创作

完善资料让更多小伙伴认识你,还能领取20积分哦, 立即完善>

3天内不再提示

三种方法教你限制某个IP或IP段访问Oracle数据库

来源:ITPUB 作者:佚名 2020-09-03 10:16 次阅读

01概述

本文将给大家介绍如何限制某个ip或某个ip段才能访问Oracle数据库

通过sqlnet.ora

通过/etc/hosts.deny和/etc/hosts.allow

通过iptables

02正式实验

本次实验环境是Centos6.10 + Oracle 11.2.0.4单实例,数据库服务器ip地址为192.168.31.71

1. 通过sqlnet.ora

a. 关闭数据库服务器上的防火墙,修改sqlnet.ora文件该文件放在$ORACLE_HOME/network/admin下,如果没有就在该目录下创建一个即可添加以下两行

tcp.validnode_checking = yes

tcp.invited_nodes = (192.168.31.71, 192.168.31.77)

这里需要注意的是必须把本机ip地址加进来(不能写成localhost和127.0.0.1),否则监听启动会报错。

b. 重启监听,让sqlnet.ora的修改生效

lsnrctl stop

lsnrctl start

设置之后就只有这两个ip地址192.168.31.71, 192.168.31.77能访问数据库,其它ip地址访问会报ORA-12547: TNS:lost contact错误

tcp.invited_nodes的意思是开通白名单,不在白名单中的一律拒绝访问,它也可以写成(192.168.31.*, 192.168.31.0/24)等方式,表明这个网段都能访问。

另外还有个参数tcp.excluded_nodes,表示黑名单,这里不做介绍,有兴趣的可以自己去做做实验。

2. 通过/etc/hosts.deny和/etc/hosts.allow

sqlnet.ora属于数据库层面的限制,但如果一个ip能够使用root或者oracle,ssh到这台数据库服务器的话,那么它依然能够访问数据库。为了避免这种情况,这时就需要通过/etc/hosts.allow和/etc/hosts.deny去限制某个ip或者ip段才能ssh访问数据库服务器先删除前面实验添加的sqlnet.ora,然后重启监听

lsnrctl stop

lsnrctl start

a. 修改/etc/hosts.deny

在文件尾部添加一行

all:all:deny

第一个all表示禁掉所有使用tcp_wrappers库的服务,举例来说就是ssh,telnet等服务。

第二个all表示所有网段。

b. 修改/etc/hosts.allow

在前面一步中我禁掉所有的网段,所以在这一步中要开通指定的网段。

修改/etc/hosts.allow,在文件尾部添加

all:192.168.31.71:allow a

ll:192.168.31.47:allow

格式与hosts.deny一样,第一行表示把本机放开,第二行表示给.47开通白名单

下面用我另外一台机器(即不在allow中的)ssh或telnet连接71这个机器,就会出现如下报错

三种方法教你限制某个IP或IP段访问Oracle数据库

连数据库却不受影响,因为数据库服务不归hosts.deny和hosts.allow管

三种方法教你限制某个IP或IP段访问Oracle数据库

其中ip地址也可以换成以下的写法

通配符的形式 192.168.31.*表示192.168.31这个网段

网段/掩码 192.168.31.0/255.255.255.0也表示192.168.31这个网段

3. 通过iptables

sqlnet.ora能够限制数据库的访问,/etc/hosts.deny和/etc/hosts.allow能够限制ssh的访问,那有没有办法既能限制数据库的访问,也能限制ssh的访问呢,答案就是linux自带的防火墙功能了。为了实验,将前面做的修改全部清除。

使用root执行以下命令

service iptables start # 打开防火墙服务iptables -I INPUT -s 192.168.31.0/24 -p tcp --dport 1521 -j ACCEPT # 允许192.168.31网段的ip访问本机1521端口iptables -I INPUT ! -s 192.168.31.0/24 -p tcp --dport 22 -j DROP # 拒绝非192.168.31网段的ip访问本机22端口service iptables save # 规则保存到配置文件/etc/sysconfig/iptables中

这样就同时限制了其它ip对服务器的ssh和数据库访问一些扩展知识:

iptables -L -n --line-numbers # 查看当前系统中的iptablesiptables -D INPUT 2 # 删除input链中编号为2的规则,编号数字可以通过上一个命令得到

03总结

如果只是限制其它ip对数据库的访问,使用sqlnet.ora

如果要限制其它ip对数据库所在服务器上的ssh连接,使用/etc/hosts.deny和/etc/hosts.allow

前面两个配合起来,基本上就能保证你的数据库安全了。但是如果你对linux的iptables很熟悉,那么直接使用iptables去限制。

使用/etc/hosts.deny和iptables时一定要保证自己的操作机能连到服务器,不然很容易就把自己锁死在外面了。
责编AJX

收藏 人收藏

    评论

    相关推荐

    通过Grafana实现OVL数据可视化的两种方法

    本文以MySQL数据库为例介绍如何通过Grafana来实现OVL数据的可视化,其中有两种方法,一种是....
    的头像 广州虹科电子科技有限公司 发表于 05-27 17:52 322次 阅读

    Skyperious Skype数据库查看和合并工具

    ./oschina_soft/Skyperious.zip
    发表于 05-27 10:01 1次 阅读
    Skyperious Skype数据库查看和合并工具

    Verdaccio轻量级私有npm包代理注册表

    ./oschina_soft/verdaccio.zip
    发表于 05-27 09:20 3次 阅读
    Verdaccio轻量级私有npm包代理注册表

    MySQL关系数据库管理系统的使用技巧

    MySQL可能是最著名的关系数据库管理系统。作为 LAMP Web 开发平台的“M”,这个开源解决方....
    的头像 深圳市恒讯科技有限公司 发表于 05-26 16:02 53次 阅读

    litecli SQLite数据库命令行工具

    ./oschina_soft/litecli.zip
    发表于 05-26 15:49 1次 阅读
    litecli SQLite数据库命令行工具

    安谋科技纷争尘埃落定 “独立公司”定位不变 本土半导体产业基石更稳

    过去两年里,围绕安谋科技在管理上产生的纷争屡屡成为行业和媒体热议的焦点。但相比于管理层权力更迭事件本....
    的头像 科技数码 发表于 05-26 14:26 407次 阅读
    安谋科技纷争尘埃落定 “独立公司”定位不变 本土半导体产业基石更稳

    OLAP与OLTP数据库的区别是什么

    OLAP与OLTP数据库由于关注的业务不同,所以软件在工作方式和优化方法会有一些不同。 OLTP业务....
    发表于 05-25 11:29 52次 阅读

    vimdb模拟单个数据库

    ./oschina_soft/vimdb.zip
    发表于 05-25 09:39 8次 阅读
    vimdb模拟单个数据库

    Kepware助力无人化控制系统高效稳定的运行

    1 背景 某公司的堆取料机无人化控制系统,凭借数十年企业信息化实践经验,以机器人视觉控制技术为基础,....
    发表于 05-24 15:43 7次 阅读
    Kepware助力无人化控制系统高效稳定的运行

    利用JAVA向Mysql插入一亿数量级数据—效率测评

    所以通过随机生成人的姓名、年龄、性别、电话、email、地址 ,向mysql数据库大量插入数据,便于....
    的头像 Android编程精选 发表于 05-24 11:13 1557次 阅读

    服务器的IP地址是固定的还是随机的

    服务器的IP地址是固定的还是随机的,可能会有一些不了解网络方面的朋友会有一些困惑。IP地址如果都是固....
    的头像 dykj1234 发表于 05-23 14:15 9次 阅读
    服务器的IP地址是固定的还是随机的

    第四家华为openGauss “商业发行版”太阳塔科技

    随着国产数据库能力不断提升,逐步抢占海外厂商优势领域份额。以Oracle、MySQL、SQLServ....
    的头像 话说科技 发表于 05-23 09:30 173次 阅读
    第四家华为openGauss “商业发行版”太阳塔科技

    芯原芯片设计流程获汽车功能安全管理体系认证

    领先的芯片设计平台即服务(Silicon Platform as a Service,SiPaaS®....
    的头像 文传商讯 发表于 05-20 09:56 301次 阅读

    table2sql把表格转成insert语句的Chrome扩展

    ./oschina_soft/table2sql.zip
    发表于 05-19 15:53 12次 阅读
    table2sql把表格转成insert语句的Chrome扩展

    Stetho Realm用于Stetho的Realm模块

    ./oschina_soft/stetho-realm.zip
    发表于 05-19 15:45 7次 阅读
    Stetho Realm用于Stetho的Realm模块

    浪潮分布式存储AS13000搭建血液病检测平台

    因分析、基因诊断、白血病分型、指导治疗、判断预后等领域已经有了成熟应用,而其中血液学已成为了此类现代....
    的头像 科技绿洲 发表于 05-19 15:17 1181次 阅读

    外壳防护等级(IP代码)

    本标准阐述了由电气设备外壳提供的防护等级的分级系统。尽管这个系统适用于多数型式的电气设备,但对特定型....
    发表于 05-19 14:26 28次 阅读

    Oracle HCM云平台如何满足客户个性拓展需求

     全球 HCM 云市场竞争激烈,甲骨文公司认为只有把“客户至上”作为产品设计的初心,才能真正实现客户....
    的头像 科技绿洲 发表于 05-18 17:25 267次 阅读

    IBM推出纯软Datapower解决方案 客户能更好更快拓展API网关集群

     IBM曾有一个品牌理念,“智者乐见难题”。很多科技在数字化转型中的应用正是难题中来的,创造出真正的....
    的头像 科技绿洲 发表于 05-18 14:37 218次 阅读

    如何调用CH579里面的Touch-Key库?

    第一次调CH579里面的Touch-Key,用的TKY_CH579库,有没有哪位大神用过,教教我调试的时候从哪一步开始调起?为啥我算的充...
    发表于 05-17 06:50 137次 阅读

    SQL优化经历:从30248.271s到0.001s

    正常情况下是先join再进行where过滤,但是我们这里的情况,如果先join,将会有70w条数据发....
    的头像 数据分析与开发 发表于 05-16 15:25 266次 阅读

    Curve分布式存储系统

    ./oschina_soft/curve.zip
    发表于 05-16 09:41 13次 阅读
    Curve分布式存储系统

    分布式锁的设计与实现

    今天跟大家探讨一下分布式锁的设计与实现。希望对大家有帮助,如果有不正确的地方,欢迎指出,一起学习,一....
    的头像 数据分析与开发 发表于 05-13 15:36 142次 阅读

    服务端高并发分布式架构最基础的概念

    系统中的多个模块在不同服务器上部署,即可称为分布式系统。如 Tomcat 和数据库分别部署在不同的服....
    的头像 Linux爱好者 发表于 05-13 14:45 153次 阅读

    拓林思发布基于openEuler企业级Linux操作系统

    近日,拓林思正式发布基于 openEuler 22.03 LTS 的企业级 Linux 操作系统,T....
    的头像 科技绿洲 发表于 05-13 11:53 339次 阅读

    94个项目!“太湖之芯”创业大赛初赛-深圳赛区圆满落幕

    本次大赛以“创‘芯’征程‘链’接未来”为主题,旨在整合无锡、深圳两地在集成电路发展上的优势,辐射长三....
    的头像 时光流逝最终成了回忆 发表于 05-12 18:30 440次 阅读
    94个项目!“太湖之芯”创业大赛初赛-深圳赛区圆满落幕

    智原科技续推Gigabit以太网络IP 聚焦网通应用ASIC

    ASIC设计服务暨IP研发销售厂商智原科技(Faraday Technology Corporati....
    的头像 智原科技 发表于 05-12 16:23 1593次 阅读

    flashDB TSDB数据库插入数据时报错是为什么?

    flashDB TSDB的get_time函数时返回的系统时间戳,在使用中出现我偶然错误的将RTC时间设置得比现在的时间要大很多,后面...
    发表于 05-12 16:14 2261次 阅读

    fix_docker_ip固定docker容器的IP

    ./oschina_soft/sc<x>ripts.zip
    发表于 05-12 11:25 10次 阅读
    fix_docker_ip固定docker容器的IP

    数据库单表行数最大多大?

    因为record们被分成好多份,放到好多页里了,为了唯一标识具体是哪一页,那就需要引入页号(其实是一....
    的头像 数据分析与开发 发表于 05-12 10:18 130次 阅读

    带宽需求日益高涨 以太网成为首选网络技术

    随着5G网络、云计算和日益普及的物联网(IoT)的发展,对带宽和网速提出了越来越高的要求。超计算器由....
    的头像 新思科技 发表于 05-11 16:47 332次 阅读

    Railcar OCI运行时规范实现

    ./oschina_soft/railcar.zip
    发表于 05-11 10:22 8次 阅读
    Railcar OCI运行时规范实现

    dvol容器化数据库版本控制

    ./oschina_soft/dvol.zip
    发表于 05-11 10:00 22次 阅读
    dvol容器化数据库版本控制

    华为云助力星瀚人力云构建新一代HR SaaS产品

    华为与金蝶于2020年开始在人力资源数字化领域展开合作,在组织与人才管理、员工基础服务等多个领域进行....
    的头像 科技绿洲 发表于 05-10 15:49 371次 阅读

    一个由于MySQL分页导致的线上事故

    其实对于我们的 MySQL 查询语句来说,整体效率还是可以的,该有的联表查询优化都有,该简略的查询内....
    的头像 Android编程精选 发表于 05-10 15:31 135次 阅读

    MozDef攻击防御系统

    ./oschina_soft/MozDef.zip
    发表于 05-10 14:18 24次 阅读
    MozDef攻击防御系统

    libschannel TCP/IP通道双向保护

    ./oschina_soft/libschannel.zip
    发表于 05-09 09:46 14次 阅读
    libschannel TCP/IP通道双向保护

    spire SPIFFE运行时环境

    spire.zip
    发表于 05-07 11:11 19次 阅读
    spire SPIFFE运行时环境

    LeakLooker查找互联网暴露的常用服务的工具

    LeakLooker.zip
    发表于 05-07 09:54 30次 阅读
    LeakLooker查找互联网暴露的常用服务的工具

    xsec-ssh-firewall ssh密码防暴力破解程序

    xsec-ssh-firewall.zip
    发表于 05-07 09:50 19次 阅读
    xsec-ssh-firewall ssh密码防暴力破解程序

    xsec-ip-database恶意IP和域名库

    xsec-ip-databa<x>se.zip
    发表于 05-07 09:48 19次 阅读
    xsec-ip-database恶意IP和域名库

    ngx_dynamic_limit_req_module IP动态锁定工具

    ./oschina_soft/ngx_dynamic_limit_req_module.zip
    发表于 05-07 09:29 21次 阅读
    ngx_dynamic_limit_req_module IP动态锁定工具

    STM32 USB初级培训-USB IP介绍

    STM32 USB初级培训_Part3。STM32 MCU有两种带USB功能的IP。
    发表于 05-06 17:38 78次 阅读

    LR-LINK联瑞Bypass系列网卡助力网络安全发展

    一夜之间,新浪微博逐步开放了用户的IP属地显示,没有开启或关闭选项,只有赫然显示在用户个人信息中的I....
    的头像 胡沅丽 发表于 05-06 14:08 176次 阅读

    Vulscan使用Nmap进行漏洞扫描

    vulscan.zip
    发表于 05-06 11:23 31次 阅读
    Vulscan使用Nmap进行漏洞扫描

    cvechecker漏洞检测工具

    cvechecker.zip
    发表于 05-06 10:35 8次 阅读
    cvechecker漏洞检测工具

    星环科技分布式图数据库发布StellarDB 4.0

     近日,星环科技分布式图数据库正式发布StellarDB 4.0,在数据导入、多跳查询和图算法性能方....
    的头像 科技绿洲 发表于 05-05 14:12 129次 阅读

    中兴通讯荣获“中国专利金奖“最高荣誉

    近日,第二十三届中国专利奖获奖结果出炉,中兴通讯的一项发明专利 — 《切换方法及装置》荣获中国专利领....
    的头像 科技绿洲 发表于 04-29 16:33 952次 阅读
    中兴通讯荣获“中国专利金奖“最高荣誉

    海外服务器IP地址都有哪些类型

    恒讯科技在早期为大家分享过海外服务器的IP地址分配方式和工作原理,今日为大家分享海外服务器IP地址主....
    的头像 深圳市恒讯科技有限公司 发表于 04-29 15:10 375次 阅读

    新华三深化“云智原生”战略 助力企业快速、轻松上云

    作为业界领先的超融合产品,新华三集团超融合架构UIS具备“全域云”的能力,能够帮助用户整合IT基础设....
    的头像 科技绿洲 发表于 04-29 11:13 441次 阅读

    IP resolver命令行IP查询工具

    IP-resolver.zip
    发表于 04-29 10:40 25次 阅读
    IP resolver命令行IP查询工具

    CoreOS dex OpenID关联认证提供

    dex.zip
    发表于 04-29 10:36 25次 阅读
    CoreOS dex OpenID关联认证提供

    Harmonyos应用程序开发如何连接到本地sqlserver数据库?

    开发文档里面是在运行代码时建立数据库,如何可以使应用程序连接到电脑内存的本地sqlserver数据库。 ...
    发表于 04-26 10:49 1015次 阅读

    RDS for PostgreSQL的插件的创建/删除和使用方法

    本文介绍 RDS for PostgreSQL 的插件及不同插件的创建、删除或使用方法。 PostgreSQL插件简介是开源数据库中的关系型...
    发表于 04-25 10:30 383次 阅读

    手把手教你怎么使用HarmonyOS Glide

    Glid是一个快速高效的库。Glid 提供了一个易于使用的 API、一个性能和可​​扩展的资源解码器和自动资源池。一个灵活的AP...
    发表于 04-15 11:13 1474次 阅读

    HarmonyOs集成Hawk的方法

    作用 Hawk数据存储工具,使用超简单,可以替代 Preferences,作为本地存储。Hawk是一个非常能的数据库。 项目配置 添加项目...
    发表于 04-15 11:04 1118次 阅读

    DataAbility的使用方法及访问数据库的过程

    DataAbility介绍: 使用Data模板的Ability(以下简称“Data”)有助于应用管理其自身和其他应用存储数据的访问,并提供与其...
    发表于 04-06 10:32 1072次 阅读

    HarmonyOS关系型数据库和对象关系数据库的使用方法

    前言 项目需要用到数据持久化存储,没有使用过HarmonyOS数据库时,我们就需要去官方文档或其他渠道去学习怎么使用,但是官方...
    发表于 03-29 14:10 930次 阅读

    基于Rdb创建的一个Data_Ability的数据操作过程

    首先介绍几个基本概念和方法! 关系型数据库 基于关系模型来管理数据的数据库,以行和列的形式存储数据。(可以简单理解成一个ex...
    发表于 03-29 13:50 696次 阅读

    PLC对接SQL数据库,实现数据采集和边缘计算

            智能网关IGT-DSER方便实现PLC与数据库之间的数据通讯,既可以读取PLC的数据...
    发表于 03-29 13:20 5922次 阅读