加
all:192.168.31.71:allow
all:192.168.31.47:allow
格式與hosts.deny一樣,第一行表示把本機放開��,第二行表示給.47開通白名單
下面用我另外一臺機器(即不在allow中的)ssh或telnet連接71這個機器����,就會出現(xiàn)如下報錯
[oracle@oracle19c1 ~]$ ssh 192.168.31.71
ssh_exchange_identification: read: Connection reset by peer
[oracle@oracle19c1 ~]$ telnet 192.168.31.71 22
Trying 192.168.31.71...
Connected to 192.168.31.71.
Escape character is '^]'.
Connection closed by foreign host.
連數(shù)據(jù)庫卻不受影響���,因為數(shù)據(jù)庫服務不歸hosts.deny和hosts.allow管
[oracle@oracle19c1 ~]$ sqlplus sys/xxxxx@192.168.31.71:1521/orcltest as sysdba
SQL*Plus: Release 19.0.0.0.0 - Production on Sun Aug 16 23:12:49 2020
Version 19.3.0.0.0
Copyright (c) 1982, 2019, Oracle. All rights reserved.
Connected to:
Oracle Database 11g Enterprise Edition Release 11.2.0.4.0 - 64bit Production
With the Partitioning, OLAP, Data Mining and Real Application Testing options
其中ip地址也可以換成以下的寫法
通配符的形式 192.168.31.*表示192.168.31這個網(wǎng)段
網(wǎng)段/掩碼 192.168.31.0/255.255.255.0也表示192.168.31這個網(wǎng)段
3. 通過iptables
sqlnet.ora能夠限制數(shù)據(jù)庫的訪問�����,/etc/hosts.deny和/etc/hosts.allow能夠限制ssh的訪問�����,那有沒有辦法既能限制數(shù)據(jù)庫的訪問����,也能限制ssh的訪問呢,答案就是linux自帶的防火墻功能了�����。
為了實驗��,將前面做的修改全部清除�����。
使用root執(zhí)行以下命令
service iptables start # 打開防火墻服務
iptables -I INPUT -s 192.168.31.0/24 -p tcp --dport 1521 -j ACCEPT # 允許192.168.31網(wǎng)段的ip訪問本機1521端口
iptables -I INPUT ! -s 192.168.31.0/24 -p tcp --dport 22 -j DROP # 拒絕非192.168.31網(wǎng)段的ip訪問本機22端口
service iptables save # 規(guī)則保存到配置文件/etc/sysconfig/iptables中
這樣就同時限制了其它ip對服務器的ssh和數(shù)據(jù)庫訪問
一些擴展知識:
- iptables -L -n --line-numbers # 查看當前系統(tǒng)中的iptables
- iptables -D INPUT 2 # 刪除input鏈中編號為2的規(guī)則�,編號數(shù)字可以通過上一個命令得到
三、總結
- 如果只是限制其它ip對數(shù)據(jù)庫的訪問���,使用sqlnet.ora
- 如果要限制其它ip對數(shù)據(jù)庫所在服務器上的ssh連接��,使用/etc/hosts.deny和/etc/hosts.allow
- 前面兩個配合起來�,基本上就能保證你的數(shù)據(jù)庫安全了。但是如果你對linux的iptables很熟悉�,那么直接使用iptables去限制。
- 使用/etc/hosts.deny和iptables時一定要保證自己的操作機能連到服務器��,不然很容易就把自己鎖死在外面了��。
到此這篇關于限制ip訪問Oracle數(shù)據(jù)庫的文章就介紹到這了,更多相關限制ip訪問Oracle數(shù)據(jù)庫內容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關文章希望大家以后多多支持腳本之家�!
您可能感興趣的文章:- [Oracle] 如何使用觸發(fā)器實現(xiàn)IP限制用戶登錄
