配置資料庫監聽白名單

一、背景：

2020年伊始，我們的工作中多了一個詞"護網行動"，之前聞所未聞；這是一個從國家層面提出的安全概念，目的是為了保障資訊保安。各個組織機構會定期組織安防演練。我們們資料庫層面為了應對這次安防演練也提出了自己的思想，資料庫白名單策略限制非法裝置對資料庫進行訪問。這是這次配置監聽白名單的整個背景。

二、技術策略：

編輯sqlnet.ora檔案

#開啟ip限制功能

1	tcp.validnode_checking= yes

#允許訪問資料庫的IP地址列表，多個IP地址使用逗號分開

1	tcp.invited_nodes=(192.168.1.5，192.168.1.6，10.10.10.2)

#禁止訪問資料庫的IP地址列表，多個IP地址使用逗號分開

1	tcp.excluded_nodes=(192.168.1.1，10.10.10.1)

注：

1、需要重啟監聽器生效。

2、這個方式只是適合TCP協議，適用於9i以上版本。在9i之前的版本使用檔案protocol.ora。

3、第二行和第三行任寫一行即可，如果tcp.invited_nodes與tcp.excluded_nodes都存在，以tcp.invited_nodes為主。

4、不要禁止伺服器本機的IP地址，否則透過lsnrctl將不能啟動或停止監聽，因為該過程監聽程式會透過本機的IP訪問監聽器。

三、操作步驟

3.1 從監聽日誌中獲取層級訪問的裝置地址：

1 2 3 4 5 6 7

grep  HOST listener.log | awk  -F  'HOST='  '{print $3}'  | awk  '{print  $1}'  | awk  -F  ')'  '{print $1}'  | grep  - v  jdbc| sort | uniq  | wc  -l &&  grep  HOST listener.log | awk  -F  'HOST='  '{print $3}'  | awk  '{print  $1}'  | awk  -F  ')'  '{print $1}'  | grep  - v  jdbc| sort | uniq 5 192.168.1.1 192.168.1.2 192.168.1.3 192.168.1.4 192.168.1.71

3.2 地址格式化

1 2	tr  -s  "\n"  ","  <ip.txt;  echo 192.168.1.1,192.168.1.2,192.168.1.3,192.168.1.4,192.168.1.71

3.3 編輯sqlnet.ora

1 2 3

[oracle@TestDB /u01/app/oracle/product/11 .2.0 /db_1/network/admin ]$ cat  sqlnet.ora  tcp.validnode_checking= yes tcp.invited_nodes=(192.168.1.1,192.168.1.2,192.168.1.3,192.168.1.4,192.168.1.71)

3.4 關閉監聽

1 2 3 4 5

[oracle@TestDB /u01/app/oracle/product/11 .2.0 /db_1/network/admin ]$lsnrctl stop LSNRCTL  for  Linux: Version 11.2.0.4.0 - Production on 28-JUL-2020 19:30:20 Copyright (c) 1991, 2013, Oracle.  All rights reserved. Connecting to (DESCRIPTION=(ADDRESS=(PROTOCOL=TCP)(HOST=TestDB)(PORT=1521))) The  command  completed successfully

3.5 重新啟動監聽

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26

[oracle@TestDB /u01/app/oracle/product/11 .2.0 /db_1/network/admin ]$lsnrctl start LSNRCTL  for  Linux: Version 11.2.0.4.0 - Production on 28-JUL-2020 19:30:25 Copyright (c) 1991, 2013, Oracle.  All rights reserved. Starting  /u01/app/oracle/product/11 .2.0 /db_1/bin/tnslsnr : please wait... TNSLSNR  for  Linux: Version 11.2.0.4.0 - Production System parameter  file  is  /u01/app/oracle/product/11 .2.0 /db_1/network/admin/listener .ora Log messages written to  /u01/app/oracle/diag/tnslsnr/TestDB/listener/alert/log .xml Listening on: (DESCRIPTION=(ADDRESS=(PROTOCOL=tcp)(HOST=TestDB)(PORT=1521))) Listening on: (DESCRIPTION=(ADDRESS=(PROTOCOL=ipc)(KEY=EXTPROC1521))) Connecting to (DESCRIPTION=(ADDRESS=(PROTOCOL=TCP)(HOST=TestDB)(PORT=1521))) STATUS of the LISTENER ------------------------ Alias                     LISTENER Version                   TNSLSNR  for  Linux: Version 11.2.0.4.0 - Production Start Date                28-JUL-2020 19:30:25 Uptime                    0 days 0 hr. 0 min. 0 sec Trace Level               off Security                  ON: Local OS Authentication SNMP                      OFF Listener Parameter File    /u01/app/oracle/product/11 .2.0 /db_1/network/admin/listener .ora Listener Log File          /u01/app/oracle/diag/tnslsnr/TestDB/listener/alert/log .xml Listening Endpoints Summary...    (DESCRIPTION=(ADDRESS=(PROTOCOL=tcp)(HOST=TestDB)(PORT=1521)))    (DESCRIPTION=(ADDRESS=(PROTOCOL=ipc)(KEY=EXTPROC1521))) The listener supports no services The  command  completed successfully

3.6 手工註冊監聽

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31

[oracle@TestDB /u01/app/oracle/product/11 .2.0 /db_1/network/admin ]$sqlplus / as sysdba SQL*Plus: Release 11.2.0.4.0 Production on Tue Jul 28 19:30:29 2020 Copyright (c) 1982, 2013, Oracle.  All rights reserved. Connected to: Oracle Database 11g Enterprise Edition Release 11.2.0.4.0 - 64bit Production With the Partitioning, OLAP, Data Mining and Real Application Testing options SQL> alter system register; System altered. SQL> !lsnrctl status LSNRCTL  for  Linux: Version 11.2.0.4.0 - Production on 28-JUL-2020 19:30:36 Copyright (c) 1991, 2013, Oracle.  All rights reserved. Connecting to (DESCRIPTION=(ADDRESS=(PROTOCOL=TCP)(HOST=TestDB)(PORT=1521))) STATUS of the LISTENER ------------------------ Alias                     LISTENER Version                   TNSLSNR  for  Linux: Version 11.2.0.4.0 - Production Start Date                28-JUL-2020 19:30:25 Uptime                    0 days 0 hr. 0 min. 11 sec Trace Level               off Security                  ON: Local OS Authentication SNMP                      OFF Listener Parameter File    /u01/app/oracle/product/11 .2.0 /db_1/network/admin/listener .ora Listener Log File          /u01/app/oracle/diag/tnslsnr/TestDB/listener/alert/log .xml Listening Endpoints Summary...    (DESCRIPTION=(ADDRESS=(PROTOCOL=tcp)(HOST=TestDB)(PORT=1521)))    (DESCRIPTION=(ADDRESS=(PROTOCOL=ipc)(KEY=EXTPROC1521))) Services Summary... Service  "ORCL"  has 1 instance(s).    Instance  "ORCL1" , status READY, has 1 handler(s)  for  this service... Service  "ORCL1XDB"  has 1 instance(s). The  command  completed successfully

原文連結：http://blog.itpub.net/20674423/viewspace-2707617/