RHEL4 Oracle監聽器會有很多地方可供黑客利用,所以針對RHEL4 Oracle的保護措施就會有很多,下面我們就來一一介紹這11種保護RHEL4 Oracle監聽器的方法。
1。RHEL4 Oracle監聽器設置密碼
通過設置監聽器密碼可以阻止大部分的菜鳥黑客的進攻,設置密碼有兩種方法,一種是通過lsnrctl命令來設置,另一種是直接修改listener.ora文件,第一種方法設置的密碼是經過加密後存儲在listener.ora中,而第二種方法是以明文的形式放在listener.ora中的,所以推薦使用第一種方式。具體命令如下:
LSNRCTL> set current_listener <監聽器名>
LSNRCTL> change_passWord
old passWord: <如果之前沒有設置密碼就直接按回車>
New passWord: <輸入新密碼>
Reenter new passWord: <再次輸入新密碼>
LSNRCTL> set password PassWord: <輸入剛剛設置的新密碼>
LSNRCTL> save_config
設置好密碼後,打開listener.ora,看是否有一條PASSWORDS_<監聽器名>的記錄,類似於PASSWordS_LISTENER = F4BAA4A006C26134.為監聽器設置了密碼後,必須到客戶端重新配置連接。
2.RHEL4 Oracle監聽器開啟日志
開啟監聽器日志功能是為了捕獲監聽器命令和防止密碼被暴力破解。開啟監聽器日志功能的命令為:
LSNRCTL> set current_listener <監聽器名>
LSNRCTL> set password PassWord: <輸入監聽器密碼>
LSNRCTL> set log_directory /network/admin
LSNRCTL> set log_file .log
LSNRCTL> set log_status on
LSNRCTL> save_config
通過運行上面的命令,監聽器將會在/network/admin目錄下創建一個.log日志文件,以後可以打開該文件查看一些常見的ORA-錯誤信息。
3.RHEL4 Oracle監聽器在listener.ora中設置ADMIN_RESTRICTIONS
在listener.ora文件中設置了ADMIN_RESTRICTIONS參數後,當監聽器在運行時,不允許執行任何管理任何,屆時,set命令將不可用,不論是在服務器本地還是從遠程執行都不行,這時如果要修改監聽器設置就只有手工修改listener.ora文件了,通過手工修改listener.ora,要使修改生效,只能使用lsnrctl reload命令或lsnrctl stop/start命令重新載入一次監聽器配置信息。在listener.ora文件中手動加入下面這樣一行:ADMIN_RESTRICTIONS_<監聽器名> = ON
4.RHEL4 Oracle打上最新的監聽器補丁
這一點就與操作系統類似,數據庫也有bug,也有漏洞,黑客會在漏洞發現第一時間掃描未打補丁的服務器,所以作為一個稱職的DBA要隨時關注Oracle的CPU(呵呵,不是處理器,是關鍵補丁升級的意思),這裡要說明的是Oracle監聽器的補丁是自動累加的,就像Windows xp sp2的內容包括了sp1的所有內容一樣,所以只需要按照最新的補丁集就可以了,還有一點要注意的是在生產系統上應用任何補丁前都需要先在測試環境進行測試,保證升級後不影響正常業務才進行升級。最後要說明的是,只有購買了Oracle的正式許可才可以登陸下載補丁,否則就只有從第三方地址下載,其完整性就不能保證了。
5.RHEL4 Oracle監聽器利用防火牆阻止SQL*NET
除非的確需要,否則不應該讓SQL*NET通訊通過防火牆,在設計防火牆規則時,應設計為只允許經過認證的Web服務器和應用程序通過防火牆進行SQL*NET通信。而且放在防火牆DMZ區域的應用服務器使用SQL*NET通信時,應只允許它與特定的數據庫服務器進行通信。
通常很少有應用會從Internet直接訪問數據庫,因為這種方式的延遲非常明顯,通用的做法是配置應用服務器與數據庫通信,Internet客戶端通過浏覽器訪問應用服務器即可,這時配置防火牆時也只需設置應用服務器和數據庫服務器之間的通信規則即可。
6.保護$TNS_ADMIN目錄
$TNS_ADMIN目錄即我們通常看到的ORACLE_HOME/network/admin目錄,它下面包含有listener.ora,tnsnames.ora,sqlnet.ora,protocol.ora等重要配置文件,前面已經提到,監聽器的密碼就是保存在listener.ora中的,如果不保護好,可能造成密碼洩露,或整個文件被修改,這個目錄下的listener.ora,sqlnet.ora,protocol.ora文件應該只開放給Oracle主賬戶(通常是Oracle或Administrator),而其他賬戶不能有任何權限,tnsnames.ora文件在Linux或Unix系統上權限可以設置為0644,在Windows上可以設置其他用戶為浏覽,讀取權限。
7.保護TNSLSNR和LSNRCTL
在Linux或Unix服務器上,應該將這兩個文件的權限設為0751,如果想更嚴格一點,可以設為0700,這樣就只有安裝oracle時指定的宿主用戶可以執行它們了,這兩個文件位於Oracle_HOME/bin目錄下。保護這兩個文件的目的是為了防止黑客直接破壞它們,如果tnslsnr被破壞,監聽器肯定不能啟動,如果lsnrctl被破壞可能植入惡意代碼,在運行lsnrctl時就會執行其它黑客行為。
8、移除不用的服務
默認安裝時,會安裝一個PL/SQL外部程序(ExtProc)條目在listener.ora中,它的名字通常是ExtProc或PLSExtProc,但一般不會使用它,可以直接從listener.ora中將這項移除,因為對ExtProc已經有多種攻擊手段了。有時可能會在多個實例之間拷貝listener.ora,請檢查拷貝來的文件中是否含有不需要的服務,確保只留下的確需要的服務項目,減少Oracle監聽器受攻擊的面。
9、改變默認的TNS端口號
改變Oracle監聽器監聽的端口號與修改FTP服務器默認的21端口,web服務器的80端口類似,因為Oracle默認的監聽端口是1521(Oracle還正式注冊了兩個新的端口號2483和2484,說不定哪個新版本發布後,可能默認的端口號就會是這兩個了,其中2484用於SSL類型的連接),幾乎所有的掃描器都可以直接掃描這個端口是否打開,如果設置為一個不常用的端口號,可能會給人一種假象,而且即使掃描到端口打開,也還要猜測該端口運行是究竟是什麼服務,攻擊難度就加大了。
在修改端口的時候也不要設在1521-1550和1600-1699范圍內,雖然通過修改默認端口並不算什麼高級防護技術,但至少可以防止自動攻擊,以及在端口1521上的簡單掃描。可直接編輯listener.ora中端口號,也可以通過netca程序進行修改,當然在客戶端也要做對應的修改才行。同時要設置初始化參數LOCAL_LISTENER,這樣在監聽端口發生變化後,數據庫才會自動進行Oracle監聽器重新注冊。
10、設置節點驗證
根據應用程序和網絡配置情況,采用節點驗證對於保護監聽器是一種強有力的方法,大部分Web應用程序都只需要從應用服務器訪問Oracle監聽器,以及一台管理客戶端,對於RHEL4 Oracle8/8i,在$ORACLE_HOME/network/admin/protocol.ora文件中添加節點檢查語句,對於RHEL4Oracle9i/10g,在$Oracle_HOME/network/admin/sqlnet.ora文件中添加節點檢查語句,語句的格式都一樣,如:
tcp.validnode_checking = yes
tcp.invited_nodes = ( x.x.x.x | name, x.x.x.x | name)
tcp.excluded_nodes=( x.x.x.x | name, x.x.x.x | name)
注意:這裡要麼使用invited_nodes語句,要麼使用excluded_nodes,不能同時都使用,也不能使用通配符,子網等,只能使用明確的ip地址或主機名。這裡的x.x.x.x指的就是如192.168.1.100這樣的ip地址,name就是主機名,如果有多個ip地址或主機名,使用逗號進行分隔。
設置了節點驗證後,Oracle監聽器需要重新啟動才會生效。使用這種方法進行節點驗證會消耗一定的系統資源和網絡帶寬,如果要驗證的地址過多,靠手工添加也很麻煩,這時可以使用RHEL4 OracleConnection Manager,如果是有許多客戶端通過SQL*NET訪問數據庫,使用這種節點驗證的方法也不可行,那會相當的慢。
11、RHEL4 Oracle監視日志
在前面的方法中開啟了監聽器日志功能,在產生了日志信息後,要對其進行分析,常見的可在日志文件中查找是否有TNS-01169,TNS-01189,TNS-01190或TNS-12508錯誤,如果有這些錯誤,至少可以說明要麼有人攻擊,要麼有異常活動,進一步可以使用shell基本或一些簡單的管理工具將這些有用的日志信息定期發送給DBA,實現實時監控效果。
