3种方式限制IP访问Oracle数据库

数据库 Oracle
分享3种限制某个ip或某个ip段访问Oracle数据库的方式,希望对大家有帮助。

 

 

[[340416]]

 

01概述

本文将给大家介绍如何限制某个ip或某个ip段才能访问Oracle数据库

  1. 通过sqlnet.ora
  2. 通过/etc/hosts.deny和/etc/hosts.allow
  3. 通过iptables

 

02正式实验

本次实验环境是Centos6.10 + Oracle 11.2.0.4单实例,数据库服务器ip地址为192.168.31.71

1. 通过sqlnet.ora

a. 关闭数据库服务器上的防火墙,修改sqlnet.ora文件该文件放在$ORACLE_HOME/network/admin下,如果没有就在该目录下创建一个即可添加以下两行

 

  1. tcp.validnode_checking = yes  
  2. tcp.invited_nodes = (192.168.31.71, 192.168.31.77) 

 

这里需要注意的是必须把本机ip地址加进来(不能写成localhost和127.0.0.1),否则监听启动会报错。

b. 重启监听,让sqlnet.ora的修改生效

 

  1. lsnrctl stop  
  2. lsnrctl start 

 

设置之后就只有这两个ip地址192.168.31.71, 192.168.31.77能访问数据库,其它ip地址访问会报ORA-12547: TNS:lost contact错误

tcp.invited_nodes的意思是开通白名单,不在白名单中的一律拒绝访问,它也可以写成(192.168.31.*, 192.168.31.0/24)等方式,表明这个网段都能访问。

另外还有个参数tcp.excluded_nodes,表示黑名单,这里不做介绍,有兴趣的可以自己去做做实验。

2. 通过/etc/hosts.deny和/etc/hosts.allow

sqlnet.ora属于数据库层面的限制,但如果一个ip能够使用root或者oracle,ssh到这台数据库服务器的话,那么它依然能够访问数据库。为了避免这种情况,这时就需要通过/etc/hosts.allow和/etc/hosts.deny去限制某个ip或者ip段才能ssh访问数据库服务器先删除前面实验添加的sqlnet.ora,然后重启监听

 

  1. lsnrctl stop
  2. lsnrctl start 

a. 修改/etc/hosts.deny

在文件尾部添加一行

 

  1. all:all:deny 

第一个all表示禁掉所有使用tcp_wrappers库的服务,举例来说就是ssh,telnet等服务。

第二个all表示所有网段。

b. 修改/etc/hosts.allow

在前面一步中我禁掉所有的网段,所以在这一步中要开通指定的网段。

修改/etc/hosts.allow,在文件尾部添加

 

  1. all:192.168.31.71:allow 
  2. all:192.168.31.47:allow 

格式与hosts.deny一样,第一行表示把本机放开,第二行表示给.47开通白名单

下面用我另外一台机器(即不在allow中的)ssh或telnet连接71这个机器,就会出现如下报错

 

  1. [oracle@oracle19c1 ~]$ ssh 192.168.31.71 
  2. ssh_exchange_identification: readConnection reset by peer 
  3.  
  4. [oracle@oracle19c1 ~]$ telnet 192.168.31.71 22 
  5. Trying 192.168.31.71... 
  6. Connected to 192.168.31.71. 
  7. Escape character is '^]'
  8. Connection closed by foreign host. 

连数据库却不受影响,因为数据库服务不归hosts.deny和hosts.allow管

 

  1. [oracle@oracle19c1 ~]$ sqlplus sys/xxxxx@192.168.31.71:1521/orcltest as sysdba 
  2.  
  3. SQL*Plus: Release 19.0.0.0.0 - Production on Sun Aug 16 23:12:49 2020 
  4. Version 19.3.0.0.0 
  5.  
  6. Copyright (c) 1982, 2019, Oracle.  All rights reserved. 
  7.  
  8. Connected to
  9. Oracle Database 11g Enterprise Edition Release 11.2.0.4.0 - 64bit Production 
  10. With the Partitioning, OLAP, Data Mining and Real Application Testing options 

其中ip地址也可以换成以下的写法

通配符的形式 192.168.31.*表示192.168.31这个网段

网段/掩码 192.168.31.0/255.255.255.0也表示192.168.31这个网段

3. 通过iptables

sqlnet.ora能够限制数据库的访问,/etc/hosts.deny和/etc/hosts.allow能够限制ssh的访问,那有没有办法既能限制数据库的访问,也能限制ssh的访问呢,答案就是linux自带的防火墙功能了。为了实验,将前面做的修改全部清除。

使用root执行以下命令

 

  1. service iptables start  # 打开防火墙服务iptables -I INPUT -s 192.168.31.0/24 -p tcp --dport 1521 -j ACCEPT  # 允许192.168.31网段的ip访问本机1521端口iptables -I INPUT ! -s 192.168.31.0/24 -p tcp --dport 22 -j DROP  # 拒绝非192.168.31网段的ip访问本机22端口service iptables save  # 规则保存到配置文件/etc/sysconfig/iptables中 

这样就同时限制了其它ip对服务器的ssh和数据库访问一些扩展知识:

  1. iptables -L -n --line-numbers  # 查看当前系统中的iptablesiptables -D INPUT 2  # 删除input链中编号为2的规则,编号数字可以通过上一个命令得到 

 

03总结

  1. 如果只是限制其它ip对数据库的访问,使用sqlnet.ora
  2. 如果要限制其它ip对数据库所在服务器上的ssh连接,使用/etc/hosts.deny和/etc/hosts.allow
  3. 前面两个配合起来,基本上就能保证你的数据库安全了。但是如果你对linux的iptables很熟悉,那么直接使用iptables去限制。
  4. 使用/etc/hosts.deny和iptables时一定要保证自己的操作机能连到服务器,不然很容易就把自己锁死在外面了。 

 

责任编辑:庞桂玉 来源: ITPUB
相关推荐

2010-04-15 15:52:12

Oracle数据库

2010-04-07 18:26:43

Oracle数据库

2011-03-14 13:33:32

Oracle数据库启动

2010-04-06 10:52:06

Oracle数据库

2010-04-29 11:53:42

Oracle数据库

2010-10-26 14:06:43

oracle连接远程数

2010-04-28 16:23:18

Oracle数据库

2010-04-19 16:08:31

Oracle数据库

2011-03-21 12:51:16

Oracle数据库表连接

2010-10-26 13:33:08

Oracle自动备份

2010-04-14 15:45:49

Oracle 数据库

2011-04-13 14:07:17

OracleSybase数据库

2011-08-30 17:48:48

Oracle数据库日期to_char方式to_date方式

2011-04-13 14:38:17

2010-11-15 10:30:04

Oracle数据库启动

2010-10-26 16:07:45

连接oracle数据库

2010-04-06 11:02:30

Oracle 数据库

2009-08-26 16:56:49

Oracle访问Syb

2011-03-17 15:16:38

2017-09-07 15:42:25

MySQL数据库访问
点赞
收藏

51CTO技术栈公众号