Oracle: Restrição de Conexões via sqlnet.ora

Acho que não existe uma medida ou ferramenta de segurança absoluta. Medidas de segurança podem ser vencidas com conhecimento , tempo e recursos necessários, mas são camadas que podem evitar, ou no mínimo atrasar um incidente a respeito.

Uma medida simples e eficiente de segurança é restringir os servidores que possam acessar o banco de dados, se isto for possível.

No servidor, configure coloque as linhas abaixo no arquivo sqlnet.ora.

[oracle@nerv02 ~]$ cat $ORACLE_HOME/network/admin/sqlnet.ora
TCP.VALIDNODE_CHECKING = YES
TCP.INVITED_NODES = (192.168.0.103)

[oracle@nerv02 ~]$

Desta forma, a máquina nerv03 (IP 192.168.0.103) pode conectar-se via listener.

[oracle@nerv03 ~]$ sqlplus SYSTEM/Nerv2017@nerv02:1521/ORCL

SQL*Plus: Release 12.2.0.1.0 Production on Thu Apr 6 12:31:34 2017

Copyright (c) 1982, 2016, Oracle.  All rights reserved.

Last Successful login time: Thu Apr 06 2017 12:30:54 -04:00

Connected to:
Oracle Database 12c Enterprise Edition Release 12.2.0.1.0 - 64bit Production

12:31:35 SYSTEM@nerv02:1521/ORCL> exit
Disconnected from Oracle Database 12c Enterprise Edition Release 12.2.0.1.0 - 64bit Production
[oracle@nerv03 ~]$

E a máquina nerv04 (IP 192.168.0.104) não pode.

[oracle@nerv04 ~]$ sqlplus SYSTEM/Nerv2017@nerv02:1521/ORCL

SQL*Plus: Release 12.2.0.1.0 Production on Thu Apr 6 12:31:44 2017

Copyright (c) 1982, 2016, Oracle.  All rights reserved.

ERROR:
ORA-12547: TNS:lost contact


Enter user-name: ^C
[oracle@nerv04 ~]$

E no log do listener temos a informação da rejeição de conexão, como abaixo.

[oracle@nerv02 ~]$ tail -100 $ORACLE_BASE/diag/tnslsnr/nerv02/listener/trace/listener.log
...
06-APR-2017 12:31:35 * (CONNECT_DATA=(SERVICE_NAME=ORCL)(CID=(PROGRAM=sqlplus)(HOST=nerv03.localdomain)(USER=oracle))) * (ADDRESS=(PROTOCOL=tcp)(HOST=192.168.0.103)(PORT=48372)) * establish * ORCL * 0
2017-04-06T12:31:44.994359-04:00
Incoming connection from 192.168.0.104 rejected
06-APR-2017 12:31:44 * 12546
TNS-12546: TNS:permission denied
 TNS-12560: TNS:protocol adapter error
  TNS-00516: Permission denied
   Linux Error: 115: Operation now in progress
...
[oracle@nerv02 ~]$

Leave a Reply

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.