RHEL4 Oracle監(jiān)聽器會有很多地方可供黑客利用，所以針對RHEL4 Oracle的保護(hù)措施就會有很多，下面我們就來一一介紹這11種保護(hù)RHEL4 Oracle監(jiān)聽器的方法。

1。RHEL4 Oracle監(jiān)聽器設(shè)置密碼

通過設(shè)置監(jiān)聽器密碼可以阻止大部分的菜鳥黑客的進(jìn)攻，設(shè)置密碼有兩種方法，一種是通過lsnrctl命令來設(shè)置，另一種是直接修改listener.ora文件，第一種方法設(shè)置的密碼是經(jīng)過加密后存儲在listener.ora中，而第二種方法是以明文的形式放在listener.ora中的，所以推薦使用第一種方式。具體命令如下：
LSNRCTL> set current_listener <監(jiān)聽器名>
LSNRCTL> change_password
old password: <如果之前沒有設(shè)置密碼就直接按回車>
New password: <輸入新密碼>
Reenter new password: <再次輸入新密碼>
LSNRCTL> set password Password: <輸入剛剛設(shè)置的新密碼>
LSNRCTL> save_config

設(shè)置好密碼后，打開listener.ora，看是否有一條PASSWORDS_<監(jiān)聽器名>的記錄，類似于PASSWORDS_LISTENER = F4BAA4A006C26134.為監(jiān)聽器設(shè)置了密碼后，必須到客戶端重新配置連接。

2.RHEL4 Oracle監(jiān)聽器開啟日志

開啟監(jiān)聽器日志功能是為了捕獲監(jiān)聽器命令和防止密碼被暴力破解。開啟監(jiān)聽器日志功能的命令為：
LSNRCTL> set current_listener <監(jiān)聽器名>
LSNRCTL> set password Password: <輸入監(jiān)聽器密碼>
LSNRCTL> set log_directory /network/admin
LSNRCTL> set log_file .log
LSNRCTL> set log_status on
LSNRCTL> save_config

通過運(yùn)行上面的命令，監(jiān)聽器將會在/network/admin目錄下創(chuàng)建一個(gè).log日志文件，以后可以打開該文件查看一些常見的ORA-錯(cuò)誤信息。

3.RHEL4 Oracle監(jiān)聽器在listener.ora中設(shè)置ADMIN_RESTRICTIONS

在listener.ora文件中設(shè)置了ADMIN_RESTRICTIONS參數(shù)后，當(dāng)監(jiān)聽器在運(yùn)行時(shí)，不允許執(zhí)行任何管理任何，屆時(shí)，set命令將不可用，不論是在服務(wù)器本地還是從遠(yuǎn)程執(zhí)行都不行，這時(shí)如果要修改監(jiān)聽器設(shè)置就只有手工修改listener.ora文件了，通過手工修改listener.ora，要使修改生效，只能使用lsnrctl reload命令或lsnrctl stop/start命令重新載入一次監(jiān)聽器配置信息。在listener.ora文件中手動加入下面這樣一行：ADMIN_RESTRICTIONS_<監(jiān)聽器名> = ON

4.RHEL4 Oracle打上最新的監(jiān)聽器補(bǔ)丁

這一點(diǎn)就與操作系統(tǒng)類似，數(shù)據(jù)庫也有bug，也有漏洞，黑客會在漏洞發(fā)現(xiàn)第一時(shí)間掃描未打補(bǔ)丁的服務(wù)器，所以作為一個(gè)稱職的DBA要隨時(shí)關(guān)注Oracle的CPU(呵呵，不是處理器，是關(guān)鍵補(bǔ)丁升級的意思)，這里要說明的是Oracle監(jiān)聽器的補(bǔ)丁是自動累加的，就像windows xp sp2的內(nèi)容包括了sp1的所有內(nèi)容一樣，所以只需要按照最新的補(bǔ)丁集就可以了，還有一點(diǎn)要注意的是在生產(chǎn)系統(tǒng)上應(yīng)用任何補(bǔ)丁前都需要先在測試環(huán)境進(jìn)行測試，保證升級后不影響正常業(yè)務(wù)才進(jìn)行升級。最后要說明的是，只有購買了Oracle的正式許可才可以登陸下載補(bǔ)丁，否則就只有從第三方地址下載，其完整性就不能保證了。

5.RHEL4 Oracle監(jiān)聽器利用防火墻阻止SQL*NET

除非的確需要，否則不應(yīng)該讓SQL*NET通訊通過防火墻，在設(shè)計(jì)防火墻規(guī)則時(shí)，應(yīng)設(shè)計(jì)為只允許經(jīng)過認(rèn)證的Web服務(wù)器和應(yīng)用程序通過防火墻進(jìn)行SQL*NET通信。而且放在防火墻DMZ區(qū)域的應(yīng)用服務(wù)器使用SQL*NET通信時(shí)，應(yīng)只允許它與特定的數(shù)據(jù)庫服務(wù)器進(jìn)行通信。

通常很少有應(yīng)用會從Internet直接訪問數(shù)據(jù)庫，因?yàn)檫@種方式的延遲非常明顯，通用的做法是配置應(yīng)用服務(wù)器與數(shù)據(jù)庫通信，Internet客戶端通過瀏覽器訪問應(yīng)用服務(wù)器即可，這時(shí)配置防火墻時(shí)也只需設(shè)置應(yīng)用服務(wù)器和數(shù)據(jù)庫服務(wù)器之間的通信規(guī)則即可。#p#

6.保護(hù)$TNS_ADMIN目錄

$TNS_ADMIN目錄即我們通常看到的ORACLE_HOME/network/admin目錄，它下面包含有l(wèi)istener.ora，tnsnames.ora，sqlnet.ora，protocol.ora等重要配置文件，前面已經(jīng)提到，監(jiān)聽器的密碼就是保存在listener.ora中的，如果不保護(hù)好，可能造成密碼泄露，或整個(gè)文件被修改，這個(gè)目錄下的listener.ora，sqlnet.ora，protocol.ora文件應(yīng)該只開放給Oracle主賬戶(通常是oracle或Administrator)，而其他賬戶不能有任何權(quán)限，tnsnames.ora文件在Linux或Unix系統(tǒng)上權(quán)限可以設(shè)置為0644，在windows上可以設(shè)置其他用戶為瀏覽，讀取權(quán)限。

7.保護(hù)TNSLSNR和LSNRCTL

在Linux或Unix服務(wù)器上，應(yīng)該將這兩個(gè)文件的權(quán)限設(shè)為0751，如果想更嚴(yán)格一點(diǎn)，可以設(shè)為0700，這樣就只有安裝oracle時(shí)指定的宿主用戶可以執(zhí)行它們了，這兩個(gè)文件位于ORACLE_HOME/bin目錄下。保護(hù)這兩個(gè)文件的目的是為了防止黑客直接破壞它們，如果tnslsnr被破壞，監(jiān)聽器肯定不能啟動，如果lsnrctl被破壞可能植入惡意代碼，在運(yùn)行l(wèi)snrctl時(shí)就會執(zhí)行其它黑客行為。

8、移除不用的服務(wù)

默認(rèn)安裝時(shí)，會安裝一個(gè)PL/SQL外部程序(ExtProc)條目在listener.ora中，它的名字通常是ExtProc或PLSExtProc，但一般不會使用它，可以直接從listener.ora中將這項(xiàng)移除，因?yàn)閷xtProc已經(jīng)有多種攻擊手段了。有時(shí)可能會在多個(gè)實(shí)例之間拷貝listener.ora，請檢查拷貝來的文件中是否含有不需要的服務(wù)，確保只留下的確需要的服務(wù)項(xiàng)目，減少Oracle監(jiān)聽器受攻擊的面。

9、改變默認(rèn)的TNS端口號

改變Oracle監(jiān)聽器監(jiān)聽的端口號與修改ftp服務(wù)器默認(rèn)的21端口，web服務(wù)器的80端口類似，因?yàn)镺racle默認(rèn)的監(jiān)聽端口是1521(Oracle還正式注冊了兩個(gè)新的端口號2483和2484，說不定哪個(gè)新版本發(fā)布后，可能默認(rèn)的端口號就會是這兩個(gè)了，其中2484用于SSL類型的連接)，幾乎所有的掃描器都可以直接掃描這個(gè)端口是否打開，如果設(shè)置為一個(gè)不常用的端口號，可能會給人一種假象，而且即使掃描到端口打開，也還要猜測該端口運(yùn)行是究竟是什么服務(wù)，攻擊難度就加大了。

在修改端口的時(shí)候也不要設(shè)在1521-1550和1600-1699范圍內(nèi)，雖然通過修改默認(rèn)端口并不算什么高級防護(hù)技術(shù)，但至少可以防止自動攻擊，以及在端口1521上的簡單掃描。可直接編輯listener.ora中端口號，也可以通過netca程序進(jìn)行修改，當(dāng)然在客戶端也要做對應(yīng)的修改才行。同時(shí)要設(shè)置初始化參數(shù)LOCAL_LISTENER，這樣在監(jiān)聽端口發(fā)生變化后，數(shù)據(jù)庫才會自動進(jìn)行Oracle監(jiān)聽器重新注冊。

10、設(shè)置節(jié)點(diǎn)驗(yàn)證

根據(jù)應(yīng)用程序和網(wǎng)絡(luò)配置情況，采用節(jié)點(diǎn)驗(yàn)證對于保護(hù)監(jiān)聽器是一種強(qiáng)有力的方法，大部分Web應(yīng)用程序都只需要從應(yīng)用服務(wù)器訪問Oracle監(jiān)聽器，以及一臺管理客戶端，對于RHEL4 Oracle8/8i，在$ORACLE_HOME/network/admin/protocol.ora文件中添加節(jié)點(diǎn)檢查語句，對于RHEL4Oracle9i/10g，在$ORACLE_HOME/network/admin/sqlnet.ora文件中添加節(jié)點(diǎn)檢查語句，語句的格式都一樣，如：
tcp.validnode_checking = yes
tcp.invited_nodes = ( x.x.x.x | name, x.x.x.x | name)
tcp.excluded_nodes=( x.x.x.x | name, x.x.x.x | name)

注意：這里要么使用invited_nodes語句，要么使用excluded_nodes，不能同時(shí)都使用，也不能使用通配符，子網(wǎng)等，只能使用明確的ip地址或主機(jī)名。這里的x.x.x.x指的就是如192.168.1.100這樣的ip地址，name就是主機(jī)名，如果有多個(gè)ip地址或主機(jī)名，使用逗號進(jìn)行分隔。

設(shè)置了節(jié)點(diǎn)驗(yàn)證后，Oracle監(jiān)聽器需要重新啟動才會生效。使用這種方法進(jìn)行節(jié)點(diǎn)驗(yàn)證會消耗一定的系統(tǒng)資源和網(wǎng)絡(luò)帶寬，如果要驗(yàn)證的地址過多，靠手工添加也很麻煩，這時(shí)可以使用RHEL4 OracleConnection Manager，如果是有許多客戶端通過SQL*NET訪問數(shù)據(jù)庫，使用這種節(jié)點(diǎn)驗(yàn)證的方法也不可行，那會相當(dāng)?shù)穆?/P>

11、RHEL4 Oracle監(jiān)視日志

在前面的方法中開啟了監(jiān)聽器日志功能，在產(chǎn)生了日志信息后，要對其進(jìn)行分析，常見的可在日志文件中查找是否有TNS-01169，TNS-01189，TNS-01190或TNS-12508錯(cuò)誤，如果有這些錯(cuò)誤，至少可以說明要么有人攻擊，要么有異?；顒樱M(jìn)一步可以使用shell基本或一些簡單的管理工具將這些有用的日志信息定期發(fā)送給DBA，實(shí)現(xiàn)實(shí)時(shí)監(jiān)控效果。

【編輯推薦】

1. Oracle監(jiān)聽器配置的具體3步
2. Oracle監(jiān)聽器出現(xiàn)的6種連接問題及其解決方法
3. Oracle監(jiān)聽器安裝和配置的具體方法淺析
4. 探討怎樣回收Oracle監(jiān)聽器日志文件
5. 淺析Oracle監(jiān)聽器安裝與配置