Oracle安全漏洞：白名单方式处理实施指导手册

Oracle安全漏洞：白名单方式处理实施指导手册收集配置连数据库的所有设备服务器的IP地址；以上IP地址收集时需要包含以下几部分IT网管的采集机地址（固定，如有变更，需要同步变更sqlnet.ora文件，并reload）：10.8.0.1保垒机所有服务器的地址（固定，如有变更，需要同步变更sqlnet.ora文件，并reload）：10.9.2.510.9.2.610.9.2.710.9.2.810.9.2.910.9.2.1010.9.2.1710.9.2.1810.9.2.3410.9.2.1510.9.2.16本系统需要连数据库的所有应用主机的IP地址；所有外围系统需要配置连接本数据库的应用主机或源数据库主机（dblink）的IP地址；集团或其他单位部门需要直连本系统数据库的应用主机地址；白名单IP地址收集方法：一是要根据系统维护配置信息的汇总统计；二是通过在本系统数据库上创建trigger自动收集一段时间内登录过该数据库的源IP地址；相关trigger及表对象创建脚本如下：-----trigger:login_logcreatecreateorreplacetriggerlogin_logafterlogonondatabasebegininsertintologin_historyselectusername,machine,sysdate,sys_context('userenv','ip_address')fromv$sessionwhereaudsid=userenv('sessionid');commit;end;---tableLOGIN_HISTORYcreate--CreatetablecreatetableLOGIN_HISTORY(usernameVARCHAR2(60),machineVARCHAR2(60),login_timeDATE,ipVARCHAR2(50))tablespaceUSERSpctfree10initrans1maxtrans255storage(initial64Knext1Mminextents1maxextentsunlimited);注：同一主机所有Ip地址（固定，浮动，备机IP地址都要汇总添加到sqlnet.ora文件中）将以上收集到的地址汇总到添加到sqlnet.ora文件中；Sqlnet.ora文件所有路径：与listener.ora文件在同一路径下/u01/app/11.2.0.3/grid/network/admin/需根据实际系统安装情况来确定；Sqlnet.ora文件需要添加的内容及格式如下：oracle@spdbapp#[/oracle/oracle11g/product/db_1/network/admin]visqlnet.oratcp.validnode_checking=yesTCP.INVITED_NODES=(10.8.0.135,10.8.9.6,10.8.9.7,10.1.0.45,10.1.0.2,10.1.0.53,10.4.0.101,10.9.2.5,10.9.2.6,10.9.2.7,10.9.2.8,10.9.2.9,10.9.2.10,10.9.2.17,10.9.2.18,10.9.2.34,10.9.2.15,10.9.2.16,10.8.0.1,10.1.0.204,10.8.0.76,10.1.0.72,10.1.0.74)注意：ip地址之间用逗号，中间不得有换行符；重启数据库监听服务或reload监听服务；如果原来有sqlnet.ora文件，并配置过tcp.validnode_checking=yes，那么需要reload一下监听即可完成数据库的白名单配置工作；Lsnrctlreloadlistener_name如果原来没有sqlnet.ora文件，那么需要新建sqlnet.ora文件后，重启下监听即可完成数据库的白名单配置工作；Lsnrctlstoplistener_nameLsnrctlstartlistener_name测试验证白名单的有效性；以上工作完成后，需要验证一下数据库的白名单添加是否有效；首先确定sqlnet.ora文件中不包含本机地址，并且白名单实施之前本机可以正常登录数据库；其次，数据库的白名单配置完成后，在本机登录数据库测试是否正