这篇文章主要介绍了Oracle数据库怎么限制IP访问,具有一定借鉴价值,感兴趣的朋友可以参考下,希望大家阅读完这篇文章之后大有收获,下面让小编带着大家一起了解一下。
本文将会给大家介绍在Oracle数据库该如何限制某个IP访问,或者限定某个IP段才能访问。
通过sqlnet.ora
通过/etc/hosts.deny
和/etc/hosts.allow
通过iptables
本次实验环境是Centos6.10 + Oracle 11.2.0.4
单实例,数据库服务器ip地址为192.168.31.71
a. 关闭数据库服务器上的防火墙,修改sqlnet.ora
文件
该文件放在$ORACLE_HOME/network/admin
下,如果没有就在该目录下创建一个即可
添加以下两行
tcp.validnode_checking = yes tcp.invited_nodes = (192.168.31.71, 192.168.31.77)
这里需要注意的是必须把本机ip
地址加进来(不能写成localhost和127.0.0.1),否则监听启动会报错
b. 重启监听,让sqlnet.ora
的修改生效
lsnrctl stop lsnrctl start
设置之后就只有这两个ip
地址192.168.31.71
, 192.168.31.77
能访问数据库,其它ip
地址访问会报ORA-12547: TNS:lost contact
错误tcp.invited_nodes
的意思是开通白名单,不在白名单中的一律拒绝访问,它也可以写成(192.168.31.*, 192.168.31.0/24)等方式,表明这个网段都能访问
另外还有个参数tcp.excluded_nodes
,表示黑名单,这里不做介绍,有兴趣的可以自己去做做实验
(推荐教程:Oracle教程)
sqlnet.ora
属于数据库层面的限制,但如果一个ip
能够使用root
或者oracle
,ssh
到这台数据库服务器的话,那么它依然能够访问数据库。为了避免这种情况,这时就需要通过/etc/hosts.allow
和/etc/hosts.deny
去限制某个ip
或者ip
段才能ssh
访问数据库服务器
先删除前面实验添加的sqlnet.ora
,然后重启监听
lsnrctl stop lsnrctl start
a. 修改/etc/hosts.deny
在文件尾部添加一行
all:all:deny
第一个all
表示禁掉所有使用tcp_wrappers
库的服务,举例来说就是ssh
,telnet
等服务
第二个all
表示所有网段
b. 修改/etc/hosts.allow
在前面一步中我禁掉所有的网段,所以在这一步中要开通指定的网段
修改/etc/hosts.allow
,在文件尾部添加
all:192.168.31.71:allow all:192.168.31.47:allow
格式与hosts.deny
一样,第一行表示把本机放开,第二行表示给.47
开通白名单
下面用我另外一台机器(即不在allow中的)ssh
或telnet
连接 71 这个机器,就会出现如下报错
[oracle@oracle19c1 ~]$ ssh 192.168.31.71 ssh_exchange_identification: read: Connection reset by peer [oracle@oracle19c1 ~]$ telnet 192.168.31.71 22 Trying 192.168.31.71... Connected to 192.168.31.71. Escape character is '^]'. Connection closed by foreign host.
连数据库却不受影响,因为数据库服务不归hosts.deny
和hosts.allow
管
[oracle@oracle19c1 ~]$ sqlplus sys/xxxxx@192.168.31.71:1521/orcltest as sysdba SQL*Plus: Release 19.0.0.0.0 - Production on Sun Aug 16 23:12:49 2020 Version 19.3.0.0.0 Copyright (c) 1982, 2019, Oracle. All rights reserved. Connected to: Oracle Database 11g Enterprise Edition Release 11.2.0.4.0 - 64bit Production With the Partitioning, OLAP, Data Mining and Real Application Testing options
其中 ip 地址也可以换成以下的写法
通配符的形式 192.168.31.*
表示192.168.31
这个网段
网段/掩码 192.168.31.0/255.255.255.0
也表示192.168.31
这个网段
sqlnet.ora
能够限制数据库的访问,/etc/hosts.deny
和/etc/hosts.allow
能够限制ssh
的访问,那有没有办法既能限制数据库的访问,也能限制ssh
的访问呢,答案就是linux
自带的防火墙功能了。
为了实验,将前面做的修改全部清除。
使用root
执行以下命令
service iptables start # 打开防火墙服务 iptables -I INPUT -s 192.168.31.0/24 -p tcp --dport 1521 -j ACCEPT # 允许192.168.31网段的ip访问本机1521端口 iptables -I INPUT ! -s 192.168.31.0/24 -p tcp --dport 22 -j DROP # 拒绝非192.168.31网段的ip访问本机22端口 service iptables save # 规则保存到配置文件/etc/sysconfig/iptables中
这样就同时限制了其它ip
对服务器的ssh
和数据库访问
一些扩展知识:iptables -L -n --line-numbers #
查看当前系统中的iptables
iptables -D INPUT 2 #
删除input
链中编号为 2 的规则,编号数字可以通过上一个命令得到
感谢你能够认真阅读完这篇文章,希望小编分享的“Oracle数据库怎么限制IP访问”这篇文章对大家有帮助,同时也希望大家多多支持亿速云,关注亿速云行业资讯频道,更多相关知识等着你来学习!
免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。