Oracle數(shù)據(jù)庫網(wǎng)絡與安全FAQ的操作有哪些

Oracle數(shù)據(jù)庫網(wǎng)絡與安全FAQ的操作有哪些，很多新手對此不是很清楚，為了幫助大家解決這個難題，下面小編將為大家詳細講解，有這方面需求的人可以來學習下，希望你能有所收獲。

       [Q]如何限定特定IP訪問數(shù)據(jù)庫
　　[A]可以利用登錄觸發(fā)器、cmgw或者是在$OREACLE_HOME/network/admin下新增一個protocol.ora文件(有些os可能是. protocol.ora)，9i可以直接修改sqlnet.ora:
　　增加如下內(nèi)容:
　　tcp.validnode_checking=yes
　　#允許訪問的i
　　tcp.inited_nodes=(ip1,ip2,……)
　　#不允許訪問的i
　　tcp.excluded_nodes=(ip1,ip2,……)
　　[Q]如何穿過防火墻連接數(shù)據(jù)庫
　　[A]這個問題只會在WIN平臺出現(xiàn)，UNIX平臺會自動解決。
　　解決方法:
　　在服務器端的SQLNET.ORA應類似
　　SQLNET.AUTHENTICATION_SERVICES= (NTS)
　　NAMES.DIRECTORY_PATH= (TNSNAMES, ONAMES, HOSTNAME)
　　TRACE_LEVEL_CLIENT = 16
　　注冊表的HOME0加[HKEY_LOCAL_MACHINE]
　　USE_SHARED_SOCKET=TRUE
　　[Q]如何利用hostname方式連接數(shù)據(jù)庫
　　[A]host name方式只支持tcp/ip協(xié)議的小局域網(wǎng)
　　修改listener.ora中的如下信息
　　(SID_DESC =
　　(GLOBAL_DBNAME = ur_hostname) --你的機器名
　　(ORACLE_HOME = E:oracleora92) --oracle home
　　(SID_NAME = orcl) --sid name
　　)
　　然后在客戶端的sqlnet.ora中，確保有
　　NAMES.DIRECTORY_PATH= (HOSTNAME)
　　你就可以利用數(shù)據(jù)庫服務器的名稱訪問數(shù)據(jù)庫了
　　[Q]dbms_repcat_admin能帶來什么安全隱患
　　[A]以下情況可能獲得該包的執(zhí)行權限:
　　1、在sys下
　　grant execute on dbms_repcat_admin to public[　user_name]
　　2、用戶擁有execute any procedure特權(僅限于9i以下，9i必須顯示授權)
　　如果用戶通過執(zhí)行如下語句:
　　exec sys.dbms_repcat_admin.grant_admin_any_schema('user_name');
　　該用戶將獲得極大的系統(tǒng)特權
　　可以從user_sys_privs中獲得詳細信息
　　[Q]在不知道用戶密碼的時候，怎么樣跳轉到另外一個用戶執(zhí)行操作后并不影響該用戶?
　　[A]我們通過如下的方法，可以安全使用該用戶，然后再跳轉回來，在某些時候比較有用
　　需要Alter user權限或DBA權限:
　　SQL> select password from dba_users where username='SCOTT';
　　PASSWORD
　　-----------------------------
　　F894844C34402B67
　　SQL> alter user scott identified by lion;
　　User altered.
　　SQL> connect scott/lion
　　Connected.
　　REM Do whatever you like...
　　SQL> connect system/manager
　　Connected.
　　SQL> alter user scott identified by values 'F894844C34402B67';
　　User altered.
　　SQL> connect scott/tiger
　　Connected
　　[Q]如何加固你的數(shù)據(jù)庫
　　[A]要注意以下方面
　　1. 修改sys, system的口令。
　　2. Lock，修改，刪除默認用戶: dbsnmp,ctxsys等。
　　3. 把REMOTE_OS_AUTHENT改成False，防止遠程機器直接登陸。
　　4. 把O7_DICTIONARY_ACCESSIBILITY改成False。
　　5. 把一些權限從PUBLIC Role取消掉。
　　6. 檢查數(shù)據(jù)庫的數(shù)據(jù)文件的安全性。不要設置成666之類的。檢查其他dba 用戶。
　　7. 把一些不需要的服務(比如ftp, nfs等關閉掉)
　　8. 限制數(shù)據(jù)庫主機上面的用戶數(shù)量。
　　9. 定期檢查Metalink/OTN上面的security Alert。比如:http://otn.oracle.com/deploy/security/alerts.htm
　　10. 把你的數(shù)據(jù)庫與應用放在一個單獨的子網(wǎng)中，要不然你的用戶密碼很容易被sniffer去?；蛘卟捎胊dvance security，對用戶登錄加密。
　　11. 限止只有某些ip才能訪問你的數(shù)據(jù)庫。
　　12. lsnrctl 要加密碼，要不然別人很容易從外面關掉你的listener。
　　13. 如果可能，不要使用默認1521端口
　　[Q]如何檢查用戶是否用了默認密碼
　　[A]如果使用默認密碼，很可能就對你的數(shù)據(jù)庫造成一定的安全隱患，那么可以使用如下的查詢獲得那些用戶使用默認密碼
　　select username "User(s) with Default Password!"
　　from dba_users
　　where password in
　　('E066D214D5421CCC', -- dbsnm
　　'24ABAB8B06281B4C', -- ctxsys
　　'72979A94BAD2AF80', -- mdsys
　　'C252E8FA117AF049', -- odm
　　'A7A32CD03D3CE8D5', -- odm_mtr
　　'88A2B2C183431F00', -- ordplugins
　　'7EFA02EC7EA6B86F', -- ordsys
　　'4A3BA55E08595C81', -- outln
　　'F894844C34402B67', -- scott
　　'3F9FBD883D787341', -- wk_proxy
　　'79DF7A1BD138CF11', -- wk_sys
　　'7C9BA362F8314299', -- wmsys
　　'88D8364765FCE6AF', -- xdb
　　'F9DA8977092B7B81', -- tracesvr
　　'9300C0977D7DC75E', -- oas_public
　　'A97282CE3D94E29E', -- websys
　　'AC9700FD3F1410EB', -- lbacsys
　　'E7B5D92911C831E1', -- rman
　　'AC98877DE1297365', -- perfstat
　　'66F4EF5650C20355', -- exfsys
　　'84B8CBCA4D477FA3', -- si_informtn_schema
　　'D4C5016086B2DC6A', -- sys
　　'D4DF7931AB130E37') -- system
　　/
[Q]如何修改默認的XDB監(jiān)聽端口
　　[A]Oracle9i默認的XML DB把HTTP的默認端口設為8080，這是一個太常用的端口了，很多別的WebServer都會使用這個端口，
　　如果我們安裝了它，最好修改一下，避免沖突，如果不使用呢，就最好不要安裝
　　提供三種修改的方法
　　1.dbca，選擇你的數(shù)據(jù)庫，然后Standard Database Features->Customize->Oracle XML DB option，進入這個畫面你應該就知道怎么改了。
　　2.OEM console，在XML Database 的配置里面修改
　　3.用oracle提供的包:
　　-- 把HTTP/WEBDAV端口從8080改到8081
　　SQL> call dbms_xdb.cfg_update(updateXML(dbms_xdb.cfg_get(),
　　'/xdbconfig/sysconfig/protocolconfig/httpconfig/http-port/text()',8081))
　　/
　　-- 把FTP端口從2100改到2111
　　SQL> call dbms_xdb.cfg_update(updateXML(dbms_xdb.cfg_get(),
　　'/xdbconfig/sysconfig/protocolconfig/ftpconfig/ftp-port/text()',2111))
　　/
　　SQL> commit;
　　SQL> exec dbms_xdb.cfg_refresh;
　　-- 檢查修改是否已經(jīng)成功
　　SQL> select dbms_xdb.cfg_get from dual;
　　[Q]怎么捕獲用戶登錄信息，如SID，IP地址等
　　[A]可以利用登錄觸發(fā)器，如
　　CREATE OR REPLACE TRIGGER tr_login_record
　　AFTER logon ON DATABASE
　　DECLARE
　　miUserSid NUMBER;
　　mtSession v$session%ROWTYPE;
　　CURSOR cSession(iiUserSid IN NUMBER) IS
　　SELECT * FROM v$session
　　WHERE sid=iiUserSid;
　　BEGIN
　　SELECT sid INTO miUserSid FROM v$mystat WHERE rownum<=1;
　　OPEN cSession(miUserSid);
　　FETCH cSession INTO mtSession;
　　--if user exists then insert data
　　IF cSession%FOUND THEN
　　INSERT INTO log$information(login_user,login_time,ip_adress,ausid,terminal,
　　osuser,machine,program,sid,serial#)
　　VALUES(ora_login_user,SYSDATE,SYS_CONTEXT ('USERENV','IP_ADDRESS'),
　　userenv('SESSIONID'),
　　mtSession.Terminal,mtSession.Osuser,
　　mtSession.Machine,mtSession.Program,
　　mtSession.Sid,mtSession.Serial#);
　　ELSE
　　--if user don't exists then return error
　　sp_write_log('Session Information Error:'　　SQLERRM);
　　CLOSE cSession;
　　raise_application_error(-20099,'Login Exception',FALSE);
　　END IF;
　　CLOSE cSession;
　　EXCEPTION
　　WHEN OTHERS THEN
　　sp_write_log('Login Trigger Error:'　　SQLERRM);
　　END tr_login_record;
　　在以上觸發(fā)器中需要注意以下幾點
　　1、該用戶有v_$session與v_$mystat的對象查詢權限，可以在sys下對該擁護顯式授權。
　　2、sp_write_log原本是一個寫日志的過程，可以置換為自己的需要，如null跳過。
　　3、必須在創(chuàng)建該觸發(fā)器之前創(chuàng)建一個log$information的表記錄登錄信息。
　　[Q]怎么捕獲整個數(shù)據(jù)庫的DDL語句或者是說對象結構變化與修改
　　[A]可以采用DDL觸發(fā)器，如
　　CREATE OR REPLACE TRIGGER tr_trace_ddl
　　AFTER DDL ON DATABASE
　　DECLARE
　　sql_text ora_name_list_t;
　　state_sql ddl$trace.ddl_sql%TYPE;
　　BEGIN
　　FOR i IN 1..ora_sql_txt(sql_text) LOOP
　　state_sql := state_sql　　sql_text(i);
　　END LOOP;
　　INSERT INTO ddl$trace(login_user,ddl_time,ip_address,audsid,
　　schema_user,schema_object,ddl_sql)
　　VALUES(ora_login_user,SYSDATE,userenv('SESSIONID'),
　　sys_context('USERENV','IP_ADDRESS'),
　　ora_dict_obj_owner,ora_dict_obj_name,state_sql);
　　EXCEPTION
　　WHEN OTHERS THEN
　　sp_write_log('Capture DDL Excption:'　　SQLERRM);
　　END tr_trace_ddl;
　　在創(chuàng)建以上觸發(fā)器時要注意幾點
　　1、必須創(chuàng)建一個ddl$trace的表，用來記錄ddl的記錄
　　2、sp_write_log原本是一個寫日志的過程，可以置換為自己的需要，如null跳過

看完上述內(nèi)容是否對您有幫助呢？如果還想對相關知識有進一步的了解或閱讀更多相關文章，請關注億速云行業(yè)資訊頻道，感謝您對億速云的支持。