印刻数据库

外观

Oracle 监听器安全配置与管理

Oracle监听器是数据库的门户,负责接收和转发客户端连接请求。监听器的安全配置直接关系到数据库的整体安全性,不当的配置可能导致敏感信息泄露、未授权访问甚至数据库被完全控制。对于DBA而言,掌握监听器安全配置和管理是保障数据库安全的基本要求。

监听器安全基础

核心组件与配置文件

监听器主要由以下组件和配置文件组成:

  • listener.ora:监听器的核心配置文件,定义监听地址、端口、服务等
  • sqlnet.ora:网络安全配置文件,控制连接加密、认证等安全选项
  • tnsnames.ora:客户端连接配置文件,定义服务连接字符串
  • 监听器日志:记录连接请求、错误信息和管理操作

常见安全风险

监听器面临的主要安全风险包括:

  • 信息泄露:通过监听器状态查询获取数据库版本、实例名等敏感信息
  • 远程管理漏洞:未授权用户通过LSNRCTL工具远程修改监听器配置
  • 拒绝服务攻击:大量恶意连接请求耗尽监听器资源
  • 监听器劫持:攻击者修改监听器配置,将连接重定向到恶意服务
  • 默认配置风险:使用默认端口1521、允许所有IP访问等默认配置带来的风险

监听器安全配置

限制监听地址

配置监听特定IP 

# listener.ora配置
LISTENER = 
  (DESCRIPTION_LIST = 
    (DESCRIPTION = 
      (ADDRESS = (PROTOCOL = TCP)(HOST = 192.168.1.100)(PORT = 1521))
    )
  )

生产最佳实践

  • 避免使用HOST = 0.0.0.0HOST = *监听所有IP,这会暴露数据库到所有网络接口
  • 明确指定监听器应监听的数据库服务器IP地址,优先使用内网IP
  • 考虑将监听器配置为仅监听本地回环地址(127.0.0.1),通过负载均衡器或应用服务器转发连接,减少直接暴露

配置监听器密码

设置监听器密码

bash
# 启动LSNRCTL工具
lsnrctl

# 设置密码
LSNRCTL> SET PASSWORD
Password: 输入安全密码

# 保存配置
LSNRCTL> SAVE_CONFIG

验证密码设置

bash
# 未输入密码直接查询状态
LSNRCTL> STATUS
TNS-01169: The listener has not recognized the password

# 输入密码后查询
LSNRCTL> SET PASSWORD
Password: 输入密码
LSNRCTL> STATUS
# 正常显示监听器状态

生产最佳实践

  • 使用强密码(至少12位,包含大小写字母、数字和特殊字符)
  • 定期更换监听器密码(建议每90天),与数据库密码轮换周期保持一致
  • 密码不要与数据库用户密码相同,避免密码泄露导致连锁反应
  • 密码存储在安全的密码管理系统中,避免明文记录

禁用远程管理

配置远程管理限制 

# listener.ora配置
ADMIN_RESTRICTIONS_LISTENER = ON

重启监听器使配置生效

bash
lsnrctl stop
lsnrctl start

验证远程管理是否禁用

从远程主机执行LSNRCTL命令,应收到以下错误:

bash
LSNRCTL> STATUS
TNS-01189: The listener has not recognized the admin command

生产最佳实践

  • 始终启用ADMIN_RESTRICTIONS,仅允许本地管理监听器
  • 如需远程管理,使用SSH隧道等安全方式,避免直接暴露管理端口
  • 生产环境中禁止使用远程监听器管理,所有配置变更通过本地操作或自动化工具执行

配置监听器加密

启用TCPS监听 

# listener.ora配置
LISTENER = 
  (DESCRIPTION_LIST = 
    (DESCRIPTION = 
      (ADDRESS = (PROTOCOL = TCP)(HOST = 192.168.1.100)(PORT = 1521))
      (ADDRESS = (PROTOCOL = TCPS)(HOST = 192.168.1.100)(PORT = 2484))
    )
  )

# SSL钱包配置
WALLET_LOCATION = 
  (SOURCE = 
    (METHOD = FILE)
    (METHOD_DATA = 
      (DIRECTORY = /u01/app/oracle/wallet)
    )
  )

# 加密版本配置
SSL_VERSION = 1.2

客户端连接配置 

# tnsnames.ora配置
ORCL_SSL = 
  (DESCRIPTION = 
    (ADDRESS = (PROTOCOL = TCPS)(HOST = 192.168.1.100)(PORT = 2484))
    (CONNECT_DATA = 
      (SERVER = DEDICATED)
      (SERVICE_NAME = orcl)
    )
    (SECURITY = 
      (SSL_SERVER_CERT_DN = "CN=oracle.example.com,OU=Database,O=Example,C=US")
    )
  )

生产最佳实践

  • 对于生产环境,建议同时启用TCP和TCPS,逐步迁移到纯TCPS
  • 使用受信任的CA签发的SSL证书,避免自签名证书的安全风险
  • 配置适当的SSL版本和加密套件,禁用不安全的加密算法
  • 定期更新SSL证书,避免证书过期导致连接失败

控制动态服务注册

限制动态服务注册

sql
-- 设置本地监听器,限制注册地址
ALTER SYSTEM SET LOCAL_LISTENER = 'TCP://192.168.1.100:1521' SCOPE = BOTH;

-- 禁用远程监听器
ALTER SYSTEM SET REMOTE_LISTENER = '' SCOPE = BOTH;

-- 重启数据库使配置生效
SHUTDOWN IMMEDIATE;
STARTUP;

使用静态服务注册 

# listener.ora配置
SID_LIST_LISTENER = 
  (SID_LIST = 
    (SID_DESC = 
      (GLOBAL_DBNAME = orcl.example.com)
      (SID_NAME = orcl)
      (ORACLE_HOME = /u01/app/oracle/product/19.3.0/dbhome_1)
    )
  )

生产最佳实践

  • 对于安全要求高的环境,考虑完全禁用动态服务注册
  • 使用静态服务注册时,仅注册必要的服务,避免暴露不必要的数据库实例
  • 定期检查监听器服务列表,移除不必要的服务
  • 在多租户环境中,仅注册CDB和必要的PDB服务

配置访问控制

SQL*Net节点检查 

# sqlnet.ora配置
TCP.VALIDNODE_CHECKING = YES
TCP.INVITED_NODES = (192.168.1.0/24, 10.0.0.10)
TCP.EXCLUDED_NODES = (192.168.1.100)

防火墙配置

Linux iptables配置
bash
# 允许应用服务器网段访问1521端口
iptables -A INPUT -p tcp -s 192.168.1.0/24 --dport 1521 -j ACCEPT

# 允许管理网段访问1521端口
iptables -A INPUT -p tcp -s 10.0.0.0/24 --dport 1521 -j ACCEPT

# 拒绝其他所有IP访问1521端口
iptables -A INPUT -p tcp --dport 1521 -j DROP

# 保存iptables规则
iptables-save > /etc/sysconfig/iptables
Windows防火墙配置
powershell
# 创建入站规则,允许特定IP访问1521端口
New-NetFirewallRule -DisplayName "Oracle Listener Access" `
  -Direction Inbound `
  -Protocol TCP `
  -LocalPort 1521 `
  -RemoteAddress 192.168.1.0/24,10.0.0.0/24 `
  -Action Allow

生产最佳实践

  • 结合使用SQL*Net节点检查和防火墙,实现多层访问控制
  • 定期审查允许访问的IP列表,移除不再需要的IP
  • 考虑使用VPN等安全通道进行远程访问
  • 在云环境中,使用安全组或网络ACL进一步限制访问

监听器日志配置

启用详细日志 

# listener.ora配置
LOGGING_LISTENER = ON
LOG_FILE_LISTENER = listener.log
LOG_DIRECTORY_LISTENER = /u01/app/oracle/diag/tnslsnr/db-server/listener/trace
LOGGING_LEVEL_LISTENER = ADMIN
TRACE_LEVEL_LISTENER = SUPPORT
TRACE_FILE_LISTENER = listener.trc
TRACE_DIRECTORY_LISTENER = /u01/app/oracle/diag/tnslsnr/db-server/listener/trace

日志轮换配置

bash
# 创建日志轮换脚本
cat > /home/oracle/listener_log_rotate.sh << 'EOF'
#!/bin/bash
# 监听器日志轮换脚本

LISTENER_HOME=/u01/app/oracle/diag/tnslsnr/db-server/listener/trace
DATE=$(date +%Y%m%d_%H%M%S)

# 停止监听器
lsnrctl stop

# 重命名日志文件
mv ${LISTENER_HOME}/listener.log ${LISTENER_HOME}/listener_${DATE}.log
mv ${LISTENER_HOME}/listener.trc ${LISTENER_HOME}/listener_${DATE}.trc

# 启动监听器
lsnrctl start

# 压缩旧日志(保留30天)
gzip ${LISTENER_HOME}/listener_$(date --date='30 days ago' +%Y%m%d)*.log
# 删除超过90天的日志
find ${LISTENER_HOME} -name "listener_*.log.gz" -mtime +90 -delete
find ${LISTENER_HOME} -name "listener_*.trc" -mtime +90 -delete
EOF

# 赋予执行权限
chmod +x /home/oracle/listener_log_rotate.sh

# 添加到crontab,每周日凌晨执行
crontab -e
0 2 * * 0 /home/oracle/listener_log_rotate.sh

生产最佳实践

  • 始终启用监听器日志,配置为ADMIN或更高级别,以便记录所有安全相关事件
  • 定期轮换日志,避免日志文件过大影响系统性能
  • 保存至少30天的日志用于安全审计和故障排查,90天以上的日志可压缩归档
  • 将日志发送到集中日志管理系统(如ELK Stack、Splunk),便于分析和告警

监听器安全监控

实时监控脚本

监听器状态监控

bash
#!/bin/bash
# 监听器状态监控脚本

# 获取监听器状态
LISTENER_STATUS=$(lsnrctl status | grep -i "STATUS")

if [[ $LISTENER_STATUS == *"READY"* ]]; then
  echo "监听器状态正常:$LISTENER_STATUS"
  exit 0
else
  echo "监听器状态异常:$LISTENER_STATUS"
  # 发送告警(示例:邮件告警)
  echo "监听器状态异常:$LISTENER_STATUS" | mail -s "Oracle监听器告警" dba@example.com
  # 发送告警到企业微信/钉钉
  curl -s -H "Content-Type: application/json" -d "{\"msgtype\":\"text\",\"text\":{\"content\":\"Oracle监听器状态异常:$LISTENER_STATUS\"}}" https://qyapi.weixin.qq.com/cgi-bin/webhook/send?key=YOUR_KEY
  exit 1
fi

连接请求监控

bash
#!/bin/bash
# 监听器连接请求监控脚本

LOG_FILE=/u01/app/oracle/diag/tnslsnr/db-server/listener/trace/listener.log

# 统计最近1小时的连接请求数
HOUR_AGO=$(date -d "1 hour ago" +"%a %b %d %H:")
CONNECTION_COUNT=$(grep "$HOUR_AGO" $LOG_FILE | grep -i "establish" | wc -l)

# 设置阈值
THRESHOLD=100

if [ $CONNECTION_COUNT -gt $THRESHOLD ]; then
  echo "警告:最近1小时连接请求数达到 $CONNECTION_COUNT,超过阈值 $THRESHOLD"
  # 发送告警
  echo "监听器连接请求过多:最近1小时连接请求数达到 $CONNECTION_COUNT,超过阈值 $THRESHOLD" | mail -s "Oracle监听器告警" dba@example.com
  curl -s -H "Content-Type: application/json" -d "{\"msgtype\":\"text\",\"text\":{\"content\":\"Oracle监听器连接请求过多:最近1小时连接请求数达到 $CONNECTION_COUNT,超过阈值 $THRESHOLD\"}}" https://qyapi.weixin.qq.com/cgi-bin/webhook/send?key=YOUR_KEY
fi

日志分析与告警

使用AWK分析监听器日志

bash
#!/bin/bash
# 监听器日志安全分析脚本

LOG_FILE=/u01/app/oracle/diag/tnslsnr/db-server/listener/trace/listener.log
ALERT_EMAIL="dba@example.com"

# 查找失败的连接尝试
FAILED_ATTEMPTS=$(grep -i "refused\|failed\|denied" $LOG_FILE | tail -20)
if [ -n "$FAILED_ATTEMPTS" ]; then
  echo "=== 失败的连接尝试 ===" > /tmp/listener_alert.txt
  echo "$FAILED_ATTEMPTS" >> /tmp/listener_alert.txt
  ALERT_NEEDED=1
fi

# 查找来自异常IP的连接
IP_STATS=$(grep -oE "([0-9]{1,3}\.){3}[0-9]{1,3}" $LOG_FILE | sort | uniq -c | sort -nr | head -10)
TOP_IP_COUNT=$(echo "$IP_STATS" | head -1 | awk '{print $1}')
if [ "$TOP_IP_COUNT" -gt 500 ]; then
  echo "\n=== 连接请求来源IP统计(可能存在异常) ===" >> /tmp/listener_alert.txt
  echo "$IP_STATS" >> /tmp/listener_alert.txt
  ALERT_NEEDED=1
fi

# 查找管理操作
ADMIN_OPS=$(grep -i "command\|password\|save_config" $LOG_FILE | tail -10)
if [ -n "$ADMIN_OPS" ]; then
  echo "\n=== 监听器管理操作 ===" >> /tmp/listener_alert.txt
  echo "$ADMIN_OPS" >> /tmp/listener_alert.txt
  ALERT_NEEDED=1
fi

# 发送告警
if [ "$ALERT_NEEDED" = 1 ]; then
  cat /tmp/listener_alert.txt | mail -s "Oracle监听器安全告警" $ALERT_EMAIL
  curl -s -H "Content-Type: application/json" -d "{\"msgtype\":\"text\",\"text\":{\"content\":\"Oracle监听器安全告警,请查看邮件详情\"}}" https://qyapi.weixin.qq.com/cgi-bin/webhook/send?key=YOUR_KEY
  rm -f /tmp/listener_alert.txt
fi

集成监控工具

可以将监听器监控集成到企业监控系统中:

  • Oracle Enterprise Manager:提供完整的监听器监控和告警功能,支持自动发现和配置
  • Prometheus + Grafana:通过oracledb_exporter采集监听器指标,配置可视化面板和告警
  • Zabbix:使用自定义脚本监控监听器状态和日志,配置触发器和告警
  • ELK Stack:集中收集和分析监听器日志,配置告警规则和可视化仪表板

Oracle 19c与21c监听器安全差异

特性Oracle 19cOracle 21c
加密支持TLS 1.0/1.1/1.2增加TLS 1.3支持,更安全的加密算法
密码管理基础密码支持增强的密码策略,支持更复杂的密码规则
远程管理基础的ADMIN_RESTRICTIONS增强的远程管理限制,更细粒度的控制
日志功能基础日志记录增强的日志,包含更详细的安全事件
动态服务注册基础控制增强的动态服务注册控制,支持更灵活的配置
安全扫描基础安全检查集成更全面的安全扫描功能
身份认证基础认证机制增强的认证,支持更多认证方式
防火墙集成基础支持更便捷的防火墙规则配置

Oracle 21c新特性

Oracle 21c在监听器安全方面引入了以下新特性:

  1. TLS 1.3支持:提供更安全、性能更好的加密协议,减少延迟和带宽消耗
  2. 增强的密码策略:支持更复杂的密码规则和定期更换要求,与数据库密码策略保持一致
  3. 细粒度的远程管理控制:可以更精确地控制远程管理操作,支持基于角色的管理
  4. 改进的日志记录:包含更多安全相关事件和详细信息,便于审计和分析
  5. 集成安全扫描:内置监听器安全扫描功能,自动检测安全漏洞和配置问题
  6. 简化的SSL配置:提供更简洁的SSL配置选项,减少配置错误

生产环境最佳实践

安全配置清单

配置项推荐值检查方法实施频率
监听地址特定IPlistener.ora中HOST配置初始配置+变更时
监听器密码强密码(≥12位)LSNRCTL命令验证初始配置+每90天更换
远程管理禁用ADMIN_RESTRICTIONS_LISTENER = ON初始配置+变更时
连接加密TCPS + TLS 1.2/1.3listener.ora中TCPS配置初始配置+升级时
访问控制限制IP列表sqlnet.ora中TCP.INVITED_NODES初始配置+每月审查
日志级别ADMINlistener.ora中LOGGING_LEVEL初始配置+变更时
动态注册限制或禁用检查LOCAL_LISTENER配置初始配置+变更时
防火墙限制1521端口检查防火墙规则初始配置+每月审查

定期安全检查

  • 每周:检查监听器日志,查看异常连接和管理操作
  • 每月:审查允许访问的IP列表和监听器配置,确保符合最小权限原则
  • 每季度:执行监听器安全扫描,检查潜在漏洞和配置问题
  • 每半年:更新监听器密码,审查安全配置,进行安全加固
  • 每年:进行全面的监听器安全审计,包括配置审查、日志分析和渗透测试

应急响应计划

制定监听器安全事件应急响应计划,包括:

  1. 事件检测:通过监控工具及时发现异常,如监听器状态变化、连接请求突增、失败尝试增多等
  2. 事件分类:根据严重程度分类(信息泄露、拒绝服务、未授权访问等),确定响应级别
  3. 响应措施
    • 紧急情况下:停止监听器,切断外部访问,避免进一步损失
    • 信息泄露:修改监听器配置,增强访问控制,更改密码
    • 拒绝服务攻击:临时限制访问IP,启用防火墙规则过滤恶意流量
    • 未授权访问:重置监听器密码,审查配置变更,检查数据库是否被入侵
  4. 恢复流程:安全地恢复监听器服务,验证连接正常,监控系统运行状态
  5. 事后分析:分析事件原因,完善安全措施,更新应急响应计划

常见问题(FAQ)

Q:如何查看监听器的详细配置?

A:使用LSNRCTL工具查看:

bash
lsnrctl show all

Q:如何修改监听器端口?

A:修改listener.ora文件,然后重启监听器:

# listener.ora配置
LISTENER = 
  (DESCRIPTION_LIST = 
    (DESCRIPTION = 
      (ADDRESS = (PROTOCOL = TCP)(HOST = 192.168.1.100)(PORT = 1522))
    )
  )

Q:监听器密码丢失怎么办?

A:

  1. 停止监听器:lsnrctl stop
  2. 编辑listener.ora文件,删除PASSWORDS_LISTENER配置行
  3. 启动监听器:lsnrctl start
  4. 重新设置密码:lsnrctl set password

Q:如何禁用监听器的动态服务注册?

A:在数据库中执行:

sql
ALTER SYSTEM SET LOCAL_LISTENER = '' SCOPE = BOTH;
ALTER SYSTEM SET REMOTE_LISTENER = '' SCOPE = BOTH;
-- 重启数据库使配置生效

Q:如何验证监听器加密是否正常工作?

A:使用以下方法验证:

  1. 查看监听器状态,确认TCPS监听已配置:lsnrctl status
  2. 使用SSL客户端连接数据库,验证连接是否成功:sqlplus sys@ORCL_SSL as sysdba
  3. 检查监听器日志,确认加密连接记录:grep -i "tcps\|ssl" listener.log

Q:如何处理监听器的拒绝服务攻击?

A:处理步骤:

  1. 临时限制访问IP,只允许必要IP连接:修改sqlnet.ora中的TCP.INVITED_NODES
  2. 启用防火墙规则,过滤恶意IP:配置iptables或防火墙规则
  3. 增加监听器进程资源限制:修改listener.ora中的PROGRAM属性
  4. 考虑使用负载均衡器或WAF防护:前端部署负载均衡器,过滤恶意流量
  5. 监控连接请求,及时发现异常:使用监控脚本或工具

Q:Oracle 21c监听器TLS 1.3如何配置?

A:在sqlnet.ora中添加:

SQLNET.ENCRYPTION_TYPES_SERVER = (AES256, AES192, AES128)
SSL_VERSION = 1.3

Q:如何监控监听器的性能?

A:使用以下方法:

  1. 查看监听器日志中的连接请求数和响应时间
  2. 使用AWR报告查看数据库连接统计:@?/rdbms/admin/awrrpt.sql
  3. 监控监听器进程的CPU和内存使用情况:top -p <listener_pid>
  4. 使用Oracle Enterprise Manager监控监听器性能指标
  5. 使用Prometheus + Grafana配置监听器性能仪表盘

Q:监听器日志过大,如何优化?

A:

  1. 配置适当的日志级别:仅记录必要的安全事件,避免过多调试信息
  2. 定期轮换日志:使用日志轮换脚本,避免日志文件过大
  3. 压缩和归档旧日志:保留必要的日志,压缩归档旧日志
  4. 使用集中日志管理系统:将日志发送到ELK Stack或Splunk,便于分析和存储

Q:如何在多租户环境中配置监听器安全?

A:

  1. 仅注册CDB和必要的PDB服务,避免暴露所有PDB
  2. 为每个PDB配置独立的服务名和连接字符串
  3. 使用TCPS加密所有PDB连接
  4. 为不同PDB的客户端设置不同的IP访问控制
  5. 监控每个PDB的连接请求和访问情况

总结

监听器安全是Oracle数据库安全的重要组成部分,DBA需要采取多层次的安全措施来保护监听器:

  1. 配置层面:限制监听地址、设置强密码、禁用远程管理、配置加密连接
  2. 访问控制:使用SQL*Net节点检查、防火墙规则限制访问IP,实现最小权限原则
  3. 监控告警:实时监控监听器状态,分析日志,配置告警,及时发现异常
  4. 定期审查:定期检查配置、日志和安全事件,进行安全加固和优化
  5. 版本升级:考虑升级到Oracle 21c,利用新的安全特性如TLS 1.3和增强的密码策略

通过综合运用这些措施,可以有效降低监听器安全风险,保障数据库的整体安全。监听器安全管理是一个持续的过程,需要DBA不断关注新的安全威胁和Oracle发布的安全补丁,及时调整安全策略,确保数据库系统的安全稳定运行。