資料庫伺服器安全加固之禁用22或3389埠

資料庫伺服器安全加固之禁用22或3389埠

導讀： 資料安全逐漸被企業重視，資料安全加固也逐步成為公司內部提高安全的一項重要工作。 有一些業務系統應用與DB是在同一個網段，只要駭客進入其中一臺伺服器，就可以跳轉到同網段各個伺服器。 為了防止跳板風險的發生，我們可以禁用22或3389，但是我們又不能完全禁用，否則日常運維就必須去機房使用管理口進行維護了。 這種情況我們可以安裝防毒軟體，使用 白名單的形式禁用22或3389埠，這樣即能防止跳板風險，又能正常維護。

經評估結論：

Oracle RAC可安裝防毒軟體並禁用22或3389埠

Mysql MHA可安裝防毒軟體，但不能禁用22埠

Oracle RAC節點間不能禁用多播功能

原因：RAC啟動時透過mdns程式透過多播發現叢集中所有網路卡和節點

MySQL複製節點間不能禁用openssl或SSL服務

原因：slave連線master若使用cache_sha2_password身份認證則要求客戶端提供SSL或者具有源的公鑰副本

MySQL MHA不能禁用22埠

原因：MHA需要透過22埠進行日誌補全操作。

參考：
--Mysql MHA參考
Replication Not Working in MySQL 8.0. The I/O Thread Cannot Connect, Fails With Error 2061 (Doc ID 2423671.1)
11gR2 叢集管理軟體（GI） 啟動順序和診斷方法簡介
https://blogs.oracle.com/database4cn/post/11gr2-gi