绿盟扫描提示引用程序脆弱账号  Oracle tnslsnr 监听器,加密主要为了防止监听被恶意远程关闭。关于这个安全问题的详细说明参见文字结尾转载的说明《Oracle的监听口令及监听器安全》

主要用到以下几个命令:
1)lsnrctl 进入监听模式;
2)set password设置密码;
3)change_password 修改密码;
4)save_config 保存配置;
5)exit 退出监听;
 
#1:命令行输入: lsnrctl 回车
C:\Documents and Settings\Administrator>lsnrctl
LSNRCTL for 32-bit Windows: Version 9.2.0.1.0 - Production on 21-1月 -2018 09:33:30
欢迎来到LSNRCTL,请键入"help"以获得信息。
 
#2:输入 change_password 回车
LSNRCTL> change_password
Old password: # 输入原密码,空直接回车
New password: # 输入新密码
Reenter new password: # 重复输入新密码
正在连接到 (DESCRIPTION=(ADDRESS=(PROTOCOL=TCP)(HOST=xxxx-94b9880xr5)(PORT=1521)))
LISTENER的口令已更改
命令执行成功
 
#3:保存配置
LSNRCTL> set password # 因为更改过密码,需要先设置新密码
Password:
命令执行成功
LSNRCTL> save_config
正在连接到 (DESCRIPTION=(ADDRESS=(PROTOCOL=TCP)(HOST=xxxx-94b9880xr5)(PORT=1521)))
保存的LISTENER配置参数。
监听器参数文件 E:\oracle\ora92\network\admin\listener.ora
旧的参数文件E:\oracle\ora92\network\admin\listener.bak
命令执行成功
 
LSNRCTL> save_config # 如果没有设置密码保存,就会提示错误
正在连接到 (DESCRIPTION=(ADDRESS=(PROTOCOL=TCP)(HOST=rdlg-94b9880xr5)(PORT=1521)))))
TNS-01169: 监听器尚未识别口令
 
#4:退出
LSNRCTL> exit
 
#5:验证
打开文件 E:\oracle\ora92\network\admin\listener.ora
新增一下内容
#----ADDED BY TNSLSNR 21-1月 -2018 09:34:41---
PASSWORDS_LISTENER = 6336EEA3D5E41DD9
#---------------------------------------------
 
Oracle的监听口令及监听器安全

作者:eygle |English 【转载时请标明出处和作者信息】|【恩墨学院 OCM培训传DBA成功之道】

链接:http://www.eygle.com/archives/2007/11/listener_security.html

Oracle的监听器一直以来都存在一个严重的安全问题,那就是:

如果不设置安全措施,那么能够访问的用户就可以远程关闭监听器。

类似如下操作:

    D:\>lsnrctl stop eygle

    LSNRCTL for -bit Windows: Version 10.2.0.3. - Production on -11月- ::

    Copyright (c) , , Oracle.  All rights reserved.

    正在连接到 (DESCRIPTION=(ADDRESS=(PROTOCOL=TCP)(HOST=172.16.33.11)(PORT=))

    (CONNECT_DATA=(SERVICE_NAME=eygle)))

    命令执行成功

而此时缺省的监听器的日志还无法记录操作地址:

    No longer listening on: (DESCRIPTION=(ADDRESS=(PROTOCOL=tcp)(HOST=172.16.33.11)(PORT=)))

    -NOV- :: * (CONNECT_DATA=(CID=(PROGRAM=)(HOST=)(USER=Administrator))(COMMAND=stop)

    (ARGUMENTS=)(SERVICE=eygle)(VERSION=)) * stop * 

这个问题由来已久,为了保证监听器的安全,最好为监听设置密码:

    [oracle@jumper log]$ lsnrctl     

    LSNRCTL for Linux: Version 9.2.0.4. - Production on -NOV- ::

    Copyright (c) , , Oracle Corporation.  All rights reserved.

    Welcome to LSNRCTL, type "help" for information.

    LSNRCTL> set current_listener listener

    Current Listener is listener

    LSNRCTL> change_password

    Old password:

    New password:

    Reenter new password:

    Connecting to (DESCRIPTION=(ADDRESS=(PROTOCOL=TCP)(HOST=172.16.33.11)(PORT=)))

    Password changed for listener

    The command completed successfully

    LSNRCTL> set password

    Password:

    The command completed successfully

    LSNRCTL> save_config

    Connecting to (DESCRIPTION=(ADDRESS=(PROTOCOL=TCP)(HOST=172.16.33.11)(PORT=)))

    Saved LISTENER configuration parameters.

    Listener Parameter File  /opt/oracle/product/9.2./network/admin/listener.ora

    Old Parameter File  /opt/oracle/product/9.2./network/admin/listener.bak

    The command completed successfully

设置密码之后,远程操作将会因确实密码而失败:

    D:\>lsnrctl stop eygle

    LSNRCTL for -bit Windows: Version 10.2.0.3. - Production on -11月- ::

    Copyright (c) , , Oracle.  All rights reserved.

    正在连接到 (DESCRIPTION=(ADDRESS=(PROTOCOL=TCP)(HOST=172.16.33.11)

    (PORT=))(CONNECT_DATA=(SERVICE_NAME=eygle)))

    TNS-: 监听程序尚未识别口令

此时在服务器端或客户端,都需要通过密码来起停监听器:

    LSNRCTL> set password

    Password:

    The command completed successfully

    LSNRCTL> stop

    Connecting to (DESCRIPTION=(ADDRESS=(PROTOCOL=TCP)(HOST=172.16.33.11)(PORT=)))

    The command completed successfully

    LSNRCTL> start

    Starting /opt/oracle/product/9.2./bin/tnslsnr: please wait...

    TNSLSNR for Linux: Version 9.2.0.4. - Production

    System parameter file is /opt/oracle/product/9.2./network/admin/listener.ora

    Log messages written to /opt/oracle/product/9.2./network/log/listener.log

    Trace information written to /opt/oracle/product/9.2./network/trace/listener.trc

    Listening on: (DESCRIPTION=(ADDRESS=(PROTOCOL=tcp)(HOST=172.16.33.11)(PORT=)))

    Connecting to (DESCRIPTION=(ADDRESS=(PROTOCOL=TCP)(HOST=172.16.33.11)(PORT=)))

    STATUS of the LISTENER

    ------------------------

    Alias                    LISTENER

    Version                  TNSLSNR for Linux: Version 9.2.0.4. - Production

    Start Date                -NOV- ::

    Uptime                     days  hr.  min.  sec

    Trace Level              support

    Security                  ON

    SNMP                      OFF

    Listener Parameter File  /opt/oracle/product/9.2./network/admin/listener.ora

    Listener Log File        /opt/oracle/product/9.2./network/log/listener.log

    Listener Trace File      /opt/oracle/product/9.2./network/trace/listener.trc

    Listening Endpoints Summary...

      (DESCRIPTION=(ADDRESS=(PROTOCOL=tcp)(HOST=172.16.33.11)(PORT=)))

    Services Summary...

    Service "eygle" has  instance(s).

      Instance "eygle", status UNKNOWN, has  handler(s) for this service...

    Service "julia" has  instance(s).

      Instance "eygle", status UNKNOWN, has  handler(s) for this service...

    The command completed successfully

此外,ADMIN_RESTRICTIONS参数也是一个重要的安全选项,我们可以在 listener.ora 文件中设置 ADMIN_RESTRICTIONS_<listener name> 为 ON,此后所有在运行时对监听器的修改都将被阻止,所有对监听器的修改都必须通过手工修改 listener.ora 文件来完成。

关于监听器安全参考文档:

Integrigy_Oracle_Listener_TNS_Security.pdf

-The End-

设置Oracle tnslsnr监听器口令的更多相关文章

  1. Oracle OS认证 口令文件 密码丢失处理

    Oracle OS认证 口令文件 密码丢失处理 分类: Oracle Basic Knowledge2009-10-19 14:24 5031人阅读 评论(9) 收藏 举报 oracleos数据库sq ...

  2. 如何设置Oracle客户端与服务器的字符集一致

    查看 Oracle 服务器字符集 select userenv('language') from dual; 设置Oracle客户端字符集 添加环境变量NLS_LANG 值与服务器的Oracle服务器 ...

  3. PowerDesigner设置Oracle不区分大小写

    一. powerdesigner设置当前数据库 打开powerdesigner,然后选择菜单DatabaseChange current DBMS,如图: 修改这个下拉框的值即可. 二. power ...

  4. Linux设置Oracle环境变量

    方法一:直接运行export命令定义变量,该变量只在当前的shell(BASH)或其子shell(BASH)下是有效的,shell关闭了,变量也就失效了,再打开新shell时就没有这个变量,需要使用的 ...

  5. CentOS 设置 oracle 开机自动启动

    CentOS 设置 oracle 开机自动启动 1. [root@localhost ~]# gedit /etc/oratab 文件内容为: # # This file is used by ORA ...

  6. Linux下设置oracle环境变量

    Linux设置Oracle环境变量 方法一:直接运行export命令定义变量,该变量只在当前的shell(BASH)或其子shell(BASH)下是有效的,shell关闭了,变量也就失效了,再打开新s ...

  7. plsql连接oralce数据的配置 PLSQL配置怎么连ORACLE plsql连接多个数据库设置 Oracle 服务命名(别名)的配置及原理,plsql连接用

    Oracle 服务命名(别名)的配置及原理,plsql连接用 Oracle 服务命名(别名)的配置及原理 连接数据库必须配置服务命名(别名,用于plsql的连接),不管是本地还是远程,服务命名即简单命 ...

  8. Oracle 11g监听器配置

    Oracle 11g监听器配置 安装好oracle后,出现oracle监听器不能正确使用的问题,先后遇到问题: 1.Oracle ORA-12541:TNS:no listener 2.ORA-285 ...

  9. oracle 11g 配置口令复杂度

    oracle 11g 配置口令复杂度 使用ORACLE自带的utlpwdmg.sql脚本来实现 找到本地的utlpwdmg.sql脚本 find / -name utlpwdmg.sql 查看 /ho ...

随机推荐

  1. ab压测返回结果解析

    Server Software:        Apache/2.2.25 (服务器软件名称及版本信息)Server Hostname:        localhost (服务器主机名)Server ...

  2. 【例题 6-15 UVA - 10129】Play on Words

    [链接] 我是链接,点我呀:) [题意] 在这里输入题意 [题解] 拓扑大水题 [代码] #include <bits/stdc++.h> using namespace std; con ...

  3. 【codeforces 434 div 1 A】Did you mean...

    [链接]h在这里写链接 [题意] 让你维护一段序列. 这段序列,不会出现连续3个以上的辅音. (或者一块全是辅音则也可以) (用空格可以断开连续次数); 要求空格最小. [题解] 模拟着,别让它出现连 ...

  4. 基于bootstrap的主流框架有哪些

    基于bootstrap的主流框架有哪些 一.总结 一句话总结:其实可以直接百度bootstrap后台模板,出来一大堆,想用哪个用哪个. 二.[前端框架系列]浅谈当前基于bootstrap框架的几种主流 ...

  5. mangodb学习0.1 概念

    摘自菜鸟教程

  6. 100万并发连接服务器笔记之Java Netty处理1M连接会怎么样

    前言 每一种该语言在某些极限情况下的表现一般都不太一样,那么我常用的Java语言,在达到100万个并发连接情况下,会怎么样呢,有些好奇,更有些期盼.这次使用经常使用的顺手的netty NIO框架(ne ...

  7. ASCII码的问题

    数字0在ASCII的不同进制下表示:

  8. Swift 带有动画效果的TabBarItem

    额...貌似挺长时间没有总结新知识了,最近在看swift,之前swift刚出来的时候大体看了一遍,后来时间长了没看加之swift2.0做了比较大的调整,公司项目也不是用swift写的,也就没怎么看了, ...

  9. (一)RabbitMQ消息队列-RabbitMQ的优劣势及产生背景

    原文:(一)RabbitMQ消息队列-RabbitMQ的优劣势及产生背景 本篇并没有直接讲到技术,例如没有先写个Helloword.我想在选择了解或者学习一门技术之前先要明白为什么要现在这个技术而不是 ...

  10. 阿里云OSS工具类

    [前言] 我们上家公司的存储系统用的是FastDFS(智能一代云平台(二十八):对前后端分离和FastDFS的使用的再理解):现在在职的公司用的是阿里云的OSS(OSS的官方文档),在工作的时候整理一 ...