11种Oracle监听器保护方法(1)

RHEL4 Oracle监听器会有很多地方可供黑客利用，所以针对RHEL4 Oracle的保护措施就会有很多，下面我们就来一一介绍这11种保护RHEL4 Oracle监听器的方法。

1。RHEL4 Oracle监听器设置密码

通过设置监听器密码可以阻止大部分的菜鸟黑客的进攻，设置密码有两种方法，一种是通过lsnrctl命令来设置，另一种是直接修改listener.ora文件，第一种方法设置的密码是经过加密后存储在listener.ora中，而第二种方法是以明文的形式放在listener.ora中的，所以推荐使用第一种方式。具体命令如下：
LSNRCTL> set current_listener <监听器名>
LSNRCTL> change_password
old password: <如果之前没有设置密码就直接按回车>
New password: <输入新密码>
Reenter new password: <再次输入新密码>
LSNRCTL> set password Password: <输入刚刚设置的新密码>
LSNRCTL> save_config

设置好密码后，打开listener.ora，看是否有一条PASSWORDS_<监听器名>的记录，类似于PASSWORDS_LISTENER = F4BAA4A006C26134.为监听器设置了密码后，必须到客户端重新配置连接。

2.RHEL4 Oracle监听器开启日志

开启监听器日志功能是为了捕获监听器命令和防止密码被暴力破解。开启监听器日志功能的命令为：
LSNRCTL> set current_listener <监听器名>
LSNRCTL> set password Password: <输入监听器密码>
LSNRCTL> set log_directory /network/admin
LSNRCTL> set log_file .log
LSNRCTL> set log_status on
LSNRCTL> save_config

通过运行上面的命令，监听器将会在/network/admin目录下创建一个.log日志文件，以后可以打开该文件查看一些常见的ORA-错误信息。

3.RHEL4 Oracle监听器在listener.ora中设置ADMIN_RESTRICTIONS

在listener.ora文件中设置了ADMIN_RESTRICTIONS参数后，当监听器在运行时，不允许执行任何管理任何，届时，set命令将不可用，不论是在服务器本地还是从远程执行都不行，这时如果要修改监听器设置就只有手工修改listener.ora文件了，通过手工修改listener.ora，要使修改生效，只能使用lsnrctl reload命令或lsnrctl stop/start命令重新载入一次监听器配置信息。在listener.ora文件中手动加入下面这样一行：ADMIN_RESTRICTIONS_<监听器名> = ON

4.RHEL4 Oracle打上最新的监听器补丁

这一点就与操作系统类似，数据库也有bug，也有漏洞，黑客会在漏洞发现第一时间扫描未打补丁的服务器，所以作为一个称职的DBA要随时关注Oracle的CPU(呵呵，不是处理器，是关键补丁升级的意思)，这里要说明的是Oracle监听器的补丁是自动累加的，就像windows xp sp2的内容包括了sp1的所有内容一样，所以只需要按照最新的补丁集就可以了，还有一点要注意的是在生产系统上应用任何补丁前都需要先在测试环境进行测试，保证升级后不影响正常业务才进行升级。最后要说明的是，只有购买了Oracle的正式许可才可以登陆下载补丁，否则就只有从第三方地址下载，其完整性就不能保证了。

5.RHEL4 Oracle监听器利用防火墙阻止SQL*NET

除非的确需要，否则不应该让SQL*NET通讯通过防火墙，在设计防火墙规则时，应设计为只允许经过认证的Web服务器和应用程序通过防火墙进行SQL*NET通信。而且放在防火墙DMZ区域的应用服务器使用SQL*NET通信时，应只允许它与特定的数据库服务器进行通信。

通常很少有应用会从Internet直接访问数据库，因为这种方式的延迟非常明显，通用的做法是配置应用服务器与数据库通信，Internet客户端通过浏览器访问应用服务器即可，这时配置防火墙时也只需设置应用服务器和数据库服务器之间的通信规则即可。