Oracle 10g數據庫默認安裝應該注意的問題

Oracle 10g數據庫默認安裝應該注意的問題： 　　1.Oracle 10g 的FLASH_RECOVERY_AREA 默認空間爲2G，這個沒有做好定時備份歸檔日誌，刪除歸檔日誌的方案，很容易出問題。這個出問題已經有好幾次了。當剛安裝好數據庫，大量的imp數據時，不斷產生歸檔日誌，兩小時就可以佔滿2G的空間，就妨礙導入數據。 　　2、Oracle 10g的默認redo日誌文件有三組，每組只有一個文件，每個文件的默認大小爲50M，有的爲100M，但還是比較小。大量數據導入數據庫時，日誌切換過快，則會導致檢查點不能完成。在alert_log日誌發現如下的錯誤。這就需要增加redo的大小。最好安裝前可以每個redo組有兩個成員文件，兩個成員文件位於不同的磁盤。可以把成員文件的大小設置比較大比如500M，這樣日誌切換就比較長點時間了。 　　Thread 1 cannot allocate new log, sequence 77 　　Checkpoint not complete 　　Current log# 1 seq# 76 mem# 0: F:ORACLEPRODUCT10.2.0 　　ORADATAXBOMSREDO01.LOG 　　Thread 1 advanced to log sequence 77 　　Current log# 3 seq# 77 mem# 0: F:ORACLEPRODUCT10.2.0 　　ORADATAXBOMSREDO03.LOG 　　查看redo的文件位置： 　　SQL>select * from v$logfile; 　　增加redo組：blog 　　SQL> alter database add logfile 'F:ORACLEPRODUCT10.2.0 　　ORADATAXBOMSREDO04.LOG' size 300M; 　　SQL> alter database add logfile 'F:ORACLEPRODUCT10.2.0 　　ORADATAXBOMSREDO05.LOG' size 300M; 　　SQL> alter database add logfile 'F:ORACLEPRODUCT10.2.0 　　ORADATAXBOMSREDO06.LOG' size 300M; 　　查看日誌組如果不是當前的、活動的，則可以刪除： 　　SQL> select * from v$log; 　　SQL> alter system switch logfile; 　　SQL> alter database drop logfile group 1; 怎麼保護監聽器？ 既然監聽器有這麼多可供黑客利用的地方，那有沒有什麼方法來保護它，辦法是有的，而且還很多，總結起來，大概有下面11種方法來保護Oracle監聽器： 1、 設備監聽器密碼 通過設置監聽器密碼可以阻止大部分的菜鳥黑客的進攻，設置密碼有兩種方法，一種是通過lsnrctl命令來設置，另一種是直接修改listener.ora文件，第一種方法設置的密碼是經過加密後存儲在listener.ora中，而第二種方法是以明文的形式放在listener.ora中的，所以推薦使用第一種方式。具體命令如下： LSNRCTL> set current_listener <監聽器名> LSNRCTL> change_password old password: <如果之前沒有設置密碼就直接按回車> New password: <輸入新密碼> Reenter new password: <再次輸入新密碼> LSNRCTL> set password Password: <輸入剛剛設置的新密碼> LSNRCTL> save_config 設置好密碼後，打開listener.ora，看是否有一條PASSWORDS_<監聽器名>的記錄，類似於PASSWORDS_LISTENER = F4BAA4A006C26134.爲監聽器設置了密碼後，必須到客戶端重新配置連接。 2、 開啓監聽器日誌 開啓監聽器日誌功能是爲了捕獲監聽器命令和防止密碼被暴力破解。開啓監聽器日誌功能的命令爲： LSNRCTL> set current_listener <監聽器名> LSNRCTL> set password Password: <輸入監聽器密碼> LSNRCTL> set log_directory /network/admin LSNRCTL> set log_file .log LSNRCTL> set log_status on LSNRCTL> save_config 通過運行上面的命令，監聽器將會在/network/admin目錄下創建一個.log日誌文件，以後可以打開該文件查看一些常見的ORA-錯誤信息。 3、 在listener.ora中設置ADMIN_RESTRICTIONS 在listener.ora文件中設置了ADMIN_RESTRICTIONS參數後，當監聽器在運行時，不允許執行任何管理任何，屆時，set命令將不可用，不論是在服務器本地還是從遠程執行都不行，這時如果要修改監聽器設置就只有手工修改listener.ora文件了，通過手工修改listener.ora，要使修改生效，只能使用lsnrctl reload命令或lsnrctl stop/start命令重新載入一次監聽器配置信息。在listener.ora文件中手動加入下面這樣一行： ADMIN_RESTRICTIONS_<監聽器名> = ON 4、 打上最新的監聽器補丁 這一點就與操作系統類似，數據庫也有bug，也有漏洞，黑客會在漏洞發現第一時間掃描未打補丁的服務器，所以作爲一個稱職的DBA要隨時關注Oracle的CPU（呵呵，不是處理器，是關鍵補丁升級的意思），這裏要說明的是Oracle的補丁是自動累加的，就像windows xp sp2的內容包括了sp1的所有內容一樣，所以只需要按照最新的補丁集就可以了，還有一點要注意的是在生產系統上應用任何補丁前都需要先在測試環境進行測試，保證升級後不影響正常業務才進行升級。最後要說明的是，只有購買了Oracle的正式許可纔可以登陸下載補丁，否則就只有從第三方地址下載，其完整性就不能保證了。 5、 利用防火牆阻止SQL*NET 除非的確需要，否則不應該讓SQL*NET通訊通過防火牆，在設計防火牆規則時，應設計爲只允許經過認證的Web服務器和應用程序通過防火牆進行SQL*NET通信。而且放在防火牆DMZ區域的應用服務器使用SQL*NET通信時，應只允許它與特定的數據庫服務器進行通信。 通常很少有應用會從Internet直接訪問數據庫，因爲這種方式的延遲非常明顯，通用的做法是配置應用服務器與數據庫通信，Internet客戶端通過瀏覽器訪問應用服務器即可，這時配置防火牆時也只需設置應用服務器和數據庫服務器之間的通信規則即可。 6、 保護$TNS_ADMIN目錄 $TNS_ADMIN目錄即我們通常看到的ORACLE_HOME/network/admin目錄，它下面包含有listener.ora，tnsnames.ora，sqlnet.ora，protocol.ora等重要配置文件，前面已經提到，監聽器的密碼就是保存在listener.ora中的，如果不保護好，可能造成密碼泄露，或整個文件被修改，這個目錄下的listener.ora，sqlnet.ora，protocol.ora文件應該只開放給Oracle主賬戶（通常是oracle或Administrator），而其他賬戶不能有任何權限，tnsnames.ora文件在Linux或Unix系統上權限可以設置爲0644，在windows上可以設置其他用戶爲瀏覽，讀取權限。 7、 保護TNSLSNR和LSNRCTL 在Linux或Unix服務器上，應該將這兩個文件的權限設爲0751，如果想更嚴格一點，可以設爲0700，這樣就只有安裝oracle時指定的宿主用戶可以執行它們了，這兩個文件位於ORACLE_HOME/bin目錄下。保護這兩個文件的目的是爲了防止黑客直接破壞它們，如果tnslsnr被破壞，監聽器肯定不能啓動，如果lsnrctl被破壞，可能植入惡意代碼，在運行lsnrctl時就會執行其它黑客行爲。 8、 移除不用的服務 默認安裝時，會安裝一個PL/SQL外部程序（ExtProc）條目在listener.ora中，它的名字通常是ExtProc或PLSExtProc，但一般不會使用它，可以直接從listener.ora中將這項移除，因爲對ExtProc已經有多種攻擊手段了。有時可能會在多個實例之間拷貝listener.ora，請檢查拷貝來的文件中是否含有不需要的服務，確保只留下的確需要的服務項目，減少監聽器受攻擊的面。 9、 改變默認的TNS端口號 改變監聽器監聽的端口號與修改ftp服務器默認的21端口，web服務器的80端口類似，因爲Oracle默認的監聽端口是1521（Oracle還正式註冊了兩個新的端口號2483和2484，說不定哪個新版本發佈後，可能默認的端口號就會是這兩個了，其中2484用於SSL類型的連接），幾乎所有的掃描器都可以直接掃描這個端口是否打開，如果設置爲一個不常用的端口號，可能會給人一種假象，而且即使掃描到端口打開，也還要猜測該端口運行是究竟是什麼服務，攻擊難度就加大了。在修改端口的時候也不要設在1521-1550和1600-1699範圍內，雖然通過修改默認端口並不算什麼高級防護技術，但至少可以防止自動攻擊，以及在端口1521上的簡單掃描。 可直接編輯listener.ora中端口號，也可以通過netca程序進行修改，當然在客戶端也要做對應的修改纔行。同時要設置初始化參數LOCAL_LISTENER，這樣在監聽端口發生變化後，數據庫纔會自動進行監聽器重新註冊。 10、 設置節點驗證 根據應用程序和網絡配置情況，採用節點驗證對於保護監聽器是一種強有力的方法，大部分Web應用程序都只需要從應用服務器訪問監聽器，以及一臺管理客戶端，對於Oracle 8/8i，在$ORACLE_HOME/network/admin/protocol.ora文件中添加節點檢查語句，對於Oracle 9i/10g，在$ORACLE_HOME/network/admin/sqlnet.ora文件中添加節點檢查語句，語句的格式都一樣，如： tcp.validnode_checking = yes tcp.invited_nodes = ( x.x.x.x | name, x.x.x.x | name) tcp.excluded_nodes=( x.x.x.x | name, x.x.x.x | name) 注意：這裏要麼使用invited_nodes語句，要麼使用excluded_nodes，不能同時都使用，也不能使用通配符，子網等，只能使用明確的ip地址或主機名。這裏的x.x.x.x指的就是如192.168.1.100這樣的ip地址，name就是主機名，如果有多個ip地址或主機名，使用逗號進行分隔。 設置了節點驗證後，監聽器需要重新啓動纔會生效。使用這種方法進行節點驗證會消耗一定的系統資源和網絡帶寬，如果要驗證的地址過多，靠手工添加也很麻煩，這時可以使用Oracle Connection Manager，如果是有許多客戶端通過SQL*NET訪問數據庫，使用這種節點驗證的方法也不可行，那會相當的慢。 11、 監視日誌 在前面的方法中開啓了監聽器日誌功能，在產生了日誌信息後，要對其進行分析，常見的可在日誌文件中查找是否有TNS-01169，TNS-01189，TNS-01190或TNS-12508錯誤，如果有這些錯誤，至少可以說明要麼有人攻擊，要麼有異常活動，進一步可以使用shell基本或一些簡單的管理工具將這些有用的日誌信息定期發送給DBA，實現實時監控效果。 下面是對前面提到的幾個常見錯誤的描述： 小結 通過上面這11種方法對Oracle監聽器進行保護後，想要通過監聽器進行破壞活動基本上就很困難了，不能保證100%攔截攻擊，也至少有99%的效果，另外那1%可能就是DBA本身犯的一些低級錯誤了，如不小心將監聽器密碼泄露給他人，或將配置信息暴露在Internet上。