绿盟扫描提示引用程序脆弱账号  Oracle tnslsnr 监听器,加密主要为了防止监听被恶意远程关闭。关于这个安全问题的详细说明参见文字结尾转载的说明《Oracle的监听口令及监听器安全》

主要用到以下几个命令:
1)lsnrctl 进入监听模式;
2)set password设置密码;
3)change_password 修改密码;
4)save_config 保存配置;
5)exit 退出监听;
 
#1:命令行输入: lsnrctl 回车
C:\Documents and Settings\Administrator>lsnrctl
LSNRCTL for 32-bit Windows: Version 9.2.0.1.0 - Production on 21-1月 -2018 09:33:30
欢迎来到LSNRCTL,请键入"help"以获得信息。
 
#2:输入 change_password 回车
LSNRCTL> change_password
Old password: # 输入原密码,空直接回车
New password: # 输入新密码
Reenter new password: # 重复输入新密码
正在连接到 (DESCRIPTION=(ADDRESS=(PROTOCOL=TCP)(HOST=xxxx-94b9880xr5)(PORT=1521)))
LISTENER的口令已更改
命令执行成功
 
#3:保存配置
LSNRCTL> set password # 因为更改过密码,需要先设置新密码
Password:
命令执行成功
LSNRCTL> save_config
正在连接到 (DESCRIPTION=(ADDRESS=(PROTOCOL=TCP)(HOST=xxxx-94b9880xr5)(PORT=1521)))
保存的LISTENER配置参数。
监听器参数文件 E:\oracle\ora92\network\admin\listener.ora
旧的参数文件E:\oracle\ora92\network\admin\listener.bak
命令执行成功
 
LSNRCTL> save_config # 如果没有设置密码保存,就会提示错误
正在连接到 (DESCRIPTION=(ADDRESS=(PROTOCOL=TCP)(HOST=rdlg-94b9880xr5)(PORT=1521)))))
TNS-01169: 监听器尚未识别口令
 
#4:退出
LSNRCTL> exit
 
#5:验证
打开文件 E:\oracle\ora92\network\admin\listener.ora
新增一下内容
#----ADDED BY TNSLSNR 21-1月 -2018 09:34:41---
PASSWORDS_LISTENER = 6336EEA3D5E41DD9
#---------------------------------------------
 
Oracle的监听口令及监听器安全

作者:eygle |English 【转载时请标明出处和作者信息】|【恩墨学院 OCM培训传DBA成功之道】

链接:http://www.eygle.com/archives/2007/11/listener_security.html

Oracle的监听器一直以来都存在一个严重的安全问题,那就是:

如果不设置安全措施,那么能够访问的用户就可以远程关闭监听器。

类似如下操作:

    D:\>lsnrctl stop eygle

    LSNRCTL for -bit Windows: Version 10.2.0.3. - Production on -11月- ::

    Copyright (c) , , Oracle.  All rights reserved.

    正在连接到 (DESCRIPTION=(ADDRESS=(PROTOCOL=TCP)(HOST=172.16.33.11)(PORT=))

    (CONNECT_DATA=(SERVICE_NAME=eygle)))

    命令执行成功

而此时缺省的监听器的日志还无法记录操作地址:

    No longer listening on: (DESCRIPTION=(ADDRESS=(PROTOCOL=tcp)(HOST=172.16.33.11)(PORT=)))

    -NOV- :: * (CONNECT_DATA=(CID=(PROGRAM=)(HOST=)(USER=Administrator))(COMMAND=stop)

    (ARGUMENTS=)(SERVICE=eygle)(VERSION=)) * stop * 

这个问题由来已久,为了保证监听器的安全,最好为监听设置密码:

    [oracle@jumper log]$ lsnrctl     

    LSNRCTL for Linux: Version 9.2.0.4. - Production on -NOV- ::

    Copyright (c) , , Oracle Corporation.  All rights reserved.

    Welcome to LSNRCTL, type "help" for information.

    LSNRCTL> set current_listener listener

    Current Listener is listener

    LSNRCTL> change_password

    Old password:

    New password:

    Reenter new password:

    Connecting to (DESCRIPTION=(ADDRESS=(PROTOCOL=TCP)(HOST=172.16.33.11)(PORT=)))

    Password changed for listener

    The command completed successfully

    LSNRCTL> set password

    Password:

    The command completed successfully

    LSNRCTL> save_config

    Connecting to (DESCRIPTION=(ADDRESS=(PROTOCOL=TCP)(HOST=172.16.33.11)(PORT=)))

    Saved LISTENER configuration parameters.

    Listener Parameter File  /opt/oracle/product/9.2./network/admin/listener.ora

    Old Parameter File  /opt/oracle/product/9.2./network/admin/listener.bak

    The command completed successfully

设置密码之后,远程操作将会因确实密码而失败:

    D:\>lsnrctl stop eygle

    LSNRCTL for -bit Windows: Version 10.2.0.3. - Production on -11月- ::

    Copyright (c) , , Oracle.  All rights reserved.

    正在连接到 (DESCRIPTION=(ADDRESS=(PROTOCOL=TCP)(HOST=172.16.33.11)

    (PORT=))(CONNECT_DATA=(SERVICE_NAME=eygle)))

    TNS-: 监听程序尚未识别口令

此时在服务器端或客户端,都需要通过密码来起停监听器:

    LSNRCTL> set password

    Password:

    The command completed successfully

    LSNRCTL> stop

    Connecting to (DESCRIPTION=(ADDRESS=(PROTOCOL=TCP)(HOST=172.16.33.11)(PORT=)))

    The command completed successfully

    LSNRCTL> start

    Starting /opt/oracle/product/9.2./bin/tnslsnr: please wait...

    TNSLSNR for Linux: Version 9.2.0.4. - Production

    System parameter file is /opt/oracle/product/9.2./network/admin/listener.ora

    Log messages written to /opt/oracle/product/9.2./network/log/listener.log

    Trace information written to /opt/oracle/product/9.2./network/trace/listener.trc

    Listening on: (DESCRIPTION=(ADDRESS=(PROTOCOL=tcp)(HOST=172.16.33.11)(PORT=)))

    Connecting to (DESCRIPTION=(ADDRESS=(PROTOCOL=TCP)(HOST=172.16.33.11)(PORT=)))

    STATUS of the LISTENER

    ------------------------

    Alias                    LISTENER

    Version                  TNSLSNR for Linux: Version 9.2.0.4. - Production

    Start Date                -NOV- ::

    Uptime                     days  hr.  min.  sec

    Trace Level              support

    Security                  ON

    SNMP                      OFF

    Listener Parameter File  /opt/oracle/product/9.2./network/admin/listener.ora

    Listener Log File        /opt/oracle/product/9.2./network/log/listener.log

    Listener Trace File      /opt/oracle/product/9.2./network/trace/listener.trc

    Listening Endpoints Summary...

      (DESCRIPTION=(ADDRESS=(PROTOCOL=tcp)(HOST=172.16.33.11)(PORT=)))

    Services Summary...

    Service "eygle" has  instance(s).

      Instance "eygle", status UNKNOWN, has  handler(s) for this service...

    Service "julia" has  instance(s).

      Instance "eygle", status UNKNOWN, has  handler(s) for this service...

    The command completed successfully

此外,ADMIN_RESTRICTIONS参数也是一个重要的安全选项,我们可以在 listener.ora 文件中设置 ADMIN_RESTRICTIONS_<listener name> 为 ON,此后所有在运行时对监听器的修改都将被阻止,所有对监听器的修改都必须通过手工修改 listener.ora 文件来完成。

关于监听器安全参考文档:

Integrigy_Oracle_Listener_TNS_Security.pdf

-The End-

设置Oracle tnslsnr监听器口令的更多相关文章

  1. Oracle OS认证 口令文件 密码丢失处理

    Oracle OS认证 口令文件 密码丢失处理 分类: Oracle Basic Knowledge2009-10-19 14:24 5031人阅读 评论(9) 收藏 举报 oracleos数据库sq ...

  2. 如何设置Oracle客户端与服务器的字符集一致

    查看 Oracle 服务器字符集 select userenv('language') from dual; 设置Oracle客户端字符集 添加环境变量NLS_LANG 值与服务器的Oracle服务器 ...

  3. PowerDesigner设置Oracle不区分大小写

    一. powerdesigner设置当前数据库 打开powerdesigner,然后选择菜单DatabaseChange current DBMS,如图: 修改这个下拉框的值即可. 二. power ...

  4. Linux设置Oracle环境变量

    方法一:直接运行export命令定义变量,该变量只在当前的shell(BASH)或其子shell(BASH)下是有效的,shell关闭了,变量也就失效了,再打开新shell时就没有这个变量,需要使用的 ...

  5. CentOS 设置 oracle 开机自动启动

    CentOS 设置 oracle 开机自动启动 1. [root@localhost ~]# gedit /etc/oratab 文件内容为: # # This file is used by ORA ...

  6. Linux下设置oracle环境变量

    Linux设置Oracle环境变量 方法一:直接运行export命令定义变量,该变量只在当前的shell(BASH)或其子shell(BASH)下是有效的,shell关闭了,变量也就失效了,再打开新s ...

  7. plsql连接oralce数据的配置 PLSQL配置怎么连ORACLE plsql连接多个数据库设置 Oracle 服务命名(别名)的配置及原理,plsql连接用

    Oracle 服务命名(别名)的配置及原理,plsql连接用 Oracle 服务命名(别名)的配置及原理 连接数据库必须配置服务命名(别名,用于plsql的连接),不管是本地还是远程,服务命名即简单命 ...

  8. Oracle 11g监听器配置

    Oracle 11g监听器配置 安装好oracle后,出现oracle监听器不能正确使用的问题,先后遇到问题: 1.Oracle ORA-12541:TNS:no listener 2.ORA-285 ...

  9. oracle 11g 配置口令复杂度

    oracle 11g 配置口令复杂度 使用ORACLE自带的utlpwdmg.sql脚本来实现 找到本地的utlpwdmg.sql脚本 find / -name utlpwdmg.sql 查看 /ho ...

随机推荐

  1. 零基础学python-2.3 凝视

    在python里面,使用"#"号表示凝视的開始,一整行到结束就是凝视,他的主要作用提示这段代码到底有什么用处 print("---------欢迎来到猜数字的地方.请開始 ...

  2. CQRS之旅——旅程6(我们系统的版本管理)

    旅程6:我们系统的版本管理 准备下一站:升级和迁移 "变化是生活的调味品."威廉·考珀 此阶段的最高目标是了解如何升级包含实现CQRS模式和事件源的限界上下文的系统.团队在这一阶段 ...

  3. FireBreath与JS交互1

    FireBreath提供接口供JS调用,提供的接口需要注册 必须在JSAPI对象的构造函数中注册,也就是 CxxxAPI::CxxxAPI()这个函数中调用 registerMethod(" ...

  4. FZU 1650 1752 a^b mod c

    http://acm.fzu.edu.cn/problem.php?pid=1752 http://acm.fzu.edu.cn/problem.php?pid=1650 给跪了. 我的快速幂会越界. ...

  5. POJ 2387 Til the Cows Come Home (Dijkstra)

    传送门:http://poj.org/problem?id=2387 题目大意: 给定无向图,要求输出从点n到点1的最短路径. 注意有重边,要取最小的. 水题..对于无向图,从1到n和n到1是一样的. ...

  6. SAP 中的popup dialog (弹出对话框) 常见实现方法

      方法1: FM:POPUP_TO_CONFIRM(标准对话弹出消息) 有三个button:YES-NO-CANL,可进行对应的逻辑推断 可设定标题,描写叙述问题,不方便对文本进行换行等排版,不能改 ...

  7. hash_map原理及C++实现

    一.数据结构:hash_map原理  hash_map基于hash table(哈希表).哈希表最大的长处,就是把数据的存储和查找消耗的时间大大减少,差点儿能够看成是常数时间:而代价不过消耗比較多的内 ...

  8. RSA公钥验签

    1.业务场景,公司做理财业务,但是可能有第三方合作.与第三方合作获得更多客户流量.别人可以在第三方进行购买理财产品.那么怎么保证交易信息的安全性那,我们这里给出rsa加密实现原理. 2.工具类rsa: ...

  9. CentOS7.1 KVM虚拟化之虚拟机快照(5)

    这里用之前克隆的虚拟机vm1-clone进行快照操作 注: 1.快照实际上做的是虚拟机的XML配置文件,默认快照XML文件在/var/lib/libvirt/qemu/snapshot/虚拟机名/下 ...

  10. acdream 1430 SETI 后缀数组+height分组

    这题昨天比赛的时候逗了,后缀想不出来,由于n^2的T了,就没往后缀数组想--并且之后解题的人又说用二分套二分来做.然后就更不会了-- 刚才看了题解,唉--原来题讲解n^2的也能够过,然后就--这样了! ...