限制ip访问Oracle数据库的方法步骤_oracle

来源:脚本之家  责任编辑:小易  

1、创建触发器例如CREATE OR REPLACE TRIGGER CHK_IP_LHRAFTER LOGON ON DATABASEDECLAREV_IPADDR VARCHAR2(30);V_LOGONUSER VARCHAR2(60);BEGINSELECT SYS_CONTEXT('USERENV', 'IP_ADDRESS'),SYS_CONTEXT('USERENV', 'SESSION_USER')INTO V_IPADDR, V_LOGONUSERFROM DUAL;IF V_IPADDR LIKE ('192.168.59.%') THENRAISE_APPLICATION_ERROR('-20001', 'User '||2113V_LOGONUSER||' is not allowed to connect from '||V_IPADDR);END IF;END;2、或者利用5261sqlnet.ora修改$OREACLE_HOME/network/admin/sqlnet.oratcp.validnode_checking=yes #允许访问ip tcp.inited_nodes=(ip1,ip2,…4102…) #不允许访问的ip tcp.excluded_nodes=(ip1,ip2,……)3、利用iptables防火墙vi /etc/sysconfig/iptables增加1653-A INPUT -s 172.16.10.1 -i eth0 -p tcp -m tcp --dport 1521 -j ACCEPTwww.zgxue.com防采集请勿采集本网。

一、概述

在sqlnet.ora中增加如下部分 tcp.validnode_checking=yes #允许访问的IP tcp.invited_nodes=(ip1,ip2……) #禁止访问的IP tcp.excluded_nodes=(ip1,ip2……)

本文将给大家介绍如何限制某个ip或某个ip段才能访问Oracle数据库 通过sqlnet.ora 通过/etc/hosts.deny和/etc/hosts.allow 通过iptables

一般来说,这不是数据库的功能。 要使用这功能,你不能够直接登录数据库,而是登录到 应用服务器 ,这之间的协议可以认证MAC或其他 特征码 ,证书什么的。由中间的应用服务器代理数据库。 还有一个简化的方法,把数据库的账号、口令存在ldap里,

一般来说,这不是数据库的功能。 要使用这功能,你不能够直接登录数据库,而是登录到应用服务器,这之间的协议可以认证MAC或其他特征码,证书什么的。由中间的应用服务器代理数据库。 还有一个简化的方法,把数据库的账号、口令存在ldap里,在获

二、正式实验

点击开始,找到oracle目录,配置和移植工具,点击net manager,打开本地左边的+号,打开服务名左面的+号,点击服务名,点击左面绿色的+号 第一步 填写你想给这个连接起的名字 第二部 选tcp/ip 第三部 主机名写你想连接的oracle库所在的ip地址 第

本次实验环境是Centos6.10 + Oracle 11.2.0.4单实例,数据库服务器ip地址为192.168.31.71

可以考虑使用操作系统层面的防火墙(比如Linux的 iptables)限制IP以及访问端口。 或者使用oracle数据库里面的logon ddl触发器实现。

1. 通过sqlnet.ora

a. 关闭数据库服务器上的防火墙,修改sqlnet.ora文件

该文件放在$ORACLE_HOME/network/admin下,如果没有就在该目录下创建一个即可

添加以下两行

tcp.validnode_checking = yestcp.invited_nodes = (192.168.31.71, 192.168.31.77)

这里需要注意的是必须把本机ip地址加进来(不能写成localhost和127.0.0.1),否则监听启动会报错

b. 重启监听,让sqlnet.ora的修改生效

lsnrctl stoplsnrctl start

设置之后就只有这两个ip地址192.168.31.71, 192.168.31.77能访问数据库,其它ip地址访问会报ORA-12547: TNS:lost contact错误

tcp.invited_nodes的意思是开通白名单,不在白名单中的一律拒绝访问,它也可以写成(192.168.31.*, 192.168.31.0/24)等方式,表明这个网段都能访问

另外还有个参数tcp.excluded_nodes,表示黑名单,这里不做介绍,有兴趣的可以自己去做做实验

2. 通过/etc/hosts.deny和/etc/hosts.allow

sqlnet.ora属于数据库层面的限制,但如果一个ip能够使用root或者oracle,ssh到这台数据库服务器的话,那么它依然能够访问数据库。为了避免这种情况,这时就需要通过/etc/hosts.allow和/etc/hosts.deny去限制某个ip或者ip段才能ssh访问数据库服务器

先删除前面实验添加的sqlnet.ora,然后重启监听

lsnrctl stoplsnrctl start

a. 修改/etc/hosts.deny

在文件尾部添加一行

all:all:deny

第一个all表示禁掉所有使用tcp_wrappers库的服务,举例来说就是ssh,telnet等服务

第二个all表示所有网段

b. 修改/etc/hosts.allow

在前面一步中我禁掉所有的网段,所以在这一步中要开通指定的网段

修改/etc/hosts.allow,在文件尾部添加

all:192.168.31.71:allowall:192.168.31.47:allow

格式与hosts.deny一样,第一行表示把本机放开,第二行表示给.47开通白名单

下面用我另外一台机器(即不在allow中的)ssh或telnet连接71这个机器,就会出现如下报错

[oracle@oracle19c1 ~]$ ssh 192.168.31.71ssh_exchange_identification: read: Connection reset by peer[oracle@oracle19c1 ~]$ telnet 192.168.31.71 22Trying 192.168.31.71...Connected to 192.168.31.71.Escape character is '^]'.Connection closed by foreign host.

连数据库却不受影响,因为数据库服务不归hosts.deny和hosts.allow管

[oracle@oracle19c1 ~]$ sqlplus sys/xxxxx@192.168.31.71:1521/orcltest as sysdbaSQL*Plus: Release 19.0.0.0.0 - Production on Sun Aug 16 23:12:49 2020Version 19.3.0.0.0Copyright (c) 1982, 2019, Oracle. All rights reserved.Connected to:Oracle Database 11g Enterprise Edition Release 11.2.0.4.0 - 64bit ProductionWith the Partitioning, OLAP, Data Mining and Real Application Testing options

其中ip地址也可以换成以下的写法

通配符的形式 192.168.31.*表示192.168.31这个网段

网段/掩码 192.168.31.0/255.255.255.0也表示192.168.31这个网段

3. 通过iptables

sqlnet.ora能够限制数据库的访问,/etc/hosts.deny和/etc/hosts.allow能够限制ssh的访问,那有没有办法既能限制数据库的访问,也能限制ssh的访问呢,答案就是linux自带的防火墙功能了。

为了实验,将前面做的修改全部清除。

使用root执行以下命令

service iptables start # 打开防火墙服务iptables -I INPUT -s 192.168.31.0/24 -p tcp --dport 1521 -j ACCEPT # 允许192.168.31网段的ip访问本机1521端口iptables -I INPUT ! -s 192.168.31.0/24 -p tcp --dport 22 -j DROP # 拒绝非192.168.31网段的ip访问本机22端口service iptables save # 规则保存到配置文件/etc/sysconfig/iptables中

这样就同时限制了其它ip对服务器的ssh和数据库访问

一些扩展知识: iptables -L -n --line-numbers # 查看当前系统中的iptables iptables -D INPUT 2 # 删除input链中编号为2的规则,编号数字可以通过上一个命令得到

三、总结

    如果只是限制其它ip对数据库的访问,使用sqlnet.ora 如果要限制其它ip对数据库所在服务器上的ssh连接,使用/etc/hosts.deny和/etc/hosts.allow 前面两个配合起来,基本上就能保证你的数据库安全了。但是如果你对linux的iptables很熟悉,那么直接使用iptables去限制。 使用/etc/hosts.deny和iptables时一定要保证自己的操作机能连到服务器,不然很容易就把自己锁死在外面了。

到此这篇关于限制ip访问Oracle数据库的文章就介绍到这了,更多相关限制ip访问Oracle数据库内容请搜索真格学网以前的文章或继续浏览下面的相关文章希望大家以后多多支持真格学网!

#开启2113ip限制功能tcp.validnode_checking=yes#允许访问数据库的IP地址列5261表,多个4102IP地址使用逗号分开tcp.invited_nodes=(192.168.1.110)#禁止访1653问数据库的IP地址列表,多个IP地址使用逗号分开tcp.excluded_nodes=(192.168.1.111)然后重启监听即可内容来自www.zgxue.com请勿采集。


  • 本文相关:
  • [oracle] 如何使用触发器实现ip限制用户登录
  • 分享oracle sequence跳号总结
  • [oracle] rac 之 - 负载均衡深入解析
  • oracle的数据字典技术简析
  • 在spring中用select last_insert_id()时遇到问题
  • 优化oracle停机时间及数据库恢复
  • oracle中lpad函数的用法详解
  • oracle不同数据库间对比分析脚本
  • oracle分区索引的失效和重建代码示例
  • oracle中三种表连接算法的总结
  • oracle如何直接运行os命令(下)
  • 限制Oracle数据库用户只能从某个ip访问Oracle数据...
  • 如何限定IP访问Oracle数据库
  • 如何禁止特定IP访问Oracle数据库
  • 如何禁止特定IP访问Oracle数据库
  • 如何禁止特定IP访问Oracle数据库
  • 如何设置限制实现访问oracle数据库ip,mac,时间。
  • 如何设置限制实现访问oracle数据库ip,mac,时间。
  • 如何设置特定ip访问oracle
  • 如何限制Oracle数据库里的特殊IP地址登录
  • 怎么通过ip连接oracle数据库
  • 网站首页网页制作脚本下载服务器操作系统网站运营平面设计媒体动画电脑基础硬件教程网络安全mssqlmysqlmariadboracledb2mssql2008mssql2005sqlitepostgresqlmongodbredisaccess数据库文摘数据库其它首页[oracle] 如何使用触发器实现ip限制用户登录分享oracle sequence跳号总结[oracle] rac 之 - 负载均衡深入解析oracle的数据字典技术简析在spring中用select last_insert_id()时遇到问题优化oracle停机时间及数据库恢复oracle中lpad函数的用法详解oracle不同数据库间对比分析脚本oracle分区索引的失效和重建代码示例oracle中三种表连接算法的总结oracle如何直接运行os命令(下)oracle 查看表空间的大小及使用情linux系统(x64)安装oracle11g完oracle数据库下载及安装图文操作oracle存储过程基本语法介绍oracle 10g 安装教程[图文]oracle 如何查询被锁定表及如何解基于ora-12170 tns 连接超时解决oracle数据库tns配置方法详解oracle中to_date详细用法示例(ororacle 创建表空间详细介绍深入oracle字符集的查看与修改详解oracle常见错误代码的分析与解决(一)oracle百分比分析函数ratio_to_report() oracle计算时间差常用函数oracle常见错误代码的分析与解决(二)windows 7下oracle 11g安装图文教程oracle form中commit的概述及使用技巧oracle 低权限数据库账户得到 os 访问权限登录oracle数据库时密码忘记的解决方法excel导入oracle的几种方法
    免责声明 - 关于我们 - 联系我们 - 广告联系 - 友情链接 - 帮助中心 - 频道导航
    Copyright © 2017 www.zgxue.com All Rights Reserved