通过SQLNET.ora文件限制Ip地址访问

最新推荐文章于 2023-10-24 14:24:39 发布
最新推荐文章于 2023-10-24 14:24:39 发布
阅读量3.4k 收藏 2
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wll_1017/article/details/30265917
版权

为了数据库的安全,我们允许某些ip地址的主机来访问我们数据库,也要防止其他用户来连接数据库,为了数据库的安全,我们可以使用下列参数来控制用户的访问。

在SQLNET.ora文件中设置以下参数可以实现IP访问限制:

tcp.validnode_checking=yes  
tcp.invited_nodes=(ip1,ip2......)  
tcp.excluded_nodes=(ip1,ip2......) 

第一行的含义:开启IP限制功能;
第二行的含义:允许访问数据库的IP地址列表,多个IP地址使用逗号分开,此例中我们写入数据库服务器的IP地址,如果不在此列表中的ip地址是不能访问这个数据库的;
第三行的含义:禁止访问数据库的IP地址列表,多个IP地址使用逗号分开,此处我们写入欲限制的IP地址10.10.128.200。


注意事项:

1).上文中添加的第一项必须要写,任何平台都可以,但是只适用于TCP/IP协议。

2).第二行和第三行可以任意写一行,如果tcp.invited_nodes与tcp.excluded_nodes都存在,以tcp.invited_nodes为主.

3).一定要许可或不要禁止服务器本机的IP地址,否则通过lsnrctl将不能启动或停止监听,因为该过程监听程序会通过本机的IP访问监听器,而该IP被禁止了,但是通过服务启动或关闭则不影响,如果是rac最好将物理ip和虚拟ip都需要准许访问。


此实验我是在一台rac上单其中一个节点测试的:

[root@rac1 ~]# cat /etc/hosts
# Do not remove the following line, or various programs
# that require network functionality will fail.
127.0.0.1       loopback localhost
10.10.6.80     rac1
10.10.6.81     rac1-vip 
1.1.1.100      rac1-priv
10.10.6.82     rac2
10.10.6.83     rac2-vip 
1.1.1.101      rac2-priv
10.10.6.86     racscan


配置sqlnet.ora:

grid@rac1 admin]$ cat sqlnet.ora 
# sqlnet.ora.rac1 Network Configuration File: /u01/app/11.2/grid/network/admin/sqlnet.ora.rac1
# Generated by Oracle configuration tools.


NAMES.DIRECTORY_PATH= (TNSNAMES, EZCONNECT)


ADR_BASE = /u01/app/grid
tcp.validnode_checking=yes
tcp.invited_nodes=(10.10.6.80,10.10.6.81,10.10.6.82,10.10.6.83,1.1.1.100,1.1.1.101,10.10.8.54,127.0.0.1,10.10.6.86 )
tcp.excluded_nodes=(10.10.128.200)


我们再次配置一台主机10.10.8.54 允许他来访问我们的数据库,其他主机我们都不允许访问,在rac上要记得让两个节点的ip地址都包含在invited_nodes ,否则的话监听启动不了,在此,我们配置excluded_nodes ,这个地址可以配置也可以不用配置,因为除了允许,其他地址都是不允许的。


配置完了rac的sqlnet配置文件,我们需要重启动监听

[grid@rac1 admin]$ srvctl stop listener -n rac1
[grid@rac1 admin]$ srvctl start listener -n rac1


[grid@rac1 admin]$ lsnrctl status


LSNRCTL for Linux: Version 11.2.0.1.0 - Production on 12-JUN-2014 16:51:02


Copyright (c) 1991, 2009, Oracle.  All rights reserved.


Connecting to (DESCRIPTION=(ADDRESS=(PROTOCOL=IPC)(KEY=LISTENER)))
STATUS of the LISTENER
------------------------
Alias                     LISTENER
Version                   TNSLSNR for Linux: Version 11.2.0.1.0 - Production
Start Date                12-JUN-2014 16:50:43
Uptime                    0 days 0 hr. 0 min. 18 sec
Trace Level               off
Security                  ON: Local OS Authentication
SNMP                      OFF
Listener Parameter File   /u01/app/11.2/grid/network/admin/listener.ora
Listener Log File         /u01/app/grid/diag/tnslsnr/rac1/listener/alert/log.xml
Listening Endpoints Summary...
  (DESCRIPTION=(ADDRESS=(PROTOCOL=ipc)(KEY=LISTENER)))
  (DESCRIPTION=(ADDRESS=(PROTOCOL=tcp)(HOST=10.10.6.80)(PORT=1521)))
  (DESCRIPTION=(ADDRESS=(PROTOCOL=tcp)(HOST=10.10.6.81)(PORT=1521)))
Services Summary...
Service "+ASM" has 1 instance(s).
  Instance "+ASM1", status READY, has 1 handler(s) for this service...
Service "testdb" has 1 instance(s).
  Instance "testdb1", status READY, has 1 handler(s) for this service...
Service "testdbXDB" has 1 instance(s).
  Instance "testdb1", status READY, has 1 handler(s) for this service...
The command completed successfully


测试配置结果:

SQL> conn boswll/boswll@10.10.6.81/testdb
已连接。
SQL> conn boswll/boswll@10.10.6.82/testdb
已连接。
SQL>

下面测试在10.10.128.200地址测试,被拒绝了

SQL>  conn boswll/boswll@10.10.6.81/testdb
ERROR:
ORA-12547: TNS: 丢失连接





.通过触发器实现:

conn /as sysdba

create or replace trigger  check_ip
after logon on app.schema
declare
ipaddr VARCHAR2(30);
begin
select sys_context('userenv', 'ip_address') into ipaddr from dual;
if ipaddr like ('192.168.1.90') then
raise_application_error('-20001', 'you can not logon by app');
end if;
 end ;
/

但是这个只能是针对某一用户做限制的。




参考:http://www.eygle.com/archives/2008/01/sqlnetora_ip_limit.html

http://www.linuxidc.com/Linux/2012-09/69541.htm



wluckdog
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
linux上的sqlnet.ora限制IP访问[借鉴].pdf
10-11
linux上的sqlnet.ora限制IP访问[借鉴].pdf
通过sqlnet.ora限制访问数据库的地址
渔夫数据库笔记
12-29 3998
一:   sqlnet.ora文件可以通过不同的参数实现很多功能,本篇博客主要讲一下通过sqlnet.ora访问数据库的地址限制。要实现限制ip地址功能,我们可以使用如下参数: tcp.validnode_checking=yes  ##是否启用ip地址限制功能 tcp.invited_nodes=(ip1,ip2......)  ##指定可以访问数据库的ip地址,多个ip地址间以英文逗号
oracle限制IP訪問
枫的专栏
07-29 427
限制访问Oracle客户端IP方法总结   在Oracle数据库中由于版本的差异,可以通过不同的方式来解决这些问题。 有几种方式来实现这样的功能: 1、 修改SQLNET.ora文件限制访问数据库的IP。 2、 使用触发器实现。 sqlnet.ora文件的功能: 1. Specify the client domain to append to unqua
oracle11 sqlnet,ORACLE 11g sqlnet.ora 设置限制IP 访问
weixin_33642697的博客
04-04 309
昨天看三思的mysql 看到一节 说 mysql 创建用户:CREATE USER 'usernmae'@'192.168.2.3' IDENTIFIED BY 'password' 是表明 只有从192.168.2.3 发起的usernmae 访问才被允许接入。联想到ORACLE 也有登入策略通过sqlnet.ora 设置参数限制IP访问策略。参考文档(Doc ID 462933.1):...
使用sqlnet.ora文件,限定特定IP地址登录的实验。
cotchte0421的博客
05-08 106
sqlnet.ora中加入tcp.validnode_checking=yestcp.invited_nodes=(168.1.0.223,168.1.0.229)tcp.excluded_nodes=(168.1.0.221...
限制某段或某个IP登陆
civudgl81761的博客
04-26 93
通过对oracle参数文件的设置,可以控制访问计算机的ip地址。在配置文件sqlnet.ora中增加:#开启对ip地址的检查tcp.validnode_checking=yes#允许访问的iptcp.invited_nodes=...
linux上的sqlnet.ora限制IP访问.pdf
12-15
linux上的sqlnet.ora限制IP访问.pdf
认识oracle中的sqlnet.ora tnsnames.ora listener.ora三个文件
07-24
认识oracle中的sqlnet.ora tnsnames.ora listener.ora三个文件
Oracle sqlnet.ora配置
04-15
NULL 博文链接:https://ajita.iteye.com/blog/1749626
Listener.orasqlnet.ora、tnsnames.ora三个配置文件区别.docx
10-20
Listener.orasqlnet.ora、tnsnames.ora三个配置文件区别.docx
duplicate database 复制数据库
lyfhehe的博客
03-26 1040
duplicate database 关于复制数据库的几点总结: 1、Starting with Oracle Database 12c, the version of the RMAN client, target database, and auxiliary database must be the same. 也就是说不能在不同的版本上使用复制数据库的方式 2、测试过程中,在...
限制oracle数据库访问IP,SQL注入问题
最新发布
m0_68566281的博客
10-24 306
☆注意:上面的ECA是数据库服务器上的oracle服务器名,例如我本地的是orcl。☆注意:上面括号里的IP地址是项目涉及到的几个服务器的IP地址。上面的PMORA改成oracle服务名,此处应是ECA。例如我本地的是orcl。
使用sqlnet.ora限制IP访问
weixin_33834075的博客
12-05 112
他在最后一个超级遭遇了许多方法值,然后找到一个方法,在DB上限IP访问。 http://blog.csdn.net/jacson_bai/article/details/18097805  ENV:  IP:10.244.170.221  Oracle DB:11.2.0.3    实现功能:  1.仅仅同意某几个IP訪问数据库  2.除了某几个IP,其它都可訪问  实...
限制指定IP访问数据库(sqlnet.ora)
weixin_34384915的博客
02-06 165
2019独角兽企业重金招聘Python工程师标准>>> ...
利用sqlnet.ora限制IP访问
云原生devsecops
10-14 6504
限制IP访问DB
Sqlnet.ora限制IP登录
a743044559的专栏
09-05 1449
在rac环境中限制某些ip登录,可以在oracle数据库写触发器实现,也可以在sqlnet.ora配置实现,更倾向于第二种实现方式,在监听就拒绝连接请求更安全。使用sqlnet.ora限制单用户或IP段 编辑 $ORACLE_HOME/network/admin/sqlnet.ora 添加 tcp.validnode_checking=yes tcp.excluded_nodes=(
oracle sqlnet.ora限制访问IP地址
06-09
是的,你可以通过在oracle sqlnet.ora文件中配置参数来限制访问IP地址。具体来说,你可以使用以下参数: 1. TCP.VALIDNODE_CHECKING:设置为YES以启用IP地址验证。如果客户端IP地址不在sqlnet.ora文件中指定的地址列表中,则连接将被拒绝。 2. TCP.INVITED_NODES:指定被允许连接到服务器的IP地址列表。 例如,如果你想只允许IP地址为192.168.1.100的客户端连接到Oracle服务器,你可以在sqlnet.ora文件中添加以下行: TCP.VALIDNODE_CHECKING = YES TCP.INVITED_NODES = (192.168.1.100)

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值