[转]Oracle修改监听口令-阿里云开发者社区

开发者社区> 技术小胖子> 正文

[转]Oracle修改监听口令

简介:
+关注继续查看
oracle 的监听机制 是外部应用程序连接oracle的入口。用oracle提供的lsnrctl 程序进行管理。一般很多人在管理oracle的时候,往往忽略对listener 的安全管理:监听在端口1521(默认端口)上的oracle tnslsnr未设置口令保护!
   这会存在这个安全隐患:远程的Oracle tnslsnr服务器没有被设置密码,一个攻击者可以利用这个问题随意关闭oracle tnslsnr服务器或者设置新的口令,这将影响合法用户的正常使用。攻击者也可以获取数据库的一些细节信息以发动进一步攻击。结合其他漏洞,攻击者甚至可以在目标系统上创建或者修改文件,进而入侵系统。
   这里对关于oracle监听模块密码安全设置的几个方法进行说明:
  1. 如何进行远程操作:
    在远程机器上修改listerner.ora 文件,增加对异地oracle服务器的配置,例如:
   ls_oratest =
   (DESCRIPTION_LIST =
    (DESCRIPTION =
      (ADDRESS = (PROTOCOL = IPC)(KEY = EXTPROC_FOR_XE))
      (ADDRESS = (PROTOCOL = TCP)(HOST = 192.168.1.10)(PORT = 1521))
    )
   )       
  这里的HOST = 192.168.1.10 即是指明远程的oracle服务器。如果默认的,oracle服务器上没有设置
 listener 的管理密码,则在远程机器上只要执行:
     lsnrctl stop ls_oratest 
   即可停止192.168.1.10 服务器上的监听服务。
  2.如何修改密码:
    listener的密码策略对start无效,目的是防止恶意stop(start ,如果有在运行,则不成功,所以也就不需要保护了)
     lsnrctl >
       set current_listener listener_oratest  <-- 设置当前监听器的配置名称
       Old password: <原来的口令> <-- 如果原来没有设置口令就直接回车,否则输入原来的口令
       New password: <新口令>
       Reenter new password: <新口令>
          Connecting to (ADDRESS=(PROTOCOL=ipc)(KEY=XXX))
          Password changed for listener_oratest
          The command completed successfully 
      <--这里设置或者修改了当前运行监听进程的密码,如果监听程序重启,则密码仍然为原来的密码。
      <--所以需要执行保存密码的过程
        set password 
        Password: <输入新口令>
        save_config (此步重要,保存当前设置)
        exit
      
    说明:
      a.执行save_config 需要再执行一次 set password 提供新密码,是因为在lsnrctl 管理工具中,是通过 set password 命令来设置当前环境的密码。设置了正确的密码后,就可以执行一些重要的操作,如save_config, stop 等。
      b 设置密码后,密码记录在listerner.ora 文件 中,
             比如:PASSWORDS_listener_oratest = AF15F0B512F2229A
         形式为:PASSWORDS_监听名称 = 密码密文。如果忘记密码,可以去掉该行,则密码为空。
      c.设置了密码后,远程机器如果需要stop监听的时候,则需要提供密码,否则操作失败。

   3.如何管理设置密码后的监听进程:
       a.如果是人工交互的操作,则只需在执行操作前面键入两个命令:
        lsnrct<
           set current_listener listener_oratest  <-- 设置当前监听器的配置名称
           set password 
           Password: <输入口令>
           stop
       b.如果是脚本自动执行,则需要提供密码的密文(由isterner.ora 文件获得)
          #!/bin/sh
          lsnrctl << eof
            set current_listener listener_oratest
            set password AF15F0B512F2229A 
            stop
           eof
  补充一下:以后如果进入的lsnrctl进行操作时,需要先set password 密码,以便连接到监听。
 



    本文转自风车车  博客园博客,原文链接:http://www.cnblogs.com/xray2005/archive/2010/01/28/1658399.html,如需转载请自行联系原作者

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
ORACLE RAC 修改 SCAN IP
oracle rac 修改 scan ip -- 场景 : -- 在我们升级一个系统或更换了网卡后,为了减少对原机的影响及避免修改大量的客户端,新系统的 ip 又会修改回原 ip. -- 在这里我们简单演示下如何修改其中的 scan ip -- 环境信息: scan ip 如下 192.
1135 0
ORACLE SQL脚本能否修改字段名称?
在看到标题时,你先想想:在ORACLE中能否修改一个表的某个字段名呢?如果能的话,你是否还记得SQL脚本如何写的呢,呵呵,写这个的目的是因为在论坛上看见许多信誓旦旦的说ORACLE中不能修改字段名称,只能先删除、后添加字段或是其它方法来处理。
676 0
21119
文章
0
问答
文章排行榜
最热
最新
相关电子书
更多
《2021云上架构与运维峰会演讲合集》
立即下载
《零基础CSS入门教程》
立即下载
《零基础HTML入门教程》
立即下载