- OBJETIVO
- BLOQUEAR EL ACCESO A ORACLE DESDE UNA IP
- • Poner todos los nodos excluidos en una única línea.
- • Poner todos los nodos invitados en una única línea.
- • Se debería incluir en el listado de nodos invitados localhost.
Cómo bloquear desde el sqlnet.ora el acceso a la base de datos desde una ip concreta.
En caso de no tener un firewall para bloquear el acceso de ciertas ips a una base de datos lo podemos realizar a través del sqlnet.ora.
El “secreto” para bloquear o restringir el acceso por IP a la base de datos se realiza en el archivo sqlnet.ora. Este archivo lo podemos encontrar en el directorio $ORACLE_HOME/network/admin junto con los archivos tnsnames.ora y listener.ora
Editamos el archivo sqlnet.ora y añadimos las siguientes líneas:
tcp.validnode_checking = yes
Con esto conseguimos chequear los listeners que tengamos activos.
A continuación escribimos lo siguiente:
tcp.invited_nodes = (hostnameA, hostnameB)
tcp.excluded_nodes = (192.168.2.15)
Con tcp.invited_nodes puedo especificar qué máquinas quiero que su conexión sea aceptada por las base de datos.
Con tcp.excluded_nodes excluimos las máquinas que no queremos que se conecten a las bases de datos.
La idea de este mecanismo es realizar una lista de las máquinas que queremos que se conecten o realizar una lista de las máquinas que no queremos que se conecten a nuestra base de datos.
A pesar de este mecanismo de seguridad, no podemos decir que estemos totalmente exentos de recibir ataques.
Algunas reglas a tener en cuenta para generar la lista de IPS / hostnames invitados o excluidos pueden ser la siguiente:
Después de introducir estas reglas en nuestro sqlnet.ora debemos de reiniciar los listeners de la máquina.
Con nuestro usuario oracle realizamos lo siguiente:
$ lsnrctl stop nb_listener
$ lsnrctl start nb_listener
Siendo nb_listener el nombre del listener que tengamos iniciado en la máquina y que podemos comprobar en el archivo listener.ora.
Comentarios:
por falkina | 4/1/2008 2:15:40 PM
RE: Bloquear el acceso a base de datos por IP
se puede permitir un rango por ejemplo todos los que esten en 30.0.0.*
por deditos | 8/5/2009 7:20:17 AM
RE: Bloquear el acceso a base de datos por IP
bueno en realidad la consulta que queiro ahcer es como blokear una base de dato pro en realidad lo que yo tengo no es pareciso a esto entonces lo que quiero hacer es blokearla que cuando yo entre por la direcion de base de dato en este caso biene siendo de phpmyadmin entonces cuando yo pongo la pagina que toy usando y suviendoles los archivo apra actualizar la pagina entro de donde me de la gana osea cualqueira pone la pagina y al final phpmyadmin/ y entra enonce quiero crearle un pass para que solo una persona pueda entrar osea el que ta mentiendo los archivos
solo quiero eso con una contraseña como lo ago
por deditos | 8/5/2009 7:20:36 AM
RE: Bloquear el acceso a base de datos por IP
bueno en realidad la consulta que queiro ahcer es como blokear una base de dato pro en realidad lo que yo tengo no es pareciso a esto entonces lo que quiero hacer es blokearla que cuando yo entre por la direcion de base de dato en este caso biene siendo de phpmyadmin entonces cuando yo pongo la pagina que toy usando y suviendoles los archivo apra actualizar la pagina entro de donde me de la gana osea cualqueira pone la pagina y al final phpmyadmin/ y entra enonce quiero crearle un pass para que solo una persona pueda entrar osea el que ta mentiendo los archivos
solo quiero eso con una contraseña como lo ago
por deditos | 8/5/2009 7:20:46 AM
RE: Bloquear el acceso a base de datos por IP
bueno en realidad la consulta que queiro ahcer es como blokear una base de dato pro en realidad lo que yo tengo no es pareciso a esto entonces lo que quiero hacer es blokearla que cuando yo entre por la direcion de base de dato en este caso biene siendo de phpmyadmin entonces cuando yo pongo la pagina que toy usando y suviendoles los archivo apra actualizar la pagina entro de donde me de la gana osea cualqueira pone la pagina y al final phpmyadmin/ y entra enonce quiero crearle un pass para que solo una persona pueda entrar osea el que ta mentiendo los archivos
solo quiero eso con una contraseña como lo ago
Plugin buscador de errores