如何限制ip訪問Oracle數據庫

1、概述

本文將給你們介紹如何限制某個ip或某個ip段才能訪問Oracle數據庫

1. 經過sqlnet.ora
2. 經過/etc/hosts.deny和/etc/hosts.allow
3. 經過iptables

2、正式實驗

本次實驗環境是Centos6.10 + Oracle 11.2.0.4單實例，數據庫服務器ip地址爲192.168.31.71

1. 經過sqlnet.ora

a. 關閉數據庫服務器上的防火牆，修改sqlnet.ora文件

該文件放在$ORACLE_HOME/network/admin下，若是沒有就在該目錄下建立一個便可
添加如下兩行

tcp.validnode_checking = yes
tcp.invited_nodes = (192.168.31.71, 192.168.31.77)

這裏須要注意的是必須把本機ip地址加進來（不能寫成localhost和127.0.0.1），不然監聽啓動會報錯

b. 重啓監聽，讓sqlnet.ora的修改生效

lsnrctl stop
lsnrctl start

設置以後就只有這兩個ip地址192.168.31.71, 192.168.31.77能訪問數據庫，其它ip地址訪問會報ORA-12547: TNS:lost contact錯誤
tcp.invited_nodes的意思是開通白名單，不在白名單中的一概拒絕訪問，它也能夠寫成(192.168.31.*, 192.168.31.0/24)等方式，代表這個網段都能訪問
另外還有個參數tcp.excluded_nodes，表示黑名單，這裏不作介紹，有興趣的能夠本身去作作實驗

2. 經過/etc/hosts.deny和/etc/hosts.allow

sqlnet.ora屬於數據庫層面的限制，但若是一個ip可以使用root或者oracle，ssh到這臺數據庫服務器的話，那麼它依然可以訪問數據庫。爲了不這種狀況，這時就須要經過/etc/hosts.allow和/etc/hosts.deny去限制某個ip或者ip段才能ssh訪問數據庫服務器

先刪除前面實驗添加的sqlnet.ora，而後重啓監聽

lsnrctl stop
lsnrctl start

a. 修改/etc/hosts.deny

在文件尾部添加一行

all:all:deny

第一個all表示禁掉全部使用tcp_wrappers庫的服務，舉例來講就是ssh，telnet等服務
第二個all表示全部網段

b. 修改/etc/hosts.allow

在前面一步中我禁掉全部的網段，因此在這一步中要開通指定的網段

修改/etc/hosts.allow，在文件尾部添加

all:192.168.31.71:allow
all:192.168.31.47:allow

格式與hosts.deny同樣，第一行表示把本機放開，第二行表示給.47開通白名單

下面用我另一臺機器（即不在allow中的）ssh或telnet鏈接71這個機器，就會出現以下報錯

[oracle@oracle19c1 ~]$ ssh 192.168.31.71
ssh_exchange_identification: read: Connection reset by peer

[oracle@oracle19c1 ~]$ telnet 192.168.31.71 22
Trying 192.168.31.71...
Connected to 192.168.31.71.
Escape character is '^]'.
Connection closed by foreign host.

連數據庫卻不受影響，由於數據庫服務不歸hosts.deny和hosts.allow管

[oracle@oracle19c1 ~]$ sqlplus sys/xxxxx@192.168.31.71:1521/orcltest as sysdba

SQL*Plus: Release 19.0.0.0.0 - Production on Sun Aug 16 23:12:49 2020
Version 19.3.0.0.0

Copyright (c) 1982, 2019, Oracle.  All rights reserved.

Connected to:
Oracle Database 11g Enterprise Edition Release 11.2.0.4.0 - 64bit Production
With the Partitioning, OLAP, Data Mining and Real Application Testing options

其中ip地址也能夠換成如下的寫法
通配符的形式 192.168.31.*表示192.168.31這個網段
網段/掩碼 192.168.31.0/255.255.255.0也表示192.168.31這個網段

3. 經過iptables

sqlnet.ora可以限制數據庫的訪問，/etc/hosts.deny和/etc/hosts.allow可以限制ssh的訪問，那有沒有辦法既能限制數據庫的訪問，也能限制ssh的訪問呢，答案就是linux自帶的防火牆功能了。
爲了實驗，將前面作的修改所有清除。

使用root執行如下命令

service iptables start  # 打開防火牆服務
iptables -I INPUT -s 192.168.31.0/24 -p tcp --dport 1521 -j ACCEPT  # 容許192.168.31網段的ip訪問本機1521端口
iptables -I INPUT ! -s 192.168.31.0/24 -p tcp --dport 22 -j DROP  # 拒絕非192.168.31網段的ip訪問本機22端口
service iptables save  # 規則保存到配置文件/etc/sysconfig/iptables中

這樣就同時限制了其它ip對服務器的ssh和數據庫訪問

一些擴展知識：
iptables -L -n --line-numbers # 查看當前系統中的iptables
iptables -D INPUT 2 # 刪除input鏈中編號爲2的規則，編號數字能夠經過上一個命令獲得

3、總結

1. 若是隻是限制其它ip對數據庫的訪問，使用sqlnet.ora
2. 若是要限制其它ip對數據庫所在服務器上的ssh鏈接，使用/etc/hosts.deny和/etc/hosts.allow
3. 前面兩個配合起來，基本上就能保證你的數據庫安全了。可是若是你對linux的iptables很熟悉，那麼直接使用iptables去限制。
4. 使用/etc/hosts.deny和iptables時必定要保證本身的操做機能連到服務器，否則很容易就把本身鎖死在外面了。