|
3、 正在listener.ora中设置ADMIN_RESTRICTIONS 9、 改动默许的TNS端标语 小结 8、 移除不消的办事 6、 $TNS_ADMIN目次 5、 使用防火墙SQLNET 正在listener.ora文件中设置了ADMIN_RESTRICTIONS参数后,当正在运转时,不准可履行任何办理任何,届时,set号令将弗成用,不管是正在办事器当地仍是从长途履行都不可,那时候若是要点窜设置就只要脚工点窜listener.ora文件了,经过脚工点窜listener.ora,要使点窜生效,只能利用lsnrctl reload号令或lsnrctl stop/start号令从头载进一次设置装备摆设信息。正在listener.ora文件中脚动参加下里如许一行: 下里是对前里提到的几个常睹毛病的描写: 经过运转的号令,将会正在ORACLE_HOME/network/admin目次下建立一个sid.log日记文件,今后可以挨开该文件查看一些常睹的ORA-毛病信息。 改动的端标语与点窜ftp办事器默许的21端心,web办事器的80端心相似,由于Oracle默许的端心是1521(Oracle还正式注册了两个新的端标语2483和2484,说不定哪个新版本收布后,大概默许的端标语就会是那两个了,此中2484用于SSL类型的毗连),险些所有的扫描器都可以直接扫描那个端心是不是挨开,若是设置为一个不经常使用的端标语,大概会给人一种,并且纵然扫描到端心挨开,也还要猜想该端心运转是事真是甚么办事,难度就加年夜了。正在点窜端心的时间也不要设正在1521-1550和1600-1699规模内,固然经过点窜默许端心其真不算甚么高级防护手艺,但最少可以避免主动,和正在端心1521上的简单扫描。 除非简直需要,不然不该当让SQLNET通信经过防火墙,正在设计防火墙法则时,应设计为只许可颠末认证的Web办事器和利用法式经过防火墙停止SQLNET通讯。并且放正在防火墙DMZ地区的利用办事器利用SQLNET通讯时,应只许可它与特定的数据库办事器停止通讯。 注重:那里要末利用invited_nodes语句,要末利用excluded_nodes,不克不及同时都利用,也不克不及利用通配符,子网等,只能利用明白的ip地点或主机名。那里的x.x.x.x指的就是如192.168.1.100如许的ip地点,name就是主机名,若是有多个ip地点或主机名,利用逗号停止分隔。 默许安拆时,会安拆一个PL/SQL内部法式(ExtProc)条目正在listener.ora中,它的名字凡是是是ExtProc或PLSExtProc,但普通不会利用它,可以直接从listener.ora中将那项移除,由于对ExtProc已有多种脚腕了。有时大概会正在多个真例之间拷贝listener.ora,请查抄拷贝来的文件中是不是露有不需要的办事,确保只留下简直需要的办事项目,削减受的里。 11、 日记 设置了节点考证后,需要从头启动才会生效。利用那类圆式停止节点考证会消费必定的系统资本和收集带宽,若是要考证的地点过量,靠脚工添加也很贫苦,那时候可以利用Oracle Connection Manager,若是是有很多客户端经过SQLNET拜候数据库,利用那类节点考证的圆式也弗成行,那会相当的缓。 $TNS_ADMIN目次即我们凡是是看到的ORACLE_HOME/network/admin目次,它下里包罗有listener.ora,tnsnames.ora,sqlnet.ora,protocol.ora等主要设置装备摆设文件,前里已提到,的暗码就是保留正在listener.ora中的,若是欠好,大概造成暗码保守,或全部文件被点窜,那个目次下的listener.ora,sqlnet.ora,protocol.ora文件应当只给Oracle主账户(凡是是是oracle或Administrator),而其他账户不克不及有任何权限,tnsnames.orphysicaladdrOracle10GPhysicalStandbyDatabase笔记a文件正在Linux或Unix系统上权限可以设置为0644,正在windows上可以设置其他用户为阅读,读取权限。 7、 TNSLSNR和LSNRCTL 2、 日记 10、 设置节点考证 那一点就与操作系统相似,数据库也有bug,也有缝隙,黑客会正在缝隙收现第一工夫扫描未挨补钉的办事器,所以作为一个称职的DBA要随时存眷Oracle的(呵呵,不是处置器,是闭头补钉进级的意义),那里要申明的是Oracle的补钉是主动累加的,就像windows xp sp2的内容包罗了sp1的所有内容一样,所以只需要依照最新的补钉集便可以了,还有一点要注重的是正在出产系统上利用任何补钉前都需要先正在测试停止测试,进级后不影响正常营业才停止进级。最后要申明的是,只要购置了Oracle的正式许可才可以登岸下载补钉,不然就只要从第三圆地点下载,其完备性就不克不及了。 经过那11种圆式对Oracle停止后,想要经过停止勾当根本上就很坚苦了,不克不及100%阻挡,也最少有99%的结果,别的那1%大概就是DBA自己犯的一些初级毛病了,如不谨慎将暗码保守给他人,或将设置装备摆设信息正在Internet上。 凡是是很少有益用会从Internet直接拜候数据库,由于那类体例的延早十分明隐,通用的做法是设置装备摆设利用办事器与数据库通讯,Internet客户端经过阅读器拜候利用办事器便可,那时候设置装备摆设防火墙时也只需设置利用办事器和数据库办事器之间的通讯法则便可。 按照利用法式和收集设置装备摆设环境,采取节点考证对果而一种强有力的圆式,年夜部门Web利用法式都只需要从利用办事器拜候,和一台办理客户端,对Oracle 8/8i,正在$ORACLE_HOME/network/admin/protocol.ora文件中添加节点查抄语句,对Oracle 9i/10g,正在$ORACLE_HOME/network/admin/sqlnet.ora文件中添加节点查抄语句,语句的花式都一样,如: 设置好暗码后,挨开listener.ora,看是不是有一条PASSWORDS_名的记真,相似于PASSWORDS_LISTENER = F4BAA4A006C.为设置了暗码后,必需到客户端从头设置装备摆设毗连。 日记功效是为了捕捉号令和避免暗码被破解。日记功效的号令为: 4、 挨上最新的补钉 正在前里的圆式中了日记功效,正在收生了日记信息后,要对其停止剖析,常睹的可正在日记文件中查找是不是有TNS-01169,TNS-01189,TNS-01190或TNS-毛病,若是有那些毛病,最少可以申明要末有人,要末有非常勾当,进一步可以利用shell根本或一些简单的办理对象将那些有效的日记信息按期收送给DBA,真现及时结果。 可直接编纂listener.ora中端标语,也能够经过netca法式停止点窜,固然正在客户端也要做对应的点窜才行。同时要设置初初化参数LOCAL_LISTENER,如许正在端心产生变革后,数据库才会主动停止从头注册。 正在Linux或Unix办事器上,应当将那两个文件的权限设为0751,若是想更严酷一点,可以设为0700,如许就只要安拆oracle时指定的宿主用户可以履行它们了,那两个文件位于ORACLE_HOME/bin目次下。那两个文件的目标是为了避免黑客直接它们,若是tnslsnr被,必定不克不及启动,若是lsnrctl被,大概植进歹意代码,正在运转lsnrctl时就会履行其它黑客行动。
|
