這篇文章給大家介紹數(shù)據(jù)庫中怎么限制IP訪問,內(nèi)容非常詳細(xì),感興趣的小伙伴們可以參考借鑒,希望對(duì)大家能有所幫助。
1. 通過.ora
a. 關(guān)閉數(shù)據(jù)庫服務(wù)器上的防火墻,修改.ora文件該文件放在$//admin下,如果沒有就在該目錄下創(chuàng)建一個(gè)即可添加以下兩行
tcp.validnode_checking?=?yes??tcp.invited_nodes?=?(192.168.31.71,?192.168.31.77)這里需要注意的是必須把本機(jī)ip地址加進(jìn)來(不能寫成和127.0.0.1),否則監(jiān)聽啟動(dòng)會(huì)報(bào)錯(cuò)。
b. 重啟監(jiān)聽,讓.ora的修改生效
lsnrctl?stop??lsnrctl?start設(shè)置之后就只有這兩個(gè)ip地址192.168.31.71, 192.168.31.77能訪問數(shù)據(jù)庫,其它ip地址訪問會(huì)報(bào)ORA-12547: TNS:lost 錯(cuò)誤
tcp.的意思是開通白名單,不在白名單中的一律拒絕訪問,它也可以寫成(192.168.31.*, 192.168.31.0/24)等方式,表明這個(gè)網(wǎng)段都能訪問。
另外還有個(gè)參數(shù)tcp.,表示黑名單,這里不做介紹,有興趣的可以自己去做做實(shí)驗(yàn)。
2. 通過/etc/hosts.deny和/etc/hosts.allow
.ora屬于數(shù)據(jù)庫層面的限制,但如果一個(gè)ip能夠使用root或者,ssh到這臺(tái)數(shù)據(jù)庫服務(wù)器的話,那么它依然能夠訪問數(shù)據(jù)庫。為了避免這種情況,這時(shí)就需要通過/etc/hosts.allow和/etc/hosts.deny去限制某個(gè)ip或者ip段才能ssh訪問數(shù)據(jù)庫服務(wù)器先刪除前面實(shí)驗(yàn)添加的.ora,然后重啟監(jiān)聽
lsnrctl?stoplsnrctl?starta. 修改/etc/hosts.deny
在文件尾部添加一行
all:all:deny第一個(gè)all表示禁掉所有使用庫的服務(wù),舉例來說就是ssh,等服務(wù)。
第二個(gè)all表示所有網(wǎng)段。
b. 修改/etc/hosts.allow
在前面一步中我禁掉所有的網(wǎng)段,所以在這一步中要開通指定的網(wǎng)段。
修改/etc/hosts.allow,在文件尾部添加
all:192.168.31.71:allow?all:192.168.31.47:allow格式與hosts.deny一樣,第一行表示把本機(jī)放開數(shù)據(jù)庫限制ip訪問,第二行表示給.47開通白名單
下面用我另外一臺(tái)機(jī)器(即不在allow中的)ssh或連接71這個(gè)機(jī)器,就會(huì)出現(xiàn)如下報(bào)錯(cuò)
[oracle@oracle19c1?~]$?ssh?192.168.31.71?ssh_exchange_identification:?read:?Connection?reset?by?peer??[oracle@oracle19c1?~]$?telnet?192.168.31.71?22?Trying?192.168.31.71...?Connected?to?192.168.31.71.?Escape?character?is?'^]'.?Connection?closed?by?foreign?host.連數(shù)據(jù)庫卻不受影響,因?yàn)閿?shù)據(jù)庫服務(wù)不歸hosts.deny和hosts.allow管
[oracle@oracle19c1?~]$?sqlplus?sys/xxxxx@192.168.31.71:1521/orcltest?as?sysdba??SQL*Plus:?Release?19.0.0.0.0?-?Production?on?Sun?Aug?16?23:12:49?2020?Version?19.3.0.0.0??Copyright?(c)?1982,?2019,?Oracle.??All?rights?reserved.??Connected?to:?Oracle?Database?11g?Enterprise?Edition?Release?11.2.0.4.0?-?64bit?Production?With?the?Partitioning,?OLAP,?Data?Mining?and?Real?Application?Testing?options其中ip地址也可以換成以下的寫法
通配符的形式 192.168.31.*表示192.168.31這個(gè)網(wǎng)段
網(wǎng)段/掩碼 192.168.31.0/255.255.255.0也表示192.168.31這個(gè)網(wǎng)段
3. 通過
.ora能夠限制數(shù)據(jù)庫的訪問,/etc/hosts.deny和/etc/hosts.allow能夠限制ssh的訪問,那有沒有辦法既能限制數(shù)據(jù)庫的訪問,也能限制ssh的訪問呢,答案就是linux自帶的防火墻功能了。為了實(shí)驗(yàn)數(shù)據(jù)庫限制ip訪問,將前面做的修改全部清除。
使用root執(zhí)行以下命令
service?iptables?start??#?打開防火墻服務(wù)iptables?-I?INPUT?-s?192.168.31.0/24?-p?tcp?--dport?1521?-j?ACCEPT??#?允許192.168.31網(wǎng)段的ip訪問本機(jī)1521端口iptables?-I?INPUT?!?-s?192.168.31.0/24?-p?tcp?--dport?22?-j?DROP??#?拒絕非192.168.31網(wǎng)段的ip訪問本機(jī)22端口service?iptables?save??#?規(guī)則保存到配置文件/etc/sysconfig/iptables中這樣就同時(shí)限制了其它ip對(duì)服務(wù)器的ssh和數(shù)據(jù)庫訪問一些擴(kuò)展知識(shí):
iptables?-L?-n?--line-numbers??#?查看當(dāng)前系統(tǒng)中的iptablesiptables?-D?INPUT?2??#?刪除input鏈中編號(hào)為2的規(guī)則,編號(hào)數(shù)字可以通過上一個(gè)命令得到關(guān)于數(shù)據(jù)庫中怎么限制IP訪問就分享到這里了,希望以上內(nèi)容可以對(duì)大家有一定的幫助,可以學(xué)到更多知識(shí)。如果覺得文章不錯(cuò),可以把它分享出去讓更多的人看到。