1. 限制监听器访问权限
通过防火墙规则严格控制对监听器端口(默认1521)的访问,仅允许可信IP或网络段连接。例如使用iptables添加规则:iptables -A INPUT -p tcp --dport 1521 -s <允许的IP地址> -j ACCEPT; iptables -A INPUT -p tcp --dport 1521 -j DROP;或使用ufw工具:sudo ufw allow from <允许的IP地址> to any port 1521。同时,在listener.ora文件中配置SECURITY_LISTENER参数,限制客户端来源,如SECURITY_LISTENER = (ALLOWED_CLIENTS = (192.168.1.0/24))。
2. 强化密码安全策略
为监听器配置强密码(包含大小写字母、数字和特殊字符,长度不少于8位),并定期更换(建议每90天更换一次)。在listener.ora文件中设置密码,例如:SECURITY_LISTENER = (ENCRYPTION_PASSWORDS = (YourStrongPassword123))。避免使用默认密码或弱密码,防止暴力破解。
3. 启用SSL/TLS加密通信
配置监听器使用SSL/TLS加密客户端与服务器之间的通信,保护数据传输安全。首先生成SSL证书和密钥:openssl req -newkey rsa:2048 -nodes -keyout key.pem -x509 -days 365 -out cert.pem。然后在listener.ora中添加SSL配置:LISTENER = (DESCRIPTION_LIST = (DESCRIPTION = (ADDRESS = (PROTOCOL = TCPS)(HOST = your_host)(PORT = 1522))) ); SID_LIST_LISTENER = (SID_LIST = (SID_DESC = (SID_NAME = your_sid) (ORACLE_HOME = /path/to/oracle/home))); SSL_CLIENT_AUTHENTICATION = FALSE; SSL_VERSION = 1.2; SSL_CIPHER_SUITES = (TLS_AES_256_GCM_SHA384, TLS_AES_128_GCM_SHA256)。同时配置tnsnames.ora使用TCPS协议:YOUR_SERVICE = (DESCRIPTION = (ADDRESS = (PROTOCOL = TCPS)(HOST = your_host)(PORT = 1522)) (CONNECT_DATA = (SERVICE_NAME = your_service_name)))。
4. 最小化进程运行权限
确保Oracle监听器进程以最小权限用户(如oracle)运行,避免使用root用户。检查ORACLE_HOME和PATH环境变量是否正确设置(echo $ORACLE_HOME应指向Oracle安装目录,echo $PATH应包含$ORACLE_HOME/bin)。若需提升权限,可通过sudoers文件配置:oracle ALL=(root) NOPASSWD: /usr/bin/lsnrctl,允许oracle用户无需密码即可执行lsnrctl命令。
5. 定期审计与监控
启用监听器详细日志记录,监控异常活动。在listener.ora中设置日志级别和跟踪文件:LOG_LEVEL_LISTENER = 16; TRACE_FILE_LISTENER = /u01/app/oracle/diag/tnslsnr/<主机名>/listener/trace/listener_trace.log。定期检查listener.log文件(位于$ORACLE_HOME/network/log目录),关注异常连接尝试、未授权访问等行为。使用监控工具(如Zabbix、Prometheus)跟踪监听器状态(如CPU使用率、内存占用、连接数)。
6. 及时更新补丁与版本
定期更新Oracle数据库和监听器软件至最新版本,修复已知安全漏洞。使用包管理器(如apt)更新系统软件包:sudo apt update && sudo apt upgrade oracle-database-listener。关注Oracle官方安全公告(如My Oracle Support),及时应用安全补丁,确保系统处于最新安全状态。
7. 配置文件权限与所有权
设置listener.ora、tnsnames.ora等配置文件的严格权限,仅授权用户可访问。例如:chmod 600 $ORACLE_HOME/network/admin/listener.ora; chown oracle:oinstall $ORACLE_HOME/network/admin/listener.ora。确保配置文件存储在安全目录(如$ORACLE_HOME/network/admin),避免敏感信息泄露。
