Professional Documents
Culture Documents
امنیت Listener
امنیت Listener
netmgr GUI ی اlsnrctl با استفاده از ابزارهای۱۰ gr1 در نسخههای ماقبل اوراکلTNS listener کلمه عبور
ب ه منظ ور تنظیم کلم ه عب ورchange_password دس تور، lsnrctl در هنگام استفاده از ابزار.اعمال میشد
.برای اولین بار و یا تغییر کلمه عبور قبلی مورد بهرهبرداری قرار میگرفت
LSNRCTL> change_password
Old password:
New password:
Reenter new password:
Connecting to (DESCRIPTION=(ADDRESS=(PROTOCOL=TCP)(HOST=myserver.mydomain)(PORT=1521)))
Password changed for LISTENER
The command completed successfully
LSNRCTL>
در صورت تخصیص اولین کلمه عبور مقدار قبلی در این دس تور خ الی ق رار داده میش ود و پس از تنظیم
. ذخیره میگرددsave_config کلمه عبور تنظیمات با دستور
LSNRCTL> save_config
Connecting to (DESCRIPTION=(ADDRESS=(PROTOCOL=TCP)(HOST=myserver.mydomain)(PORT=1521)))
Saved LISTENER configuration parameters.
Listener Parameter File /u01/app/oracle/product/10.1.0/db_1/network/admin/listener.ora
Old Parameter File /u01/app/oracle/product/10.1.0/db_1/network/admin/listener.bak
The command completed successfully
LSNRCTL>
موفقیت آمیز نخواه د ب ود ت اStop تالشهای بعدی برای اجرای اعمالی مانند،پس از تخصیص کلمه عبور
. استفاده شودset password زمانیکه از دستور
LSNRCTL> set password
Password:
The command completed successfully
LSNRCTL>
. نشان میدهدOracle Net Manager (netmgr) GUI تصویر زیر فرآیند مشابه را در ابزار
عالوه بر محافظت توسط کلمه عبور پیش نهاد میش ود پ ورت پیشف رض ۱۵۲۱ب رای TNS listenerرا ب ه
پورت دیگ ری تغی یر دهیم .این عم ل ب اعث جلوگ یری از حمالت Wormه ا ب ه پ ورت پیشف رض ۱۵۲۱
میشود ولی تنها تأخیر اندکی در حمله تا پیدا شدن پورتهای ب از سیس تم م ورد هج وم ب ه وج ود میآورد.
تنظیم ات پ ورت TNS listenerتوس ط وی رایش فای ل ORACLE_HOME/network/admin/listener.ora$و
راهان دازی مج دد Listenerتغی یر میکن د و عالوه ب ر این محتوی ات LDAPی ا محتوی ات فای ل $
ORACLE_HOME/network/admin/tnsnames.oraدر ه ر Clientب رای اعم ال تغی یرات بای د وی رایش ش ود.
دسترسی Clientها به سرور نیز به وسیله قطعه کد زیر در فایل محدود میشود.
tcp.validnode_checking = YES
}tcp.excluded_nodes = {list of IP addresses
}tcp.invited_nodes = {list of IP addresses
Applicatonب ه پایگ اهداده متص ل Server تنظیمات باال در معماری tier-3و در محیطی که تنها تعداد اندکی
است به خوبی عمل میکند.
محدودیت دسترسی Schemaفقط به یک IPآدرس اختصاصی
ی ک AFTER LOGON triggerمیتوان د ب رای مح دودیت دسترس ی Schemaاس تفاده ش ود Trigger .زی ر
دسترسیهای USER1و USER2را تنها زمانیکه ارتباط از طریق IPهای ۱۹۲٫۱۶۸٫۰٫۱۰۱و ۱۹۲٫۱۶۸٫
۰٫۱۰۲باشد برقرار میسازد.
CREATE OR REPLACE TRIGGER system.check_ip_addresses
AFTER LOGON
ON DATABASE
BEGIN
IF USER IN (‘USER1’, ‘USER2’) THEN
;END IF
;END IF
END;
/
میتوان این نوع Triggerها را به صورت جداگانه و یا در حالت ادغام شده ب ا هم اس تفاده نم ود ،این نک ات
را فراموش نکنید:
• Triggerباید روی پایگاهداده استفاده شود تا از RAISE_APPLICATION_ERRORیک Schemaخاص در هنگام
Loginجلوگیری شود.
• Triggerبر روی تمامی Connection Attemptه ا اعم ال میش ود پس از مح دودیتهای Userه ای خ ود
مطمئن باشید تا از مقدار Overheadسیستم کاسته شود.
ل: اه داده اوراک روری در پایگ تی ض دامات امنی ر دراق ه دیگ د نکت چن
ً
• در هنگام نصب سیستمعامل و پایگاهداده فقط امکانتی که واقع ا م ورد نی از اس ت را فع ال نمایی د ،ب رخی
امکانات از قبیل HTTP Serverو XML DBدر براب ر حمالت امنی تی بس یار آس یبپذیر میباش ند مگ ر آنک ه
اقدامات امنیتی بر روی آنها اعمال شود .همچنین برخی امکان ات دیگ ر ن یز ب ه Schemaخ اص خ ود نی از
یرد. رار گ هق ورد توج تی م اظ امنی د از لح ه بای دک دارن
• امنیت سیستمعامل سرور پایگاهداده را افزایش دهید ،این نکات کوچک میتواند امنیت پایگ اهداده ش ما را
د: ط کن د حف عیف باش تی ض اظ امنی تمعامل از لح ه سیس در زمانیک
ید. تم مطمئن باش ودن Firewallسیس ال ب • از فع
د. ترل نمایی د را کن ی دارن رور دسترس هس هب رادی ک داد اف • تع
د. تفاده نمایی ب اس ور مناس ات عب عیتی از کلم ر وض • در ه
د. افظت نمایی تمعامل را مح اس سیس ای حس • بخشه
د. ال نمایی رع وقت اعم ا را در اس Securityه امی Patche • تم
• توصیه میشود که data dictionary protectionبا تغییر پارامتر اولیه DICTIONARY_ACCESSIBILITY_۰۷به
مقدار Falseفعال شود ،این امر اعمال تغییرات کاربران با مج وز ALL-type systemرا در data dictionary
محدود مینماید ،حتی اگر آنها دارای مجوز DBA-privilegedباشند.