oracle listener 的密码

jiangpan

浏览: 53794 次
性别:
来自: 石家庄

最近访客更多访客>>

雪域雄狮lj

秀泽001

woodding2008

szrenshihai

博主相关

博客

微博

相册

留言

关于我

文章分类

社区版块

存档分类

Oracle 配置管理应用服务器 XP Microsoft

oracle 的监听机制是外部应用程序连接oracle的入口。用oracle提供的lsnrctl 程序进行管理。一般很多人在管理oracle的时候，往往忽略对listener 的安全管理：监听在端口1521（默认端口）上的oracle tnslsnr未设置口令保护!

    这会存在这个安全隐患：远程的Oracle tnslsnr服务器没有被设置密码，一个攻击者可以利用这个问题随意关闭oracle tnslsnr服务器或者设置新的口令，这将影响合法用户的正常使用。攻击者也可以获取数据库的一些细节信息以发动进一步攻击。结合其他漏洞，攻击者甚至可以在目标系统上创建或者修改文件，进而入侵系统。
   这里对关于oracle监听模块密码安全设置的几个方法进行说明：
1. 如何进行远程操作：
    在远程机器上修改listerner.ora 文件，增加对异地oracle服务器的配置,例如:
   ls_oratest =
(DESCRIPTION_LIST =
    (DESCRIPTION =
      (ADDRESS = (PROTOCOL = IPC)(KEY = EXTPROC_FOR_XE))
      (ADDRESS = (PROTOCOL = TCP)(HOST = 192.168.1.10)(PORT = 1521))
    )
   )
这里的HOST = 192.168.1.10 即是指明远程的oracle服务器。如果默认的，oracle服务器上没有设置
listener 的管理密码，则在远程机器上只要执行：
     lsnrctl stop ls_oratest
   即可停止192.168.1.10 服务器上的监听服务。
2.如何修改密码：
    listener的密码策略对start无效,目的是防止恶意stop(start ,如果有在运行,则不成功,所以也就不需要保护了)
     lsnrctl >
       set current_listener listener_oratest <-- 设置当前监听器的配置名称
       Old password: <原来的口令> <-- 如果原来没有设置口令就直接回车，否则输入原来的口令
        New password: <新口令>
       Reenter new password: <新口令>
        Connecting to (ADDRESS=(PROTOCOL=ipc)(KEY=XXX))
         Password changed for listener_oratest
          The command completed successfully
      <--这里设置或者修改了当前运行监听进程的密码，如果监听程序重启，则密码仍然为原来的密码。
      <--所以需要执行保存密码的过程
        set password
        Password: <输入新口令>
        save_config (此步重要，保存当前设置)
        exit

    说明：

a.执行save_config 需要再执行一次 set password 提供新密码，是因为在lsnrctl 管理工具中，是通过 set password 命令来设置当前环境的密码。设置了正确的密码后，就可以执行一些重要的操作，如save_config, stop 等。
b 设置密码后，密码记录在listerner.ora 文件中，

             比如：PASSWORDS_listener_oratest = AF15F0B512F2229A
          形式为：PASSWORDS_监听名称 = 密码密文。如果忘记密码，可以去掉该行，则密码为空。
       c.设置了密码后，远程机器如果需要stop监听的时候，则需要提供密码，否则操作失败。

   3.如何管理设置密码后的监听进程：
       a.如果是人工交互的操作，则只需在执行操作前面键入两个命令：
        lsnrct<
           set current_listener listener_oratest <-- 设置当前监听器的配置名称
           set password
           Password: <输入口令>
           stop
       b.如果是脚本自动执行，则需要提供密码的密文（由isterner.ora 文件获得）
          #!/bin/sh
          lsnrctl << eof
            set current_listener listener_oratest
            set password AF15F0B512F2229A
            stop
           eof

（以上内容转自：http://blog.chinaunix.net/u/16889/showart_1097899.html）

3. 以下是我在本地测试的过程记录：

C:\Documents and Settings\lcm>lsnrctl

LSNRCTL for 32-bit Windows: Version 9.2.0.3.0 - Production on 30-7月 -2009 14:14
:24

欢迎来到LSNRCTL，请键入"help"以获得信息。

LSNRCTL> help
以下操作可用
星号 (*) 表示修改符或扩展命令：

start               stop                status
services            version             reload
save_config         trace               change_password
quit                exit                set*
show*

LSNRCTL> change_password
Old password:
New password:
Reenter new password:
正在连接到 (DESCRIPTION=(ADDRESS=(PROTOCOL=TCP)(HOST=gemmy)(PORT=1521)))
LISTENER的口令已更改
命令执行成功
LSNRCTL> set password
Password:
命令执行成功
LSNRCTL> save_config
正在连接到 (DESCRIPTION=(ADDRESS=(PROTOCOL=TCP)(HOST=gemmy)(PORT=1521)))
保存的LISTENER配置参数。
监听器参数文件 D:\oracle\ora92\network\admin\listener.ora
旧的参数文件D:\oracle\ora92\network\admin\listener.bak
命令执行成功
LSNRCTL> exit