Oracle监听管理-动态注册服务有效节点注册检查(VNCR) (Doc ID 2226611.1)-远程监听TNS投毒

已于 2023-10-11 21:47:01 修改
阅读量1.7k 收藏 2
点赞数
分类专栏: ORACLE数据库审计-安全 ORACLE数据库监听listener相关 文章标签: mysql 数据库 centos
于 2019-12-24 22:31:38 首次发布

适用于:
Oracle Net Services - 版本 11.2.0.4 到 12.1.0.2 [发行版 11.2 到 12.1]
本文档所含信息适用于所有平台
介绍listener新的注册相关的安全功能 - 有效节点检查功能。11.2.0.4以及更高版本里引入这个功能是为了解决下面的安全问题:
alert-cve-2012-1675https://www.oracle.com/technetwork/topics/security/alert-cve-2012-1675-1608180.html
用途
 VNCR 是 Oracle Net 11.2.0.4 和 12c 的一个新特性,只允许注册实例来自允许的服务器。

仅当注册来自于一个有效节点时才允许注册成功,该想法确保了 listener 的安全性。
通过 listener.ora 文件,用户可以指定允许注册的节点列表,或者排除掉的节点列表。
这消除了复杂的 COST 设置来确保恶意的服务器不会注册到 listener。
同一台主机不能同时出现在邀请和排除列表中。如果同时指定了,则邀请节点优先。
该特性独立于客户端使用的有效节点检查。
适用范围
详细信息

如果没有手工配置,12c listener(默认)不允许远程服务器注册它们的数据库实例。远程注册将会导致 TNS-01182 错误记录到 listener.log 文件中。这是正常行为,因为 listener 默认只允许注册的实例来自与 listener 相同的机器。

注意:Oracle 11.2.0.4上,

VALID_NODE_CHECKING_REGISTRATION_listener_name 默认 是OFF,必须设置成 ON 来启用阻塞远程注册的功能。

为了允许远程实例注册到 12c listener,在 listener.ora 文件中启用 VNCR。

参见只影响 HPUX Itanium 系统的  BUG 20438237 VNCR doesn't work on RAC 

VALID_NODE_CHECKING_REGISTRATION_listener_name
参数值:
     OFF/0 - 禁用 VNCR
     ON/1/LOCAL - 默认。启用 VNCR。所有本地机器 IPs 都可以注册。
     SUBNET/2 - 子网下的所有机器都允许注册。

REGISTRATION_INVITED_NODES_listener-name
 参数值是有效 IP,有效主机,子网使用 CIDR 标记法(对于 ip4/6/),或者通配符(*)对于 ipv4。例如:REGISTRATION_INVITED_NODES_Listener=(net-vm1, 127.98.45.209, 127.42.5.*)

注意当设置了 INVITED 列表,它会自动在列表中包含机器的本地 IP。没有必要将其列入。

注意:对于12c GRID 环境,这个参数一般被CRS agent所管理。也适用于GRID环境里的standalone DB。对于GRID管理的standalone DB,agent可能会自动添加下面的配置到

关于12.2版本更多信息,请参考下面的文档:

http://docs.oracle.com/database/122/NETAG/NETAG.pdf

  1.  非RAC/集群环境

~~~~~~~~~~
请注意上面的信息主要是针对RAC/集群环境。
对于非集群环境下的11.2.0.4 standalone listener(不属于grid infrastucture管理的),

只需要下面的行即可
VALID_NODE_CHECKING_REGISTRATION_listener_name = ON
* 不管动态注册还是静态注册的11.2.0.4 listener,基于安全的原因,都应该设置上面这一行。

    2 对于集群环境如下;

listener.ora:

VALID_NODE_CHECKING_REGISTRATION_listener_name=SUBNET

REGISTRATION_EXCLUDED_NODES_listener_name – 和 INVITED_NODES 相比正好相反

Sample listener.ora file:

LISTENER=(DESCRIPTION=(ADDRESS_LIST=(ADDRESS=(PROTOCOL=IPC)(KEY=LISTENER)))) # line added by Agent 
MGMTLSNR=(DESCRIPTION=(ADDRESS_LIST=(ADDRESS=(PROTOCOL=IPC)(KEY=MGMTLSNR)))) # line added by Agent 
# listener.ora Network Configuration File: /u01/app/12.1.0.2/grid/network/admin/listener.ora 
# Generated by Oracle configuration tools.

ENABLE_GLOBAL_DYNAMIC_ENDPOINT_LISTENER_SCAN3 = ON

ENABLE_GLOBAL_DYNAMIC_ENDPOINT_LISTENER_SCAN2 = ON

ENABLE_GLOBAL_DYNAMIC_ENDPOINT_LISTENER_SCAN1 = ON

ENABLE_GLOBAL_DYNAMIC_ENDPOINT_LISTENER = ON

LISTENER_SCAN3 = (DESCRIPTION = (ADDRESS_LIST = (ADDRESS = (PROTOCOL = IPC)(KEY = LISTENER_SCAN3)) ) )

LISTENER_SCAN2 = (DESCRIPTION = (ADDRESS_LIST = (ADDRESS = (PROTOCOL = IPC)(KEY = LISTENER_SCAN2)) ) )

LISTENER_SCAN1 = (DESCRIPTION = (ADDRESS_LIST = (ADDRESS = (PROTOCOL = IPC)(KEY = LISTENER_SCAN1)) ) )

ENABLE_GLOBAL_DYNAMIC_ENDPOINT_MGMTLSNR=ON # line added by Agent 

ADMIN_RESTRICTIONS_ADMIN=ON ENABLE_GLOBAL_DYNAMIC_ENDPOINT_EBSPRD01=ON # line added by Agent

集群环境 需要注明 scan1的INvited nodes

VALID_NODE_CHECKING_REGISTRATION_MGMTLSNR=SUBNET # line added by Agent
VALID_NODE_CHECKING_REGISTRATION_LISTENER_SCAN3=OFF # line added by Agent 
VALID_NODE_CHECKING_REGISTRATION_LISTENER_SCAN2=OFF # line added by Agent

VALID_NODE_CHECKING_REGISTRATION_LISTENER_SCAN1=OFF # line added by Agent

集群配置

VALID_NODE_CHECKING_REGISTRATION_LISTENER = ON

VALID_NODE_CHECKING_REGISTRATION_LISTENER_SCAN1= ON

REGISTRATION_INVITED_NODES_LISTENER=(hostip all nodes,vip all nodes)

VALID_NODE_CHECKING_REGISTRATION_LISTENER = ON
VALID_NODE_CHECKING_REGISTRATION_LISTENER_SCAN1= ON
REGISTRATION_INVITED_NODES_LISTENER=(20.120.204.207,20.120.204.208,20.120.204.209,20.120.204.210,20.120.204.211,20.120.60.202,20.120.60.203)
REGISTRATION_INVITED_NODES_LISTENER_SCAN1=(20.120.204.207,20.120.204.208,20.120.204.209,20.120.204.210,20.120.204.211,20.120.60.202,20.120.60.203)
 

lsnrctl reload

lsnrct reload listener_scan1

1 单实例配置案例分析 

测试229.42像229.12注册服务。

1 对于单实例数据库环境,在$ORACLE_HOME/network/admin/listener.ora文件中添加如下

VALID_NODE_CHECKING_REGISTRATION_listener_nscs=ON

2 远程实例添加remote_listener参数
alter system set remote_listener='(ADDRESS=(PROTOCOL=TCP)(HOST=10.228.229.12)(PORT=1521))'

TNS-01182: Listener rejected registration of service ""
Wed Dec 25 05:41:51 2019
25-DEC-2019 05:41:51 * (CONNECT_DATA=(CID=(PROGRAM=)(HOST=orcldb01)(USER=orcldb))(COMMAND=services)(ARGUMENTS=64)(SERVICE=listener_nscs)(VERSION=186647552)) * services * 0
25-DEC-2019 05:41:52 * (CONNECT_DATA=(CID=(PROGRAM=)(HOST=orcldb01)(USER=orcldb))(COMMAND=services)(ARGUMENTS=64)(SERVICE=listener_nscs)(VERSION=186647552)) * services * 0
Wed Dec 25 05:42:34 2019
25-DEC-2019 05:42:34 * service_register * nscs * 0
Listener(VNCR option 1) rejected Registration request from destination 10.228.229.42
25-DEC-2019 05:42:38 * service_register_NSGR * 1182
TNS-01182: Listener rejected registration of service ""
Wed Dec 25 05:42:46 2019
Listener(VNCR option 1) rejected Registration request from destination 10.228.229.42
25-DEC-2019 05:42:46 * service_register_NSGR * 1182
TNS-01182: Listener rejected registration of service ""
Listener(VNCR option 1) rejected Registration request from destination 10.228.229.42
25-DEC-2019 05:42:46 * service_register_NSGR * 1182
TNS-01182: Listener rejected registration of service ""
Listener(VNCR option 1) rejected Registration request from destination 10.228.229.42
25-DEC-2019 05:42:47 * service_register_NSGR * 1182
TNS-01182: Listener rejected registration of service ""
Listener(VNCR option 1) rejected Registration request from destination 10.228.229.42
25-DEC-2019 05:42:47 * service_register_NSGR * 1182
TNS-01182: Listener rejected registration of service ""
Listener(VNCR option 1) rejected Registration request from destination 10.228.229.42
25-DEC-2019 05:42:47 * service_register_NSGR * 1182
TNS-01182: Listener rejected registration of service ""
Listener(VNCR option 1) rejected Registration request from destination 10.228.229.42
25-DEC-2019 05:42:48 * service_register_NSGR * 1182
TNS-01182: Listener rejected registration of service ""
Listener(VNCR option 1) rejected Registration request from destination 10.228.229.42
25-DEC-2019 05:42:48 * service_register_NSGR * 1182
TNS-01182: Listener rejected registration of service ""
Listener(VNCR option 1) rejected Registration request from destination 10.228.229.42
25-DEC-2019 05:42:48 * service_register_NSGR * 1182
TNS-01182: Listener rejected registration of service ""
Listener(VNCR option 1) rejected Registration request from destination 10.228.229.42
25-DEC-2019 05:42:48 * service_register_NSGR * 1182
TNS-01182: Listener rejected registration of service ""
Listener(VNCR option 1) rejected Registration request from destination 10.228.229.42
25-DEC-2019 05:42:49 * service_register_NSGR * 1182
TNS-01182: Listener rejected registration of service ""

执笔画情ora
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Oracle 11.2.0.4/12C新特性Valid Node Checking For Registration (VNCR)
My Technology Workstation
06-25 4701
防止非法数据库服务注册到重要监听
linux oracle 漏洞,Oracle数据库服务TNS侦听器远程注册漏洞(CVE-2012-1675)
weixin_33240229的博客
04-02 650
因此,扫描程序显示了一些没有任何事实的好文本消息(时间戳,地址,它如何确定监听器易受攻击).但是你说你在服务器上什么都没看到.监听器记录服务注册.它还会记录已启用VNCR的拒绝尝试.所以这是我没有参数集的监听器:[oracle@o61 ~]$cat /u01/app/oracle/product/11.2.0/dbhome_1/network/admin/listener.ora# listene...
Oracle Database Server 'TNS Listener'远程数据投毒漏洞(CVE-2012-1675)的解决文档
05-25
安全厂家给出的解决办法: 链接:http://www.oracle.com/technetwork/topics/security/alert-cve-2012-1675-1608180.html 根据此链接得到解决方法: ? 1234 SolutionRecommendations for protecting against this vulnerability can be found at:My Oracle Support Note 1340831.1 for Oracle Database deployments that use Oracle Real Application Clusters (RAC).My Oracle Support Note 1453883.1 for Oracle Database deployments that do not use RAC. 目前这里环境不是RAC,参考文档1453883.1: Using Class of Secure Transport (COST) to Restrict Instance Registration (
oracle TNS Listener 远程投毒漏洞修复
zongzizz的博客
09-27 1970
oracle TNS Listener 远程投毒漏洞修复
12.2RAC只有一个节点可以注册到SCAN监听中处理
还不算晕的专栏
11-13 2229
12.2RAC,只有一个节点可以注册到SCAN监听中(即SCAN运行在哪个节点哪个节点可以注册远程节点无法注册); 分析排查一通,是VNCR特性原因,人工增加SCAN监听属性的invitednodes节点信息即可。 srvctl modify scan_listener -update -invitednodes "test01,test02" VNCR特性可以参考两个MOS文档:Valid Node Checking For Registration (VNCR) (Doc ID 1600630.1)
ORACLE TNS Listener 远程注册投毒
最新发布
sqlora的专栏
07-02 43
简单来说对于 11.2.0.4 以前的版本需要打上对应补丁 ,创建 wallet 密钥并对监听进行相应的修改,而对于 11.2.0.4 及 12c 以上的版本只需要把默认的 VALID_NODE_CHECKING_REGISTRATION_listener_name 参数至为 on 即可。( 6 )试用破解的用户名 / 密码登陆 Oracle ,完成对 Oracle 中数据的访问。( 2 )新登陆的用户,在 TNS 的负载均衡策略下,有可能流量登录到伪造的监听。如果监听名改过记得修改。
11GR2 Oracle数据库远程投毒VNCR方式修复
weixin_30639719的博客
11-04 334
【环境介绍】 系统环境:Solaris + Oracle 11GR2 + 单机/RAC 【背景描述】 基于集团数据库安全检查项,需要数据库远程投毒漏洞进行修复。 根据Oracle官方提供的修复文档: Using Class of Secure Transport (COST) to Restrict Instance Registration (Doc ID 1453883.1)...
2019-01-28 KK日记,不得不说的ORACLE 实例的remote listener的远程注册
IT匠人的专栏
01-29 1189
一、背景 某天,dba完成生产库的恢复演练,然后打开测试数据库oracle 11g rac架构),结果发现生产应用连接到我们刚恢复的数据库上,还成功执行了sql。 二、问题 为什么生产应用会自动连接到刚恢复的数据库呢? 三、数据收集和分析 3.1 检查应用配置 检查应用代码没有直接连接测试库。 检查应用的通用数据库连接配置文件,没有发现连接测试库的配置。 3.2 在应用端抓包 发...
oracle 远程配置tns,ORACLETNSListener远程注册安全漏洞
weixin_27038261的博客
04-04 386
1.自己需要有一台 oracle server 服务器2.登录自己的oracle server,下列设置尽量和生产服务器的相同(好像不是必须,我没有逐一验证)db_namestringorcldb_unique_namestringorclinstance_namestringorclservice_namesstringorcl3.自己的机器创建 tnsnams 名称随便起名 解...
tns监听
ayvatan的专栏
02-02 555
学习ORACLE也有一段时间了 但一直没咋弄明白net manager具体配置之类的 , 说来惭愧 等于前段时间的学习只是装模做样罢了 这么重要的东西都不懂 今天弄了个明白 官方资料: Oracle Net Manager is a graphical user interface tool that combines configuration abilities with Oracle N
oracle无法启动tnslistener服务
12-29
oracle无法启动tnslistener服务oracle无法启动tnslistener服务
连接Oracle数据库时报ORA-12541:TNS:无监听程序的图文解决教程
09-10
主要介绍了连接Oracle数据库时报ORA-12541:TNS:无监听程序的图文解决教程,非常不错,具有参考借鉴价值,需要的朋友可以参考下
TNS-12541: TNS: 无监听程序 TNS-12560
08-13
TNS-12541: TNS: 无监听程序 TNS-12560: TNS: 协议适配器错误 TNS-00511: 无监听程序 文章转自:http://www.luocs.com/archives/464.html 此文版权归作者 – yaogang所有,转载请注明yaogang©www.luocs.com。 ...
oracle远程连接服务器出现 ORA-12170 TNS:连接超时 解决办法
12-16
错误检查:有很多是oracle自身安装的问题,但是我这里服务器配置正常,监听正常,服务正常,远程可以ping通服务器。 这里主要是防火墙问题,解决办法: (1)关闭防火墙; (2)在防火墙中添加,orcale端口1521例外...
【转】Oracle 11.2.0.4/12C新特性Valid Node Checking For Registration (VNCR)
weixin_30287169的博客
12-04 371
来源:http://blog.csdn.net/smasegain/article/details/46640345 一.官方说明 Oracle 11.2.0.4及12.1.0.1以后Net Service发布了一个新的特性:Valid Node Checking For Registration (VNCR)。不过我在自己offline 官方文档中并没有找到该功能的详细说明,...
oracle动态注册监听也能远程启动数据库
脑子进水养啥鱼?的博客
10-21 482
之前一直以为oracle服务器端配动态监听,客 户端就不能远程开启数据库。最近又从前辈们那get到了一个新技能。             若客户端数据库处于nomount状态,动态监听状态下,客户端也可以开启数据库。只需要修改一下客户端的tnsnames.ora即可。        这样就可以在客户端将数据库的状态由nomount改为open了。
一个DG环境的ORA-16047: DGID mismatch between destination setting and target database问题排查及监听VNCR特性
还不算晕的专栏
03-16 2028
DG环境的现在已经是一个基础常见的架构,整体架构成熟稳定,已经是公司的常规实施项目。近期,同事转来一个问题,DG搭建好后,报错ORA-16047: DGID mismatch between destination setting and target database。 这个报错看起来是DGID不匹配,通常配置log_archive_config='DG_CONFIG参数即可;本次问题排查发现,此参数设置正常,为何仍有此问题? 接下来基于DG的配置原理出发,一步步排查此问题: 1.根据报错,查看log
crs_register/crs_unregister 注册与移除RAC服务
乐沙弥的世界
11-29 7358
crs_register命令主要是将资源注册到CRS。该方法通常结合crs_stat -p 或者crs_profile先创建配置文件。同时crs_register也具有更新CRS的功能。本文将描述crs_register以及crs_unregister的用法。    在使用crs_register之前,可以使用crs_profile创建资源配置文件。缺省情况下,未指定配置文件的路径时,新创建的资源
alert-cve-2012-1675远程投毒-VNCR方式修复
biaolinglv6454的博客
07-16 747
与该远程投毒相关的MOS文档:2226611.1 介绍listener新的注册相关的安全功能 - 有效节点检查功能。11.2.0.4以及更高版本里引入这个功能是为了解决下面的安全问题:alert-cve-2012-1675 VNCR 是 Oracle Net 11.2.0.4 和 12c 的一个新特性,只允许注册实例来自允许的服务器。 仅当注册来自于一个有效节点时才允许注册成功,该想法确保了 ...
oracle数据库监听报错,Oracle EBS系统数据库监听报错TNS-12547、TNS-12560和TNS-00517解决方法...
06-09
对于 Oracle 数据库监听报错,可以尝试以下解决方法: 1. 检查监听程序是否启动。可以使用 lsnrctl status 命令来查看监听程序的状态。 2. 检查监听程序的配置文件是否正确。可以使用 lsnrctl show 命令来查看监听程序的配置信息。 3. 检查监听程序的日志文件。可以查看监听程序的日志文件,以了解具体的错误信息。 4. 检查网络连接是否正常。可以使用 ping 命令来测试网络连接是否正常。 5. 检查防火墙设置。如果使用了防火墙,需要确保监听程序的端口已经打开。 对于 Oracle EBS 系统数据库监听报错 TNS-12547、TNS-12560 和 TNS-00517,可以尝试以下解决方法: 1. 检查监听程序的配置文件是否正确。可以使用 lsnrctl show 命令来查看监听程序的配置信息。 2. 检查数据库实例是否启动。可以使用 sqlplus 命令来连接数据库实例并检查其状态。 3. 检查数据库实例的监听程序是否正确配置。可以使用 lsnrctl status 命令来查看监听程序的状态。 4. 检查网络连接是否正常。可以使用 ping 命令来测试网络连接是否正常。 5. 检查防火墙设置。如果使用了防火墙,需要确保监听程序的端口已经打开。 希望以上方法可以帮助你解决问题。如果问题仍然存在,请提供更多详细信息以便更好地帮助你解决问题。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值