如何限制ip访问Oracle数据库

1、概述

本文将给你们介绍如何限制某个ip或某个ip段才能访问Oracle数据库

1. 经过sqlnet.ora
2. 经过/etc/hosts.deny和/etc/hosts.allow
3. 经过iptables

2、正式实验

本次实验环境是Centos6.10 + Oracle 11.2.0.4单实例，数据库服务器ip地址为192.168.31.71

1. 经过sqlnet.ora

a. 关闭数据库服务器上的防火墙，修改sqlnet.ora文件

该文件放在$ORACLE_HOME/network/admin下，若是没有就在该目录下建立一个便可
添加如下两行

tcp.validnode_checking = yes
tcp.invited_nodes = (192.168.31.71, 192.168.31.77)

这里须要注意的是必须把本机ip地址加进来（不能写成localhost和127.0.0.1），不然监听启动会报错

b. 重启监听，让sqlnet.ora的修改生效

lsnrctl stop
lsnrctl start

设置以后就只有这两个ip地址192.168.31.71, 192.168.31.77能访问数据库，其它ip地址访问会报ORA-12547: TNS:lost contact错误
tcp.invited_nodes的意思是开通白名单，不在白名单中的一概拒绝访问，它也能够写成(192.168.31.*, 192.168.31.0/24)等方式，代表这个网段都能访问
另外还有个参数tcp.excluded_nodes，表示黑名单，这里不作介绍，有兴趣的能够本身去作作实验

2. 经过/etc/hosts.deny和/etc/hosts.allow

sqlnet.ora属于数据库层面的限制，但若是一个ip可以使用root或者oracle，ssh到这台数据库服务器的话，那么它依然可以访问数据库。为了不这种状况，这时就须要经过/etc/hosts.allow和/etc/hosts.deny去限制某个ip或者ip段才能ssh访问数据库服务器

先删除前面实验添加的sqlnet.ora，而后重启监听

lsnrctl stop
lsnrctl start

a. 修改/etc/hosts.deny

在文件尾部添加一行

all:all:deny

第一个all表示禁掉全部使用tcp_wrappers库的服务，举例来讲就是ssh，telnet等服务
第二个all表示全部网段

b. 修改/etc/hosts.allow

在前面一步中我禁掉全部的网段，因此在这一步中要开通指定的网段

修改/etc/hosts.allow，在文件尾部添加

all:192.168.31.71:allow
all:192.168.31.47:allow

格式与hosts.deny同样，第一行表示把本机放开，第二行表示给.47开通白名单

下面用我另一台机器（即不在allow中的）ssh或telnet链接71这个机器，就会出现以下报错

[oracle@oracle19c1 ~]$ ssh 192.168.31.71
ssh_exchange_identification: read: Connection reset by peer

[oracle@oracle19c1 ~]$ telnet 192.168.31.71 22
Trying 192.168.31.71...
Connected to 192.168.31.71.
Escape character is '^]'.
Connection closed by foreign host.

连数据库却不受影响，由于数据库服务不归hosts.deny和hosts.allow管

[oracle@oracle19c1 ~]$ sqlplus sys/xxxxx@192.168.31.71:1521/orcltest as sysdba

SQL*Plus: Release 19.0.0.0.0 - Production on Sun Aug 16 23:12:49 2020
Version 19.3.0.0.0

Copyright (c) 1982, 2019, Oracle.  All rights reserved.

Connected to:
Oracle Database 11g Enterprise Edition Release 11.2.0.4.0 - 64bit Production
With the Partitioning, OLAP, Data Mining and Real Application Testing options

其中ip地址也能够换成如下的写法
通配符的形式 192.168.31.*表示192.168.31这个网段
网段/掩码 192.168.31.0/255.255.255.0也表示192.168.31这个网段

3. 经过iptables

sqlnet.ora可以限制数据库的访问，/etc/hosts.deny和/etc/hosts.allow可以限制ssh的访问，那有没有办法既能限制数据库的访问，也能限制ssh的访问呢，答案就是linux自带的防火墙功能了。
为了实验，将前面作的修改所有清除。

使用root执行如下命令

service iptables start  # 打开防火墙服务
iptables -I INPUT -s 192.168.31.0/24 -p tcp --dport 1521 -j ACCEPT  # 容许192.168.31网段的ip访问本机1521端口
iptables -I INPUT ! -s 192.168.31.0/24 -p tcp --dport 22 -j DROP  # 拒绝非192.168.31网段的ip访问本机22端口
service iptables save  # 规则保存到配置文件/etc/sysconfig/iptables中

这样就同时限制了其它ip对服务器的ssh和数据库访问

一些扩展知识：
iptables -L -n --line-numbers # 查看当前系统中的iptables
iptables -D INPUT 2 # 删除input链中编号为2的规则，编号数字能够经过上一个命令获得

3、总结

1. 若是只是限制其它ip对数据库的访问，使用sqlnet.ora
2. 若是要限制其它ip对数据库所在服务器上的ssh链接，使用/etc/hosts.deny和/etc/hosts.allow
3. 前面两个配合起来，基本上就能保证你的数据库安全了。可是若是你对linux的iptables很熟悉，那么直接使用iptables去限制。
4. 使用/etc/hosts.deny和iptables时必定要保证本身的操做机能连到服务器，否则很容易就把本身锁死在外面了。