禁止PLSQL以及其他客户端工具连接ORACLE数据库

最新推荐文章于 2024-07-10 08:51:49 发布
最新推荐文章于 2024-07-10 08:51:49 发布
阅读量4k 收藏
点赞数
分类专栏: ORACLE 文档 文章标签: 安全

这两天一直在弄客户端工具如PLSQL等登录数据库的权限控制,满足了这样不能满足那样,搞得头晕。本来在系统防火墙层面应该也可以实现,但是还是要求在代码上来操作,开始用同事写的一个脚本来测试,虽然可以限制,但是不满足要求。后来改了改,折腾了近一天,终于基本可以满足要求。具体问题在测试中!虽然是暂时可以了,但这个代码我感觉有漏洞,稍微动下手脚应该PLSQL就能登录了!有兴趣的可以拿脚本去测试哈!

要求:客户端工具不能连接数据库,但是java程序可以正常连接!!
开始的时候考虑用SYS_CONTEXT函数获取客户端的计算机名称、IP地址、以及登录数据库的用户名或者java程序服务器的IP和一个特殊字段来进行限制,但后来发现,当plsql和java在一台计算机上面的时候plsql和java都不能正常连接,显然这不是想要的效果!
实在没办法 只能通过v$session的Program字段来进行区别,经过测试,基本可以满足了,但是个人感觉通过Program来判断存在漏洞。具体就不说了!如果你也和我想到一块的,大家可以测试测试 !
附:SYS_CONTEXT函数使用

select SYS_CONTEXT('USERENV', 'TERMINAL') terminal,
       SYS_CONTEXT('USERENV', 'LANGUAGE') language,
       SYS_CONTEXT('USERENV', 'SESSIONID') sessionid,
       SYS_CONTEXT('USERENV', 'INSTANCE') instance,
       SYS_CONTEXT('USERENV', 'ENTRYID') entryid,
       SYS_CONTEXT('USERENV', 'ISDBA') isdba,
       SYS_CONTEXT('USERENV', 'NLS_TERRITORY') nls_territory,
       SYS_CONTEXT('USERENV', 'NLS_CURRENCY') nls_currency,
       SYS_CONTEXT('USERENV', 'NLS_CALENDAR') nls_calendar,
       SYS_CONTEXT('USERENV', 'NLS_DATE_FORMAT') nls_date_format,
       SYS_CONTEXT('USERENV', 'NLS_DATE_LANGUAGE') nls_date_language,
       SYS_CONTEXT('USERENV', 'NLS_SORT') nls_sort,
       SYS_CONTEXT('USERENV', 'CURRENT_USER') current_user,
       SYS_CONTEXT('USERENV', 'CURRENT_USERID') current_userid,
       SYS_CONTEXT('USERENV', 'SESSION_USER') session_user,
       SYS_CONTEXT('USERENV', 'SESSION_USERID') session_userid,
       SYS_CONTEXT('USERENV', 'PROXY_USER') proxy_user,
       SYS_CONTEXT('USERENV', 'PROXY_USERID') proxy_userid,
       SYS_CONTEXT('USERENV', 'DB_DOMAIN') db_domain,
       SYS_CONTEXT('USERENV', 'DB_NAME') db_name,
       SYS_CONTEXT('USERENV', 'HOST') host,
       SYS_CONTEXT('USERENV', 'OS_USER') os_user,
       SYS_CONTEXT('USERENV', 'EXTERNAL_NAME') external_name,
       SYS_CONTEXT('USERENV', 'IP_ADDRESS') ip_address,
       SYS_CONTEXT('USERENV', 'NETWORK_PROTOCOL') network_protocol,
       SYS_CONTEXT('USERENV', 'BG_JOB_ID') bg_job_id,
       SYS_CONTEXT('USERENV', 'FG_JOB_ID') fg_job_id,
       SYS_CONTEXT('USERENV', 'AUTHENTICATION_TYPE') authentication_type,
       SYS_CONTEXT('USERENV', 'AUTHENTICATION_DATA') authentication_data
  from dual

下面是触发器代码!

CREATE OR REPLACE TRIGGER ACCOUNT_LOGON
  AFTER LOGON ON DATABASE
DECLARE
  vv_host varchar2(50);
  v_ip   varchar2(50);
  v_user varchar2(50);
  c_user number;
  c_pass number;
  c_program varchar2(220);
  pragma AUTONOMOUS_TRANSACTION;

BEGIN

  select rtrim(SYS_CONTEXT('USERENV', 'HOST'),chr(0)) into vv_host from dual;
  select SYS_CONTEXT('USERENV', 'IP_ADDRESS') into v_ip from dual;
  select SYS_CONTEXT('USERENV', 'SESSION_USER') into v_user from dual;
  select program into c_program from v$session where sid = (select max(sid) from v$mystat) ;
  select count(*)
    into c_user
    from allow_user
   where Upper(login_user_name) = UPPER(v_user);
  select count(*)
    into c_pass
    from allow_user
   where (Upper(login_user_name) = UPPER(v_user)
     and IP_ADDRESS = v_ip
     and UPPER(V_HOST) = UPPER(vv_host)
     and JUDGE = 1)
     or (v_ip like IP_ADDRESS and upper(pass)= 'YES' and upper(c_program) not like '%PLSQL%');

  if v_ip is not null and c_user >= 1 then
    if c_pass >= 1 then
      insert into u_login
        (HOST, U_NAME, IP, TIME, CONTEXT,PROGRAM)
      values
        (SYS_CONTEXT('USERENV', 'HOST'),
         SYS_CONTEXT('USERENV', 'SESSION_USER'),
         sys_context('USERENV', 'IP_ADDRESS'),
         sysdate,
         'normal',
         c_program);
         commit;
    else
      insert into u_login
        (HOST, U_NAME, IP, TIME, CONTEXT,PROGRAM)
      values
      (SYS_CONTEXT('USERENV', 'HOST'),
       SYS_CONTEXT('USERENV', 'SESSION_USER'),
       sys_context('USERENV', 'IP_ADDRESS'),
       sysdate,
       'ORA-20444',
       c_program);
      commit;
      RAISE_APPLICATION_ERROR(-20444,'You are not allowed to connect to the database');
    end if;

  else

    insert into u_login
      (HOST, U_NAME, IP, TIME, CONTEXT,PROGRAM)
    values
      (SYS_CONTEXT('USERENV', 'HOST'),
       SYS_CONTEXT('USERENV', 'SESSION_USER'),
       sys_context('USERENV', 'IP_ADDRESS'),
       sysdate,
       'normal',
       c_program);
      commit;
  end if;
END;

代码中的and upper(c_program) not like ‘%PLSQL%’ 感觉应该可以换成具体的程序名称,未测试过!
本机没有java环境,测试了plsql的情况,红色框为我的测试IP,如下:
当配置表如下时,plsql 正常登录:
1
当配置表如下时,错误提示出现:
2
3

同时可以查看登录的日志表:
1

更多功能测试!

茄肥猫
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
oracle触发禁止plsql登录,[Oracle] 如何使用触发器实现IP限制用户登录
weixin_42427882的博客
04-07 900
下面是一个触发器的例子:create or replace trigger logon_ip_controlafter logon on databasedeclareip STRING(30);user STRING(30);beginSELECT SYS_CONTEXT('USERENV','SESSION_USER') into user from dual;SELECT SYS_CONTE...
PLSQL 715 ORACLE数据库客户连接工具
11-26
PLSQL 715 ORACLE数据库客户连接工具 里面有安装说明,能顺利注册安装。
如何禁止特定用户使用sqlplus或PL/SQL Developer等工具登陆?
weixin_33787529的博客
12-05 195
最早想要实现禁止某些特定用户使用SQLPLUS或PL/SQL Developer等工具登陆是在2010年的3月,当时发现用户的一套数据库中有大量的用户使用老版本的PL/SQL Developer登陆,具体的版本号记不清楚了,大约是PL/SQL Developer 5的版本,是否正版授权不得而知, 反正就是一个办公室里有大量的阿姨、大叔都靠这个图形化工具访问数据库,做一些必要的...
禁用oracle sqlplus,Oracle SQL PLUS 登录 启动 关闭
weixin_42500616的博客
04-05 391
Oracle SQL PLUS 登录 启动 关闭OracleSQLPLUS基本操作1登录c:\>sqlplus "sys/test1234 as sysdba" 以sysdba身份登录c:\>sqlplus/nolog 以nolog身份登录sql> connect sys/test1234 as sysdbaConnected.启动SQL> startup正常...
禁止客户工具连接oracle,本机不安装Oracle客户,使用PL/SQL Developer和 Instant Client 工具连接oracle 11g远程数据库...
weixin_28340315的博客
04-14 209
一、先到Oracle网站下载Instant Client下载地址:根据你的操作系统选择不同的Instant Client版本。这里下载的是:instantclient-basic-win-x86-64-11.2.0.1.0。下载后是一个压缩文件,解压之后放在你喜欢的目录即可。如下:在C:\GreenSoftware\instantclient-basic-win-x86-64-11.2.0.1.0...
Oracle使用触发器限制IP地址连接数据库
10-25 655
很多时候,需要在同一个机房中或内网下,限制测试服务器不能直接连接生产的数据库,首先想到了通过listener来搞定,修改sqlnet.ora文件,然后重新reload一次listener,但是客户有所担心,万一reload的时候,监听不能连接的问题,于是想到通过防火墙,但是客户告诉,通过防火墙,不可能,再想到了通过触发器,但是在测试的时候,有dba权限的用户无效。下面是整个测试解决过程。 测试环境...
怎么禁止PLSQL Developer导出数据库
whjyggs的专栏
11-03 746
<br />怎么禁止PLSQL Developer导出数据库
PL/SQL登录oracle数据库,无法登录解决方法
lydia88的专栏
04-02 5531
今天遇到了一个问题,学生在使用PL/SQL在进行Oralce数据查询时,查询结果比较多,将PL/SQL强制关闭,今天再使用PL/SQL时,输入用户名和密码后,点击登录,就一直处于加载状态,点击此界面时,弹出窗体,让你关闭PL/SQL。服务和监听都正常启动,而且可以直接登录到SQLPLUS中,进行相应的操作。          在查看他的目录后,发现有两个PL/SQL,而且每个安装的信息不完整,将
Oracle数据库如何取消SQL plus /as sysdba登录
Joy_love_data的博客
04-05 1019
其实,只要LInux用户为属于DBA group下面的用户,SQL plus / as sysdba 根本不需要输入SYS用户密码 就可以登录数据库。带来了一定风险,如何去除这risk呢? cd /u01/app/oracle/product/11.2.0/db_1/network/admin/ 然后创建一个ora文件: vi sqlnet.ora 加入如下一段话 ESC wq SQLNET...
PLSQL工具oracle客户连接方法
09-06
对于初学者来说,正确配置Oracle客户并使用PLSQL工具进行连接至关重要。 首先,我们需要了解Oracle客户的基本组件。主要有两个关键部分:Oracle Instant Client和Oracle SQL Developer。Oracle Instant Client...
不用安装Oracle客户,远程连接Oracle数据库
12-14
下面为大家介绍一种不用安装Oracle客户而利用PLSQL Developer工具远程连接Oracle数据库的方法。 首先需要在Oracle官网上下载这个软件:instantclient-basic-win32。  然后解压,打开这个文件,在里面新建一个...
PLSQL连接Oracle数据库
11-16
PL/SQL Developer 是一个为Oracle数据库开发存储程序单元的集成开发环境(IDE) ,使用 PL/SQL Developer,你能方便地创建你的客户/ 服务器应用程序的服务器部分。PL/SQL Developer压缩包内包含安装程序和注册机;...
Oracle数据库plsql客户
06-07
Oracle数据库客户连接Oracle数据库服务器的软件组件,它包含了用于网络通信、数据转换和服务的工具客户通常包括SQL*Plus、Oracle SQL Developer等工具,使得用户可以从各种操作系统上访问和管理Oracle...
限制用户在某时间段内登陆数据库
kaixiang的博客
03-14 2393
前提条件:1、被限制的用户不能拥有dba权限;2、需要通过sys用户创建触发器。触发器创建方式一:通过plsql链接数据库1)、以sys用户登陆dysdba2)、文件-新建-SQL窗口,编写触发器CREATE OR REPLACE TRIGGER limit_connectionAFTER LOGON ON DATABASEBEGIN IF USER='TM1' THEN IF to_number...
临时阻断应用程序对数据库的访问
Uncle.Cui的技术博客
02-15 281
在做某些操作的时候不希望应用程序访问数据库,特别对于自动重连的业务来说,要阻断业务对数据库的访问还是比较麻烦的。 通常的做法是: 1、修改sqlhosts中的口号,重启数据库; 2、重连的应用肯定报错退出; 3、处理完毕之后,再修改回原来的口号,重启数据库; 这个方法基本上没有问题,只是需要重启2次数据。   这里我们介绍一个更简单的方法: onmode -P start|st...
极其郁闷的一件事情 不允许使用PL/SQL Developer于此数据库
TemateRoom的专栏
04-06 1413
今天下了 Oracle SQL Developer 用用,但是下午来的时候,发现用 PLSQL Developer登陆不上去了提示 不允许使用PL/SQL Developer于此数据库上,郁闷啊,查了资料,用以下解决办法 drop table sys.PLSQLDEV_AUTHORIZATION;就可以了.
oracle10g限制其他客户连接的方法
jackchen的专栏
08-31 830
有时为了oracle数据库安全,需要对oracle数据库连接客户进行安全限制,下面我以oracle10g为例说说如何进行限制: 1、在oracle10g下找到sqlnet.ora文件 2、加入以下两行(如果有这两行,可按需要进行修改) TCP.VALIDNODE_CHECKING = YES TCP.INVITED_NODES= (xx.xx.xx.xx,......),括号内填写允许
plsql权限、数据连接和集合操作
一瓢江湖
07-04 210
[size=medium] 627 ---控制用户权限 Oracle的权限主要包括角色权限、系统权限和对象权限。 --系统权限 DBA: 拥有全部特权,是系统最高权限,只有DBA才可以创建数据库结构。 RESOURCE:拥有Resource权限的用户只可以创建实体,不可以创建数据库结构。 CONNECT:拥有Connect权限的用户只可以登录Oracle,不可以创建实体,不可...
移动互联安全扩展要求测评项
最新发布
hakksjss的博客
07-10 1109
应为无线接入设备的安装选择合理位置,避免过度覆盖和电磁干扰。无线接入设备的安装位置选择不当,易被攻击者利用,特别是攻击者会通过无线信号过度覆盖的弱点进行无线渗透攻击,因此要选择合理的位置安装无线接入设备。
plsql远程连接oracle数据库
06-28
PL/SQL远程连接Oracle数据库需要使用Oracle客户工具,如SQL*Plus或SQL Developer。以下是连接步骤: 1. 安装Oracle客户工具,并确保Oracle数据库已启动。 2. 打开命令行或SQL开发工具。 3. 输入以下命令连接到...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值