3种方式限制IP访问Oracle数据库

当前位置：首页 - 数据库 - 正文

君子好学，自强不息！

2022-11-22 | 数据库 | admin | 619°c

A⁺ A^-

01概述

本文将给大家介绍如何限制某个ip或某个ip段才能访问Oracle数据库

通过sqlnet.ora
通过/etc/hosts.deny和/etc/hosts.allow
通过iptables
02正式实验

本次实验环境是Centos6.10 + Oracle 11.2.0.4单实例，数据库服务器ip地址为192.168.31.71

1. 通过sqlnet.ora

a. 关闭数据库服务器上的防火墙，修改sqlnet.ora文件该文件放在$ORACLE_HOME/network/admin下，如果没有就在该目录下创建一个即可添加以下两行
```
tcp.validnode_checking=yes
tcp.invited_nodes=(192.168.31.71,192.168.31.77)
```
这里需要注意的是必须把本机ip地址加进来(不能写成localhost和127.0.0.1)，否则监听启动会报错。

b. 重启监听，让sqlnet.ora的修改生效
```
lsnrctlstop
lsnrctlstart
```
设置之后就只有这两个ip地址192.168.31.71, 192.168.31.77能访问数据库，其它ip地址访问会报ORA-12547: TNS:lost contact错误

tcp.invited_nodes的意思是开通白名单，不在白名单中的一律拒绝访问，它也可以写成(192.168.31.*, 192.168.31.0/24)等方式，表明这个网段都能访问。

另外还有个参数tcp.excluded_nodes，表示黑名单，这里不做介绍，有兴趣的可以自己去做做实验。

2. 通过/etc/hosts.deny和/etc/hosts.allow

sqlnet.ora属于数据库层面的限制，但如果一个ip能够使用root或者oracle，ssh到这台数据库服务器的话，那么它依然能够访问数据库。为了避免这种情况，这时就需要通过/etc/hosts.allow和/etc/hosts.deny去限制某个ip或者ip段才能ssh访问数据库服务器先删除前面实验添加的sqlnet.ora，然后重启监听
```
lsnrctlstop
lsnrctlstart
```
a. 修改/etc/hosts.deny

在文件尾部添加一行
```
all:all:deny
```
第一个all表示禁掉所有使用tcp_wrappers库的服务，举例来说就是ssh，telnet等服务。

第二个all表示所有网段。

b. 修改/etc/hosts.allow

在前面一步中我禁掉所有的网段，所以在这一步中要开通指定的网段。

修改/etc/hosts.allow，在文件尾部添加
```
all:192.168.31.71:allow
all:192.168.31.47:allow
```
格式与hosts.deny一样，第一行表示把本机放开，第二行表示给.47开通白名单

下面用我另外一台机器(即不在allow中的)ssh或telnet连接71这个机器，就会出现如下报错
```
[oracle@oracle19c1~]$ssh192.168.31.71
ssh_exchange_identification:read:Connectionresetbypeer

[oracle@oracle19c1~]$telnet192.168.31.7122
Trying192.168.31.71...
Connectedto192.168.31.71.
Escapecharacteris'^]'.
Connectionclosedbyforeignhost.
```
连数据库却不受影响，因为数据库服务不归hosts.deny和hosts.allow管
```
[oracle@oracle19c1~]$sqlplussys/xxxxx@192.168.31.71:1521/orcltestassysdba

SQL*Plus:Release19.0.0.0.0-ProductiononSunAug1623:12:492020
Version19.3.0.0.0

Copyright(c)1982,2019,Oracle.Allrightsreserved.

Connectedto:
OracleDatabase11gEnterpriseEditionRelease11.2.0.4.0-64bitProduction
WiththePartitioning,OLAP,DataMiningandRealApplicationTestingoptions
```
其中ip地址也可以换成以下的写法

通配符的形式 192.168.31.*表示192.168.31这个网段

网段/掩码 192.168.31.0/255.255.255.0也表示192.168.31这个网段

3. 通过iptables

sqlnet.ora能够限制数据库的访问，/etc/hosts.deny和/etc/hosts.allow能够限制ssh的访问，那有没有办法既能限制数据库的访问，也能限制ssh的访问呢，答案就是linux自带的防火墙功能了。为了实验，将前面做的修改全部清除。

使用root执行以下命令
```
serviceiptablesstart#打开防火墙服务iptables-IINPUT-s192.168.31.0/24-ptcp--dport1521-jACCEPT#允许192.168.31网段的ip访问本机1521端口iptables-IINPUT!-s192.168.31.0/24-ptcp--dport22-jDROP#拒绝非192.168.31网段的ip访问本机22端口serviceiptablessave#规则保存到配置文件/etc/sysconfig/iptables中
```
这样就同时限制了其它ip对服务器的ssh和数据库访问一些扩展知识：
```
iptables-L-n--line-numbers#查看当前系统中的iptablesiptables-DINPUT2#删除input链中编号为2的规则，编号数字可以通过上一个命令得到
```
03总结
1. 如果只是限制其它ip对数据库的访问，使用sqlnet.ora
2. 如果要限制其它ip对数据库所在服务器上的ssh连接，使用/etc/hosts.deny和/etc/hosts.allow
3. 前面两个配合起来，基本上就能保证你的数据库安全了。但是如果你对linux的iptables很熟悉，那么直接使用iptables去限制。
4. 使用/etc/hosts.deny和iptables时一定要保证自己的操作机能连到服务器，不然很容易就把自己锁死在外面了。