Базы данных Oracle - статьи



Oracleinfsec.shtml - часть 17


/myhost/oracle/OraHome1/network/log/listener.log
используйте команду:
set_log /myhost/oracle/OraHome1/network/log/listener.log
если ответом будет ошибка 12508, это означает, что опция ADMIN_RESTRICTIONS включена.

  • если SECURITY имеет значение ON и вы знаете пароль, то можно проверить установку ADMIN_RESTRICTIONS, задав правильный пароль и попытавшись выполнить команду реконфигурирования листенер. Если опция ADMIN_RESTRICTIONS включена, то ответом будет ошибка 1169, даже при правильном пароле.
  • Результаты всех этих шагов перечислены в таблицах B.1 и B.2.

    Ответ Значение
    Никаких данных не возвращается, ошибка 1153 Листенер, возможно, защищен межсетевым экраном.
    Никаких данных не возвращается, ошибка 12537 Включена опция tcp.validnode_checking.
    SECURITY=ON Установлен пароль, если вы знаете правильный пароль, также проверьте установку ADMIN_RESTRICTIONS.
    Проверьте, что установленный пароль удовлетворяет критериям сложности, позволяющим снизить риск “лобовых” атак и атак словаря данных.
    SECURITY=OFF Пароль не установлен, проверьте установку ADMIN_RESTRICTIONS.

    Табл. B.1. Ответы листенера на запросы статуса.

    В следующей таблице показаны результаты попыток изменения конфигурации, например, командой:

    set log_file c:/Oracle/OraHome1/network/log
    Ответ покажет, установлены ли ADMIN_RESTRICTIONS или пароль.

    Ответ Значение
    Конфигурация изменена
    (пароль не задавался)
    Пароль не установлен.
    Опция ADMIN_RESTRICTIONS не включена.
    Это серьезный просчет, который может быть использован для соединения с листенером и организации атак “отказ в обслуживании”.
    Конфигурация изменена
    (был задан правильный пароль)
    Пароль установлен.
    Опция ADMIN_RESTRICTIONS не включена.
    Проверьте, что установленный пароль удовлетворяет критериям сложности, позволяющим снизить риск “лобовых” атак и атак словаря данных.
    Отвергнуто с кодом ошибки 12508
    (пароль не задавался)
    Пароль не установлен.
    Опция ADMIN_RESTRICTIONS включена.
    Отвергнуто с кодом ошибки 1169
    (был задан правильный пароль)
    Пароль установлен.
    Опция ADMIN_RESTRICTIONS включена. Листенер защищен, однако такое состояние может оказаться нежелательным с точки зрения эксплуатации, так как оно никому не позволяет реконфигурировать листенер. Можно только вручную уничтожить процесс листенера, используя для этого команды операционной системы сервера. Необходимость такой конфигурации следует проанализировать.
    <


    Содержание  Назад  Вперед