Listener ‫نیت‬ ‫ام‬

netmgr GUI ‫ ی ا‬lsnrctl‫ با استفاده از ابزارهای‬۱۰ gr1 ‫ در نسخه‌های ماقبل اوراکل‬TNS listener ‫کلمه عبور‬
‫ ب ه منظ ور تنظیم کلم ه عب ور‬change_password ‫ دس تور‬، lsnrctl ‫ در هنگام استفاده از ابزار‬.‫اعمال می‌شد‬
.‫برای اولین بار و یا تغییر کلمه عبور قبلی مورد بهره‌برداری قرار می‌گرفت‬
LSNRCTL> change_password
Old password:
New password:
Reenter new password:
Connecting to (DESCRIPTION=(ADDRESS=(PROTOCOL=TCP)(HOST=myserver.mydomain)(PORT=1521)))
Password changed for LISTENER
The command completed successfully
LSNRCTL>

‫در صورت تخصیص اولین کلمه عبور مقدار قبلی در این دس تور خ الی ق رار داده می‌ش ود و پس از تنظیم‬
.‫ ذخیره می‌گردد‬save_config ‫کلمه عبور تنظیمات با دستور‬
LSNRCTL> save_config
Connecting to (DESCRIPTION=(ADDRESS=(PROTOCOL=TCP)(HOST=myserver.mydomain)(PORT=1521)))
Saved LISTENER configuration parameters.
Listener Parameter File /u01/app/oracle/product/10.1.0/db_1/network/admin/listener.ora
Old Parameter File /u01/app/oracle/product/10.1.0/db_1/network/admin/listener.bak
The command completed successfully
LSNRCTL>

‫ موفقیت آمیز نخواه د ب ود ت ا‬Stop ‫ تالش‌های بعدی برای اجرای اعمالی مانند‬،‫پس از تخصیص کلمه عبور‬
.‫ استفاده شود‬set password ‫زمانیکه از دستور‬
LSNRCTL> set password
Password:
The command completed successfully
LSNRCTL>

.‫ نشان می‌دهد‬Oracle Net Manager (netmgr) GUI ‫تصویر زیر فرآیند مشابه را در ابزار‬
‫عالوه بر محافظت توسط کلمه عبور پیش نهاد می‌ش ود پ ورت پیش‌ف رض ‪ ۱۵۲۱‬ب رای ‪ TNS listener‬را ب ه‬
‫پورت دیگ ری تغی یر دهیم‪ .‬این عم ل ب اعث جلوگ یری از حمالت ‪ Worm‬ه ا ب ه پ ورت پیش‌ف رض ‪۱۵۲۱‬‬
‫می‌شود ولی تنها تأخیر اندکی در حمله تا پیدا شدن پورت‌های ب از سیس تم م ورد هج وم ب ه وج ود می‌آورد‪.‬‬
‫تنظیم ات پ ورت ‪ TNS listener‬توس ط وی رایش فای ل ‪ ORACLE_HOME/network/admin/listener.ora$‬و‬
‫راه‌ان دازی مج دد ‪ Listener‬تغی یر می‌کن د و عالوه ب ر این محتوی ات ‪ LDAP‬ی ا محتوی ات فای ل ‪$‬‬
‫‪ ORACLE_HOME/network/admin/tnsnames.ora‬در ه ر ‪ Client‬ب رای اعم ال تغی یرات بای د وی رایش ش ود‪.‬‬
‫دسترسی ‪ Client‬ها به سرور نیز به وسیله قطعه کد زیر در فایل محدود می‌شود‪.‬‬
‫‪tcp.validnode_checking = YES‬‬
‫}‪tcp.excluded_nodes = {list of IP addresses‬‬
‫}‪tcp.invited_nodes = {list of IP addresses‬‬

‫‪ Applicaton‬ب ه پایگ اه‌داده متص ل‬ ‫‪Server‬‬ ‫تنظیمات باال در معماری ‪ tier-3‬و در محیطی که تنها تعداد اندکی‬
‫است به خوبی عمل می‌کند‪.‬‬
‫محدودیت دسترسی ‪ Schema‬فقط به یک ‪ IP‬آدرس اختصاصی‬
‫ی ک ‪ AFTER LOGON trigger‬می‌توان د ب رای مح دودیت دسترس ی ‪ Schema‬اس تفاده ش ود‪ Trigger .‬زی ر‬
‫دسترسی‌های ‪ USER1‬و ‪ USER2‬را تنها زمانیکه ارتباط از طریق ‪ IP‬های ‪ ۱۹۲٫۱۶۸٫۰٫۱۰۱‬و ‪۱۹۲٫۱۶۸٫‬‬
‫‪ ۰٫۱۰۲‬باشد برقرار می‌سازد‪.‬‬
‫‪CREATE OR REPLACE TRIGGER system.check_ip_addresses ‬‬

‫‪AFTER LOGON ‬‬

‫‪ON DATABASE‬‬

‫‪BEGIN ‬‬
‫‪IF USER IN (‘USER1’, ‘USER2’) THEN‬‬

‫‪IF SYS_CONTEXT(‘USERENV’, ‘IP_ADDRESS’) NOT IN (‘192.168.0.101′,’192.168.0.102’) THEN‬‬

‫;)’)‘ || ‪RAISE_APPLICATION_ERROR(-20000, ‘Can not log in from this IP address (‘ || l_ip_address‬‬

‫;‪END IF‬‬

‫;‪END IF‬‬

‫‪END; ‬‬

‫‪/‬‬

‫می‌توان این نوع ‪ Trigger‬ها را به صورت جداگانه و یا در حالت ادغام شده ب ا هم اس تفاده نم ود‪ ،‬این نک ات‬
‫را فراموش نکنید‪:‬‬
‫• ‪ Trigger‬باید روی پایگاه‌داده استفاده شود تا از ‪ RAISE_APPLICATION_ERROR‬یک ‪ Schema‬خاص در هنگام‬
‫‪ Login‬جلوگیری شود‪.‬‬
‫• ‪ Trigger‬بر روی تمامی ‪ Connection Attempt‬ه ا اعم ال می‌ش ود پس از مح دودیت‌های ‪ User‬ه ای خ ود‬
‫مطمئن باشید تا از مقدار ‪ Overhead‬سیستم کاسته شود‪.‬‬

‫ل‪:‬‬ ‫اه داده اوراک‬ ‫روری در پایگ‬ ‫تی ض‬ ‫دامات امنی‬ ‫ر دراق‬ ‫ه دیگ‬ ‫د نکت‬ ‫چن‬
‫ً‬
‫• در هنگام نصب سیستم‌عامل و پایگاه‌داده فقط امکانتی که واقع ا م ورد نی از اس ت را فع ال نمایی د‪ ،‬ب رخی‬
‫امکانات از قبیل ‪ HTTP Server‬و ‪ XML DB‬در براب ر حمالت امنی تی بس یار آس یب‌پذیر می‌باش ند مگ ر آنک ه‬
‫اقدامات امنیتی بر روی آنها اعمال شود‪ .‬همچنین برخی امکان ات دیگ ر ن یز ب ه ‪ Schema‬خ اص خ ود نی از‬
‫یرد‪.‬‬ ‫رار گ‬ ‫هق‬ ‫ورد توج‬ ‫تی م‬ ‫اظ امنی‬ ‫د از لح‬ ‫ه بای‬ ‫دک‬ ‫دارن‬
‫• امنیت سیستم‌عامل سرور پایگاه‌داده را افزایش دهید‪ ،‬این نکات کوچک می‌تواند امنیت پایگ اه‌داده ش ما را‬
‫د‪:‬‬ ‫ط کن‬ ‫د حف‬ ‫عیف باش‬ ‫تی ض‬ ‫اظ امنی‬ ‫تم‌عامل از لح‬ ‫ه سیس‬ ‫در زمانیک‬
‫ید‪.‬‬ ‫تم مطمئن باش‬ ‫ودن ‪ Firewall‬سیس‬ ‫ال ب‬ ‫• از فع‬
‫د‪.‬‬ ‫ترل نمایی‬ ‫د را کن‬ ‫ی دارن‬ ‫رور دسترس‬ ‫هس‬ ‫هب‬ ‫رادی ک‬ ‫داد اف‬ ‫• تع‬
‫د‪.‬‬ ‫تفاده نمایی‬ ‫ب اس‬ ‫ور مناس‬ ‫ات عب‬ ‫عیتی از کلم‬ ‫ر وض‬ ‫• در ه‬
‫د‪.‬‬ ‫افظت نمایی‬ ‫تم‌عامل را مح‬ ‫اس سیس‬ ‫ای حس‬ ‫• بخش‌ه‬
‫د‪.‬‬ ‫ال نمایی‬ ‫رع وقت اعم‬ ‫ا را در اس‬ ‫‪ Security‬ه‬ ‫امی ‪Patche‬‬ ‫• تم‬
‫• توصیه می‌شود که ‪ data dictionary protection‬با تغییر پارامتر اولیه ‪ DICTIONARY_ACCESSIBILITY_۰۷‬به‬
‫مقدار ‪ False‬فعال شود‪ ،‬این امر اعمال تغییرات کاربران با مج وز ‪ ALL-type system‬را در ‪data dictionary‬‬
‫محدود می‌نماید‪ ،‬حتی اگر آنها دارای مجوز ‪ DBA-privileged‬باشند‪.‬‬