转自http://www.cublog.cn/u/16889/showart_1097899.html
oracle 的监听机制 是外部应用程序连接oracle的入口。用oracle提供的lsnrctl 程序进行管理。一般很多人在管理oracle的时候,往往忽略对listener 的安全管理:监听在端口1521(默认端口)上的oracle tnslsnr未设置口令保护!
这会存在这个安全隐患:远程的Oracle tnslsnr服务器没有被设置密码,一个攻击者可以利用这个问题随意关闭oracle tnslsnr服务器或者设置新的口令,这将影响合法用户的正常使用。攻击者也可以获取数据库的一些细节信息以发动进一步攻击。结合其他漏洞,攻击者甚至可以在目标系统上创建或者修改文件,进而入侵系统。
这里对关于oracle监听模块密码安全设置的几个方法进行说明:
1. 如何进行远程操作:
在远程机器上修改listerner.ora 文件,增加对异地oracle服务器的配置,例如:
ls_oratest =
(DESCRIPTION_LIST =
(DESCRIPTION =
(ADDRESS = (PROTOCOL = IPC)(KEY = EXTPROC_FOR_XE))
(ADDRESS = (PROTOCOL = TCP)(HOST = 192.168.1.10)(PORT = 1521))
)
)
这里的HOST = 192.168.1.10 即是指明远程的oracle服务器。如果默认的,oracle服务器上没有设置
listener 的管理密码,则在远程机器上只要执行:
lsnrctl stop ls_oratest
即可停止192.168.1.10 服务器上的监听服务。
2.如何修改密码:
listener的密码策略对start无效,目的是防止恶意stop(start ,如果有在运行,则不成功,所以也就不需要保护了)
修改密码方法如下:
打开命令提示符窗口,输入lsnrctl进入lsnrctl监听器管理窗口:
LSNRCTL> set current_listener listener
目前的监听器为 listener
LSNRCTL> change_password
Old password:<输入旧密码,没有的话直接回车>
New password:<输入新的密码>
Reenter new password:<再次输入新密码>
正在连接到 (DESCRIPTION=(ADDRESS=(PROTOCOL=TCP)(HOST=192.168.1.10)(PORT=1521)))
LISTENER的口令已更改
命令执行成功
LSNRCTL> set password
Password:<再输一次新密码>
命令执行成功
LSNRCTL> save_config
正在连接到 (DESCRIPTION=(ADDRESS=(PROTOCOL=TCP)(HOST=xqing)(PORT=1521)))
保存的LISTENER配置参数。
监听器参数文件 D:\oracle\network\admin\listener.ora
旧的参数文件D:\oracle\network\admin\listener.bak
命令执行成功
LSNRCTL>exit
说明:
a.执行save_config 需要再执行一次 set password 提供新密码,是因为在lsnrctl 管理工具中,是通过 set password 命令来设置当前环境的密码。设置了正确的密码后,就可以执行一些重要的操作,如save_config, stop 等。
b 设置密码后,密码记录在listerner.ora 文件 中,
比如:
#----ADDED BY TNSLSNR 18-2月 -2011 16:16:25---
PASSWORDS_LISTENER = 9EDA43949D6C51A1
#---------------------------------------------
形式为:PASSWORDS_监听名称 = 密码密文。如果忘记密码,可以去掉该行,则密码为空。
c.设置了密码后,远程机器如果需要stop监听的时候,则需要提供密码,否则操作失败。
3.如何管理设置密码后的监听进程:
a.如果是人工交互的操作,则只需在执行操作前面键入两个命令:
lsnrct<
set current_listener listener_oratest <-- 设置当前监听器的配置名称
set password
Password: <输入口令>
stop
b.如果是脚本自动执行,则需要提供密码的密文(由isterner.ora 文件获得)
#!/bin/sh
lsnrctl << eof
set current_listener listener_oratest
set password AF15F0B512F2229A
stop
eof
分享到:
相关推荐
主要介绍了Oracle监听口令及监听器安全的解决方法,需要的朋友可以参考下
第1章Oracle的安装卸载与使用环境,主要包括Oracle安装环境及方法,安装后的基本环境及服务,Oracle卸载,还包括验证数据库的安装,系统临时空间不足、监听服务无法启动以及Oracle默认帐户/口令等问题的精讲。...
监听配置文件 listener.ora 的存放路径为 $ORACLE_HOME/network/admin 以下是一个示例 LISTENER = #监听器名称 (DESCRIPTION_LIST = (DESCRIPTION = (ADDRESS_LIST = (ADDRESS = (PROTOCOL ...
监听器lsnrctl:提供数据库访问,默认端口1521 启动器dbstart、dushut:启动、停止数据库实例 控制器emctl:开启、关闭OEM平台,默认端口1158 [oracle@dbserver ~]$ lsnrctl status [oracle@dbserver ~]$ emctl ...
第1章Oracle的安装卸载与使用环境,主要包括Oracle安装环境及方法,安装后的基本环境及服务,Oracle卸载,还包括验证数据库的安装,系统临时空间不足、监听服务无法启动以及Oracle默认帐户/口令等问题的精讲。...
13.1.4 Oracle8i中的监听程序 368 13.2 使用Net8 Configuration Assistant 369 13.2.1 配置监听程序 370 13.2.2 命名方法配置 371 13.2.3 本地网络服务名的配置 374 13.2.4 目录服务配置 374 13.3 使用...
Oracle Database 10 g :“g”代表网格 1-6 Oracle 数据库体系结构 1-8 数据库结构 1-9 Oracle 内存结构 1-10 进程结构 1-12 Oracle 实例管理 1-13 服务器进程和数据库缓冲区高速缓存 1-14 物理数据库结构 1-...
监听器口令 9 1.1.1.15. 监听服务连接超时 9 1.1.1.16. 监听器管理限制 10 1.1.1.17. 禁止远程操作系统认证 10 1.1.1.18. IP访问限制 10 1.1.2. Windows版本 11 1.1.2.1. 数据库主机管理员帐号 11 1.1.2.2. 删除...
Oracle数据库基础 任务一 1、修改上机的计算机上的文件: product\11.1.0\db_1\NETWORK\ADMIN\tnsnames.ora product\11.1.0\db_1\NETWORK\ADMIN\listener.ora 把文件中的HOST后面的名称更改为...
chown -R oracle:oinstall /u01/app/oracle/product/11.2.0/db_1 chmod -R 775 /u01/app/oracle/product/11.2.0/db_1 mkdir –p /u01/software chmod -R 775 /u01 iscsi共享存储规划 (分为server端和client端,...
Oracle9i初始化参数中文说明 Blank_trimming: 说明: 如果值为TRUE, 即使源长度比目标长度 (SQL92 兼容) 更长, 也允许分配数据。 值范围: TRUE | FALSE 默认值: FALSE serializable: 说明: 确定查询是否获取表级...