怎么选择做网站的公司,采集站seo提高收录,网站建设制作首页流程,北京专业企业营销网站建设一、漏洞详情 Oracle 打补丁后#xff0c;复测出一处中危漏洞#xff1a;Oracle TNS Listener SID 可以被猜测。 可以通过暴力猜测的方法探测出Oracle TNS Listener SID#xff0c;探测出的SID可以用于进一步探测Oracle 数据库的口令。 建议解决办法#xff1a; 1. 不应该使…一、漏洞详情 Oracle 打补丁后复测出一处中危漏洞Oracle TNS Listener SID 可以被猜测。 可以通过暴力猜测的方法探测出Oracle TNS Listener SID探测出的SID可以用于进一步探测Oracle 数据库的口令。 建议解决办法 1. 不应该使用安装Oracle时默认的SID(ORCL)应该设置复杂度较高的SID。 2. 对于短时间内难以通过第1种方式修补漏洞的情况应考虑加强主机和网络层面的访问控制策略。例如采用白名单的方式仅允许授权主机IP访问该端口避免漏洞被攻击者恶意利用。 二、方案分析 以上方案都可但是一般不建议改SID因为涉及改动可能会比较多。因此本次采用第二种办法即白名单方式。 白名单方式有两种1服务器层面-白名单开启防火墙指定IP才能访问服务器。 2数据库层面-白名单指定IP才能连接数据库。 第一种方式简单粗暴又有效直接限制IP即可。√ 直接采用即可 第二种方式某些IP可访问服务器但是无法访问该数据库以下第三章节为实验尝试。
三、实验尝试数据库层面
3.1实验前
14服务器作为测试服务器文件及查看如下
1文件$ORACLE_HOME/network/admin/sqlnet.ora 2连库
sqlplus nh_dw_aml/aml1102192.168.3.14/orclpdb1 3.2修改
1修改 sqlnet.ora :
vim $ORACLE_HOME/network/admin/sqlnet.ora
增加内容
#需要设置成yes方可激活生效
tcp.validnode_checking yes#允许访问的IP
tcp.invited_nodes(192.168.3.14,192.168.3.16,192.168.4.159)#不允许访问的IP
#tcp.excluded_nodes(10.240.1.8,10.240.1.7)
结果cat sqlnet.ora 2重启监听 当监听的实例还未注册好时会提示 ERROR: ORA-12514: TNS:listener does not currently know of service requested in connect descriptor Enter user-name: ERROR: ORA-01017: invalid username/password; logon denied 过一会监听再次查看。实例注册后即可正常连库。 3查看结果
A.本地客户端连接 B.14服务器本地查看名单内OK C.16服务器本地查看名单内OK D.13服务器查看非名单内NO ORA-12547连接丢失 3.3实验总结 名单内正常访问 非名单内提示ORA-12547: TNS:lost contact连接丢失 Enter user-name: 命令清单 su - oracle vim $ORACLE_HOME/network/admin/sqlnet.ora tcp.validnode_checking yes #需要设置成yes方可激活生效 tcp.invited_nodes(192.168.3.14,192.168.3.16,192.168.4.159) #允许访问的IP #tcp.excluded_nodes(10.240.1.8,10.240.1.7) #不允许访问的IP lsnrctl stop lsnrctl start lsnrctl status 连接测试sqlplus 用户名/密码ip/pdb实例名 四、最终结果
开启服务器防火墙将可访问IP配入白名单。
复测漏洞消失。ok
