溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
這篇文章主要介紹了Oracle數據庫怎么限制IP訪問,具有一定借鑒價值,感興趣的朋友可以參考下,希望大家閱讀完這篇文章之后大有收獲,下面讓小編帶著大家一起了解一下。
本文將會給大家介紹在Oracle數據庫該如何限制某個IP訪問,或者限定某個IP段才能訪問。
通過sqlnet.ora
通過/etc/hosts.deny和/etc/hosts.allow
通過iptables
本次實驗環境是Centos6.10 + Oracle 11.2.0.4單實例,數據庫服務器ip地址為192.168.31.71
a. 關閉數據庫服務器上的防火墻,修改sqlnet.ora文件
該文件放在$ORACLE_HOME/network/admin下,如果沒有就在該目錄下創建一個即可
添加以下兩行
tcp.validnode_checking = yes tcp.invited_nodes = (192.168.31.71, 192.168.31.77)
這里需要注意的是必須把本機ip地址加進來(不能寫成localhost和127.0.0.1),否則監聽啟動會報錯
b. 重啟監聽,讓sqlnet.ora的修改生效
lsnrctl stop lsnrctl start
設置之后就只有這兩個ip地址192.168.31.71, 192.168.31.77能訪問數據庫,其它ip地址訪問會報ORA-12547: TNS:lost contact錯誤tcp.invited_nodes 的意思是開通白名單,不在白名單中的一律拒絕訪問,它也可以寫成(192.168.31.*, 192.168.31.0/24)等方式,表明這個網段都能訪問
另外還有個參數tcp.excluded_nodes,表示黑名單,這里不做介紹,有興趣的可以自己去做做實驗
(推薦教程:Oracle教程)
sqlnet.ora屬于數據庫層面的限制,但如果一個ip能夠使用root或者oracle,ssh到這臺數據庫服務器的話,那么它依然能夠訪問數據庫。為了避免這種情況,這時就需要通過/etc/hosts.allow和/etc/hosts.deny去限制某個ip或者ip段才能ssh訪問數據庫服務器
先刪除前面實驗添加的sqlnet.ora,然后重啟監聽
lsnrctl stop lsnrctl start
a. 修改/etc/hosts.deny
在文件尾部添加一行
all:all:deny
第一個all表示禁掉所有使用tcp_wrappers庫的服務,舉例來說就是ssh,telnet等服務
第二個all表示所有網段
b. 修改/etc/hosts.allow
在前面一步中我禁掉所有的網段,所以在這一步中要開通指定的網段
修改/etc/hosts.allow,在文件尾部添加
all:192.168.31.71:allow all:192.168.31.47:allow
格式與hosts.deny一樣,第一行表示把本機放開,第二行表示給.47開通白名單
下面用我另外一臺機器(即不在allow中的)ssh或telnet連接 71 這個機器,就會出現如下報錯
[oracle@oracle19c1 ~]$ ssh 192.168.31.71 ssh_exchange_identification: read: Connection reset by peer [oracle@oracle19c1 ~]$ telnet 192.168.31.71 22 Trying 192.168.31.71... Connected to 192.168.31.71. Escape character is '^]'. Connection closed by foreign host.
連數據庫卻不受影響,因為數據庫服務不歸hosts.deny和hosts.allow管
[oracle@oracle19c1 ~]$ sqlplus sys/xxxxx@192.168.31.71:1521/orcltest as sysdba SQL*Plus: Release 19.0.0.0.0 - Production on Sun Aug 16 23:12:49 2020 Version 19.3.0.0.0 Copyright (c) 1982, 2019, Oracle. All rights reserved. Connected to: Oracle Database 11g Enterprise Edition Release 11.2.0.4.0 - 64bit Production With the Partitioning, OLAP, Data Mining and Real Application Testing options
其中 ip 地址也可以換成以下的寫法
通配符的形式 192.168.31.*表示192.168.31這個網段
網段/掩碼 192.168.31.0/255.255.255.0也表示192.168.31這個網段
sqlnet.ora能夠限制數據庫的訪問,/etc/hosts.deny和/etc/hosts.allow能夠限制ssh的訪問,那有沒有辦法既能限制數據庫的訪問,也能限制ssh的訪問呢,答案就是linux自帶的防火墻功能了。
為了實驗,將前面做的修改全部清除。
使用root執行以下命令
service iptables start # 打開防火墻服務 iptables -I INPUT -s 192.168.31.0/24 -p tcp --dport 1521 -j ACCEPT # 允許192.168.31網段的ip訪問本機1521端口 iptables -I INPUT ! -s 192.168.31.0/24 -p tcp --dport 22 -j DROP # 拒絕非192.168.31網段的ip訪問本機22端口 service iptables save # 規則保存到配置文件/etc/sysconfig/iptables中
這樣就同時限制了其它ip對服務器的ssh和數據庫訪問
一些擴展知識:iptables -L -n --line-numbers #查看當前系統中的iptablesiptables -D INPUT 2 #刪除input鏈中編號為 2 的規則,編號數字可以通過上一個命令得到
感謝你能夠認真閱讀完這篇文章,希望小編分享的“Oracle數據庫怎么限制IP訪問”這篇文章對大家有幫助,同時也希望大家多多支持億速云,關注億速云行業資訊頻道,更多相關知識等著你來學習!
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
