Oracle10G 預設安裝應注意的問題

Oracle 10g資料庫預設安裝應該注意的問題：

　　1.Oracle 10g 的FLASH_RECOVERY_AREA 預設空間為2G，這個沒有做好定時備份歸檔日誌，刪除歸檔日誌的方案，很容易出問題。這個出問題已經有好幾次了。當剛安裝好資料庫，大量的imp資料時， 不斷產生歸檔日誌，兩小時就可以佔滿2G的空間，就妨礙匯入資料。

　　2、Oracle 10g的預設redo日誌檔案有三組，每組只有一個檔案，每個檔案的預設大小為50M，有的為100M，但還是比較小。大量資料匯入資料庫時，日誌切換過 快，則會導致檢查點不能完成。在alert_log日誌發現如下的錯誤。這就需要增加redo的大小。最好安裝前可以每個redo組有兩個成員檔案，兩個 成員檔案位於不同的磁碟。可以把成員檔案的大小設定比較大比如500M，這樣日誌切換就比較長點時間了。

Thread 1 cannot allocate new log, sequence 77 　　Checkpoint not complete 　　Current log# 1 seq# 76 mem# 0: F:ORACLEPRODUCT10.2.0 　　ORADATAXBOMSREDO01.LOG 　　Thread 1 advanced to log sequence 77 　　Current log# 3 seq# 77 mem# 0: F:ORACLEPRODUCT10.2.0 　　ORADATAXBOMSREDO03.LOG

　　檢視redo的檔案位置：

　　SQL>select * from v$logfile;

　　增加redo組：blog

SQL> alter database add logfile 'F:ORACLEPRODUCT10.2.0 　　ORADATAXBOMSREDO04.LOG' size 300M; 　　SQL> alter database add logfile 'F:ORACLEPRODUCT10.2.0 　　ORADATAXBOMSREDO05.LOG' size 300M; 　　SQL> alter database add logfile 'F:ORACLEPRODUCT10.2.0 　　ORADATAXBOMSREDO06.LOG' size 300M;

　　檢視日誌組如果不是當前的、活動的，則可以刪除：

SQL> select * from v$log; 　　SQL> alter system switch logfile; 　　SQL> alter database drop logfile group 1;

    怎麼保護監聽器？

    既然監聽器有這麼多可供黑客利用的地方，那有沒有什麼方法來保護它，辦法是有的，而且還很多，總結起來，大概有下面11種方法來保護Oracle監聽器：

    1、 裝置監聽器密碼

    通過設定監聽器密碼可以阻止大部分的菜鳥黑客的進攻，設定密碼有兩種方法，一種是通過lsnrctl命令來設定，另一種是直接修改 listener.ora檔案，第一種方法設定的密碼是經過加密後儲存在listener.ora中，而第二種方法是以明文的形式放在 listener.ora中的，所以推薦使用第一種方式。具體命令如下：

LSNRCTL> set current_listener LSNRCTL> change_password old password: New password: Reenter new password: LSNRCTL> set password Password: LSNRCTL> save_config

    設定好密碼後，開啟listener.ora，看是否有一條PASSWORDS_的記錄，類似於PASSWORDS_LISTENER = F4BAA4A006C26134.為監聽器設定了密碼後，必須到客戶端重新配置連線。

    2、 開啟監聽器日誌

    開啟監聽器日誌功能是為了捕獲監聽器命令和防止密碼被暴力破解。開啟監聽器日誌功能的命令為：

LSNRCTL> set current_listener LSNRCTL> set password Password: LSNRCTL> set log_directory /network/admin LSNRCTL> set log_file .log LSNRCTL> set log_status on LSNRCTL> save_config

    通過執行上面的命令，監聽器將會在/network/admin目錄下建立一個.log日誌檔案，以後可以開啟該檔案檢視一些常見的ORA-錯誤資訊。

    3、 在listener.ora中設定ADMIN_RESTRICTIONS

    在listener.ora檔案中設定了ADMIN_RESTRICTIONS引數後，當監聽器在執行時，不允許執行任何管理任何，屆時，set命令將不可用，不論是在伺服器本 地還是從遠端執行都不行，這時如果要修改監聽器設定就只有手工修改listener.ora檔案了，通過手工修改listener.ora，要使修改生 效，只能使用lsnrctl reload命令或lsnrctl stop/start命令重新載入一次監聽器配置資訊。在listener.ora檔案中手動加入下面這樣一行：

ADMIN_RESTRICTIONS_ = ON

    4、 打上最新的監聽器補丁

    這一點就與作業系統類似，資料庫也有bug，也有漏洞，黑客會在漏洞發現第一時間掃描未打補丁的伺服器，所以作為一個稱職的DBA要隨時關注Oracle的CPU（呵呵，不是處理器， 是關鍵補丁升級的意思），這裡要說明的是Oracle的補丁是自動累加的，就像windows xp sp2的內容包括了sp1的所有內容一樣，所以只需要按照最新的補丁集就可以了，還有一點要注意的是在生產系統上應用任何補丁前都需要先在測試環境進行測 試，保證升級後不影響正常業務才進行升級。最後要說明的是，只有購買了Oracle的正式許可才可以登陸下載補丁，否則就只有從第三方地址下載，其完整性就不能保證了。

    5、 利用防火牆阻止SQL*NET

    除非的確需要，否則不應該讓SQL*NET通訊通過防火牆，在設計防火牆規則時，應設計為只允許經過認證的Web伺服器和應用程式通過防火牆進行 SQL*NET通訊。而且放在防火牆DMZ區域的應用伺服器使用SQL*NET通訊時，應只允許它與特定的資料庫伺服器進行通訊。

    通常很少有應用會從Internet直接訪問資料庫，因為這種方式的延遲非常明顯，通用的做法是配置應用伺服器與資料庫通訊，Internet客戶端通過瀏覽器訪問應用伺服器即可，這時配置防火牆時也只需設定應用伺服器和資料庫伺服器之間的通訊規則即可。

    6、 保護$TNS_ADMIN目錄

    $TNS_ADMIN目錄即我們通常看到的ORACLE_HOME/network/admin目錄，它下面包含有 listener.ora，tnsnames.ora，sqlnet.ora，protocol.ora等重要配置檔案，前面已經提到，監聽器的密碼就是 儲存在listener.ora中的，如果不保護好，可能造成密碼洩露，或整個檔案被修改，這個目錄下的 listener.ora，sqlnet.ora，protocol.ora檔案應該只開放給Oracle主賬戶（通常是oracle或 Administrator），而其他賬戶不能有任何許可權，tnsnames.ora檔案在Linux或Unix系統上許可權可以設定為0644，在 windows上可以設定其他使用者為瀏覽，讀取許可權。

    7、 保護TNSLSNR和LSNRCTL

    在Linux或Unix伺服器上，應該將這兩個檔案的許可權設為0751，如果想更嚴格一點，可以設為0700，這樣就只有安裝oracle時指定的宿主用 戶可以執行它們了，這兩個檔案位於ORACLE_HOME/bin目錄下。保護這兩個檔案的目的是為了防止黑客直接破壞它們，如果tnslsnr被破壞， 監聽器肯定不能啟動，如果lsnrctl被破壞，可能植入惡意程式碼，在執行lsnrctl時就會執行其它黑客行為。

    8、 移除不用的服務

    預設安裝時，會安裝一個PL/SQL外部程式（ExtProc）條目在listener.ora中，它的名字通常是ExtProc或 PLSExtProc，但一般不會使用它，可以直接從listener.ora中將這項移除，因為對ExtProc已經有多種攻擊手段了。有時可能會在多 個例項之間拷貝listener.ora，請檢查拷貝來的檔案中是否含有不需要的服務，確保只留下的確需要的服務專案，減少監聽器受攻擊的面。

    9、 改變預設的TNS埠號

    改變監聽器監聽的埠號與修改ftp伺服器預設的21埠，web伺服器的80埠類似，因為Oracle預設的監聽埠是1521（Oracle還正式 註冊了兩個新的埠號2483和2484，說不定哪個新版本釋出後，可能預設的埠號就會是這兩個了，其中2484用於SSL型別的連線），幾乎所有的掃 描器都可以直接掃描這個埠是否開啟，如果設定為一個不常用的埠號，可能會給人一種假象，而且即使掃描到埠開啟，也還要猜測該埠執行是究竟是什麼服 務，攻擊難度就加大了。在修改埠的時候也不要設在1521-1550和1600-1699範圍內，雖然通過修改預設埠並不算什麼高階防護技術，但至少 可以防止自動攻擊，以及在埠1521上的簡單掃描。

    可直接編輯listener.ora中埠號，也可以通過netca程式進行修改，當然在客戶端也要做對應的修改才行。同時要設定初始化引數LOCAL_LISTENER，這樣在監聽埠發生變化後，資料庫才會自動進行監聽器重新註冊。

    10、 設定節點驗證

    根據應用程式和網路配 置情況，採用節點驗證對於保護監聽器是一種強有力的方法，大部分Web應用程式都只需要從應用伺服器訪問監聽器，以及一臺管理客戶端，對於Oracle 8/8i，在$ORACLE_HOME/network/admin/protocol.ora檔案中新增節點檢查語句，對於Oracle 9i/10g，在$ORACLE_HOME/network/admin/sqlnet.ora檔案中新增節點檢查語句，語句的格式都一樣，如：

tcp.validnode_checking = yes tcp.invited_nodes = ( x.x.x.x | name, x.x.x.x | name) tcp.excluded_nodes=( x.x.x.x | name, x.x.x.x | name)

    注意：這裡要麼使用invited_nodes語句，要麼使用excluded_nodes，不能同時都使用，也不能使用萬用字元，子網等，只能使用明確的 ip地址或主機名。這裡的x.x.x.x指的就是如192.168.1.100這樣的ip地址，name就是主機名，如果有多個ip地址或主機名，使用逗 號進行分隔。

    設定了節點驗證後，監聽器需要重新啟動才會生效。使用這種方法進行節點驗證會消耗一定的系統資源和網路頻寬，如果要驗證的地址過多，靠手工新增也很麻煩， 這時可以使用Oracle Connection Manager，如果是有許多客戶端通過SQL*NET訪問資料庫，使用這種節點驗證的方法也不可行，那會相當的慢。

    11、 監視日誌

    在前面的方法中開啟了監聽器日誌功能，在產生了日誌資訊後，要對其進行分析，常見的可在日誌檔案中查詢是否有TNS-01169，TNS- 01189，TNS-01190或TNS-12508錯誤，如果有這些錯誤，至少可以說明要麼有人攻擊，要麼有異常活動，進一步可以使用shell基本或 一些簡單的管理工具將這些有用的日誌資訊定期傳送給DBA，實現實時監控效果。

    下面是對前面提到的幾個常見錯誤的描述：

    小結

    通過上面這11種方法對Oracle監聽器進行保護後，想要通過監聽器進行破壞活動基本上就很困難了，不能保證100%攔截攻擊，也至少有99%的效果， 另外那1%可能就是DBA本身犯的一些低階錯誤了，如不小心將監聽器密碼洩露給他人，或將配置資訊暴露在Internet上。

來自 “ ITPUB部落格 ” ，連結：http://blog.itpub.net/15688952/viewspace-661723/，如需轉載，請註明出處，否則將追究法律責任。