如何限制ip訪問Oracle資料庫

阿新 • • 發佈：2020-08-17

## 一、概述本文將給大家介紹如何限制某個ip或某個ip段才能訪問Oracle資料庫 1. 通過sqlnet.ora 2. 通過/etc/hosts.deny和/etc/hosts.allow 3. 通過iptables ## 二、正式實驗本次實驗環境是Centos6.10 + Oracle 11.2.0.4單例項，資料庫伺服器ip地址為192.168.31.71 ### 1. 通過sqlnet.ora a. 關閉資料庫伺服器上的防火牆，修改sqlnet.ora檔案該檔案放在$ORACLE_HOME/network/admin下，如果沒有就在該目錄下建立一個即可新增以下兩行 ``` tcp.validnode_checking = yes tcp.invited_nodes = (192.168.31.71, 192.168.31.77) ``` 這裡需要注意的是必須把本機ip地址加進來（不能寫成localhost和127.0.0.1），否則監聽啟動會報錯 b. 重啟監聽，讓sqlnet.ora的修改生效 ``` lsnrctl stop lsnrctl start ``` 設定之後就只有這兩個ip地址192.168.31.71, 192.168.31.77能訪問資料庫，其它ip地址訪問會報ORA-12547: TNS:lost contact錯誤 tcp.invited_nodes的意思是開通白名單，不在白名單中的一律拒絕訪問，它也可以寫成(192.168.31.*, 192.168.31.0/24)等方式，表明這個網段都能訪問另外還有個引數tcp.excluded_nodes，表示黑名單，這裡不做介紹，有興趣的可以自己去做做實驗 ### 2. 通過/etc/hosts.deny和/etc/hosts.allow sqlnet.ora屬於資料庫層面的限制，但如果一個ip能夠使用root或者oracle，ssh到這臺數據庫伺服器的話，那麼它依然能夠訪問資料庫。為了避免這種情況，這時就需要通過/etc/hosts.allow和/etc/hosts.deny去限制某個ip或者ip段才能ssh訪問資料庫伺服器先刪除前面實驗新增的sqlnet.ora，然後重啟監聽 ``` lsnrctl stop lsnrctl start ``` a. 修改/etc/hosts.deny 在檔案尾部新增一行 ``` all:all:deny ``` 第一個all表示禁掉所有使用tcp_wrappers庫的服務，舉例來說就是ssh，telnet等服務第二個all表示所有網段 b. 修改/etc/hosts.allow 在前面一步中我禁掉所有的網段，所以在這一步中要開通指定的網段修改/etc/hosts.allow，在檔案尾部新增 ``` all:192.168.31.71:allow all:192.168.31.47:allow ``` 格式與hosts.deny一樣，第一行表示把本機放開，第二行表示給.47開通白名單下面用我另外一臺機器（即不在allow中的）ssh或telnet連線71這個機器，就會出現如下報錯 ``` [oracle@oracle19c1 ~]$ ssh 192.168.31.71 ssh_exchange_identification: read: Connection reset by peer [oracle@oracle19c1 ~]$ telnet 192.168.31.71 22 Trying 192.168.31.71... Connected to 192.168.31.71. Escape character is '^]'. Connection closed by foreign host. ``` 連資料庫卻不受影響，因為資料庫服務不歸hosts.deny和hosts.allow管 ``` [oracle@oracle19c1 ~]$ sqlplus sys/[email protected]:1521/orcltest as sysdba SQL*Plus: Release 19.0.0.0.0 - Production on Sun Aug 16 23:12:49 2020 Version 19.3.0.0.0 Copyright (c) 1982, 2019, Oracle. All rights reserved. Connected to: Oracle Database 11g Enterprise Edition Release 11.2.0.4.0 - 64bit Production With the Partitioning, OLAP, Data Mining and Real Application Testing options ``` 其中ip地址也可以換成以下的寫法萬用字元的形式 192.168.31.*表示192.168.31這個網段網段/掩碼 192.168.31.0/255.255.255.0也表示192.168.31這個網段 ### 3. 通過iptables sqlnet.ora能夠限制資料庫的訪問，/etc/hosts.deny和/etc/hosts.allow能夠限制ssh的訪問，那有沒有辦法既能限制資料庫的訪問，也能限制ssh的訪問呢，答案就是linux自帶的防火牆功能了。為了實驗，將前面做的修改全部清除。使用root執行以下命令 ``` service iptables start # 開啟防火牆服務 iptables -I INPUT -s 192.168.31.0/24 -p tcp --dport 1521 -j ACCEPT # 允許192.168.31網段的ip訪問本機1521埠 iptables -I INPUT ! -s 192.168.31.0/24 -p tcp --dport 22 -j DROP # 拒絕非192.168.31網段的ip訪問本機22埠 service iptables save # 規則儲存到配置檔案/etc/sysconfig/iptables中 ``` 這樣就同時限制了其它ip對伺服器的ssh和資料庫訪問一些擴充套件知識： iptables -L -n --line-numbers # 檢視當前系統中的iptables iptables -D INPUT 2 # 刪除input鏈中編號為2的規則，編號數字可以通過上一個命令得到 ## 三、總結 1. 如果只是限制其它ip對資料庫的訪問，使用sqlnet.ora 2. 如果要限制其它ip對資料庫所在伺服器上的ssh連線，使用/etc/hosts.deny和/etc/hosts.allow 3. 前面兩個配合起來，基本上就能保證你的資料庫安全了。但是如果你對linux的iptables很熟悉，那麼直接使用iptables去限制。 4. 使用/etc/hosts.deny和iptables時一定要保證自己的操作機能連到伺服器，不然很容易就把自己鎖死在外

如何限制ip訪問Oracle資料庫

如何限制ip訪問Oracle資料庫

配置sqlnet ora限制IP訪問Oracle

oracle資料庫限制IP訪問

限制指定機器IP訪問oracle數據庫

執行登入觸發器（sql server 2016限制IP訪問）後，登入sql server報錯：由於執行觸發器,登入失敗已將資料庫上下文更改為master。解決方法：用cmd執行刪除登入觸發器

Nginx限制IP訪問及獲取客戶端realip實戰

Apache2.4使用require指令進行訪問控制–允許或限制IP訪問/通過User-Agent禁止不友好網絡爬蟲

nginx限制IP訪問網站

案例1：使用JDBC訪問Oracle資料庫1

在windows下python指令碼訪問Oracle資料庫環境變數配置常見報錯與解決方法集合

使用批處理檔案訪問ORACLE資料庫

訪問Oracle資料庫的四款工具軟體介紹

網站限制IP訪問應該怎麼辦

傳送簡訊驗證碼沒有判斷圖形驗證碼是否正確，被攻擊，臨時用nginx限制ip訪問

如何通過ip訪問MySql資料庫

c#訪問Oracle資料庫，執行資料庫操作

nginx限制IP訪問

Groovy訪問oracle資料庫

Nginx配置location限制IP訪問策略

限制IP訪問

如何限制ip訪問Oracle資料庫

相關推薦