点击这里给我发消息 点击这里给我发消息

Oracle数据库网络与安全FAQ精粹汇集(一)

添加时间:2013-12-7
    相关阅读: 数据库 网络 SQL Oracle 系统 平台

 [Q]如何限定特定IP访问数据库
  [A]可以利用登录触发器、cmgw或者是在$OREACLE_HOME/network/admin下新增一个protocol.ora文件(有些os可能是. protocol.ora),9i可以直接修改sqlnet.ora:

  增加如下内容:

  tcp.validnode_checking=yes

  #允许访问的i

  tcp.inited_nodes=(ip1,ip2,……)

  #不允许访问的i

  tcp.excluded_nodes=(ip1,ip2,……)

  [Q]如何穿过防火墙连接数据库

  [A]这个问题只会在WIN平台出现,UNIX平台会自动解决。

  解决方法:

  在服务器端的SQLNET.ORA应类似

  SQLNET.AUTHENTICATION_SERVICES= (NTS)

  NAMES.DIRECTORY_PATH= (TNSNAMES, ONAMES, HOSTNAME)

  TRACE_LEVEL_CLIENT = 16

  注册表的HOME0加[HKEY_LOCAL_MACHINE]

  USE_SHARED_SOCKET=TRUE

  [Q]如何利用hostname方式连接数据库

  [A]host name方式只支持tcp/ip协议的小局域网

  修改listener.ora中的如下信息

  (SID_DESC =

  (GLOBAL_DBNAME = ur_hostname) --你的机器名

  (ORACLE_HOME = E:oracleora92) --oracle home

  (SID_NAME = orcl) --sid name

  )

  然后在客户端的sqlnet.ora中,确保有

  NAMES.DIRECTORY_PATH= (HOSTNAME)

  你就可以利用数据库服务器的名称访问数据库了

  [Q]dbms_repcat_admin能带来什么安全隐患

  [A]以下情况可能获得该包的执行权限:

  1、在sys下

  grant execute on dbms_repcat_admin to public[ user_name]

  2、用户拥有execute any procedure特权(仅限于9i以下,9i必须显示授权)

  如果用户通过执行如下语句:

  exec sys.dbms_repcat_admin.grant_admin_any_schema('user_name');

  该用户将获得极大的系统特权

  可以从user_sys_privs中获得详细信息

  [Q]在不知道用户密码的时候,怎么样跳转到另外一个用户执行操作后并不影响该用户?

  [A]我们通过如下的方法,可以安全使用该用户,然后再跳转回来,在某些时候比较有用

  需要Alter user权限或DBA权限:

  SQL> select password from dba_users where username='SCOTT';

  PASSWORD

  -----------------------------

  F894844C34402B67

  SQL> alter user scott identified by lion;

  User altered.

  SQL> connect scott/lion

  Connected.

  REM Do whatever you like...

  SQL> connect system/manager

  Connected.

  SQL> alter user scott identified by values 'F894844C34402B67';

  User altered.

  SQL> connect scott/tiger

  Connected

  [Q]如何加固你的数据库

  [A]要注意以下方面

  1. 修改sys, system的口令。

  2. Lock,修改,删除默认用户: dbsnmp,ctxsys等。

  3. 把REMOTE_OS_AUTHENT改成False,防止远程机器直接登陆。

  4. 把O7_DICTIONARY_ACCESSIBILITY改成False。

  5. 把一些权限从PUBLIC Role取消掉。

  6. 检查数据库的数据文件的安全性。不要设置成666之类的。检查其他dba 用户。

  7. 把一些不需要的服务(比如ftp, nfs等关闭掉)

  8. 限制数据库主机上面的用户数量。

  9. 定期检查Metalink/OTN上面的security Alert。比如:http://otn.oracle.com/deploy/security/alerts.htm

  10. 把你的数据库与应用放在一个单独的子网中,要不然你的用户密码很容易被sniffer去。或者采用advance security,对用户登录加密。

  11. 限止只有某些ip才能访问你的数据库。

  12. lsnrctl 要加密码,要不然别人很容易从外面关掉你的listener。

  13. 如果可能,不要使用默认1521端口

  [Q]如何检查用户是否用了默认密码

  [A]如果使用默认密码,很可能就对你的数据库造成一定的安全隐患,那么可以使用如下的查询获得那些用户使用默认密码

  select username "User(s) with Default Password!"

  from dba_users

  where password in

  ('E066D214D5421CCC', -- dbsnm

  '24ABAB8B06281B4C', -- ctxsys

  '72979A94BAD2AF80', -- mdsys

  'C252E8FA117AF049', -- odm

  'A7A32CD03D3CE8D5', -- odm_mtr

  '88A2B2C183431F00', -- ordplugins

  '7EFA02EC7EA6B86F', -- ordsys

  '4A3BA55E08595C81', -- outln

  'F894844C34402B67', -- scott

  '3F9FBD883D787341', -- wk_proxy

  '79DF7A1BD138CF11', -- wk_sys

  '7C9BA362F8314299', -- wmsys

  '88D8364765FCE6AF', -- xdb

  'F9DA8977092B7B81', -- tracesvr

  '9300C0977D7DC75E', -- oas_public

  'A97282CE3D94E29E', -- websys

  'AC9700FD3F1410EB', -- lbacsys

  'E7B5D92911C831E1', -- rman

  'AC98877DE1297365', -- perfstat

  '66F4EF5650C20355', -- exfsys

  '84B8CBCA4D477FA3', -- si_informtn_schema

  'D4C5016086B2DC6A', -- sys

  'D4DF7931AB130E37') -- system

  /

咨询热线:020-85648757 85648755 85648616 0755-27912581 客服:020-85648756 0755-27912581 业务传真:020-32579052
广州市网景网络科技有限公司 Copyright◎2003-2008 Veelink.com. All Rights Reserved.
广州商务地址:广东省广州市黄埔大道中203号(海景园区)海景花园C栋501室
= 深圳商务地址:深圳市宝源路华丰宝源大厦606
研发中心:广东广州市天河软件园海景园区 粤ICP备05103322号 工商注册