Logo MurCode
Oracle Новое сообщение

Безопасность в Оракл (настройка TNSListner'а)

Jordi
Дата: 25.05.2006 15:53:34
Необходимо обезапасить удаленный доступ к СУБД.

Пароль на TNSListner я поставил. Из официальной Оракловой документации прочитал рекомендацию установить следующий параметр защищенной конфигурации:

ADMIN_RESTRICTIONS_listener_name = ON

Однако в документации отсутствовали пояснения, за что этот параметр отвечает. Не могли бы вы мне это подсказать?
-------------------------------------------------------------------

Также, в конфиге protocol.ora можно указать IP-адреса хостов, с которых разрешен доступ к СУБД через TNSListner. Это делается так:

tcp.validnode_checking = YES
tcp.invited_nodes = {список разрешенных IP-адресов}

Вопрос: в том же конфиге есть еще один параметр, обратный к первому:
tcp.excluded_nodes = {список запрещенных IP-адресов}
Для чего этот параметр используется, разве определяя хосты в tcp.invited_nodes я автоматически не запрещаю доступ другим хостам?

Если ответ "Нет", то как мне запретить доступ всем, кроме двух конкретных IP-адресов?
juks@gala.net
Дата: 25.05.2006 16:08:00
Jordi
tcp.excluded_nodes = {список запрещенных IP-адресов}
Для чего этот параметр используется, разве определяя хосты в tcp.invited_nodes я автоматически не запрещаю доступ другим хостам?

Для того шобы забанить некоторых кросавчегоф

Jordi
Если ответ "Нет", то как мне запретить доступ всем, кроме двух конкретных IP-адресов?

Если хотите пустить только двух tcp.invited_nodes.
Если хотите забанить только двух tcp.excluded_nodes

И шо неясно ?
Exotic
Дата: 25.05.2006 16:13:02
Чтобы совсем безопасно, разносишь сервер СУБД и сервер OracleNet по разным машинам, первая во внутренней сети (не видна снаружи), вторая видна снаружи, и организуешь перенаправленное соединение с шифрованием и прочей лабудой.
Насчет excluded/invited_nodes: если указать лишь excluded, то по умолчанию будет запрещен доступ только указанным адресам, если же указать только invited, то по умолчанию доступ запрещен, а разрешен только указанным.
---------------------------------------------
Каждому шаману пора дать по бубну!
Exotic
Дата: 25.05.2006 16:14:14
кстати, если некоторые адреса в excluded и invited пересекаются, то запрет сильнее.
Jordi
Дата: 25.05.2006 17:38:08
Благодарю за ответы.

А что насчет: ADMIN_RESTRICTIONS_listener_name = ON
Separator
Дата: 25.05.2006 18:44:02
Setting ADMIN_RESTRICTIONS_listener_name=on disables the runtime modification
of parameters in listener.ora. That is, the listener will refuse to accept
SET commands that alter its parameters.
To change any of the parameters in listener.ora, including
ADMIN_RESTRICTIONS_listener_name itself, modify the listener.ora file manually
and reload its parameters (with the RELOAD command) for the new changes to
take effect without explicitly stopping and restarting the listener.