oracle 每个用户 ip访问限制开发总结-sdccf-ChinaUnix博客

Fosdccf.blog.chinaunix.net

首页　| 　博文目录　| 　关于我

sdccf

博客访问： 101874644
博文数量： 19283
博客积分： 9968
博客等级：上将
技术积分： 196062
用户组：普通用户
注册时间： 2007-02-07 14:28

文章分类

全部博文（19283）

香文化（0）
CU技术专题（2443）

Linux酷软（214）

tmp（0）

PostgreSQL（93）

Solaris（383）

AIX（173）

SCOUNIX（575）

DB2（1005）
涂鸦（9）
编程开发（1573）

Shell（386）

C/C++（1187）
数据库（6458）

MySQL（1750）

Sybase（465）

Oracle（3695）

Informix（548）
操作系统（8627）

HP-UX（0）

IBM AIX（2）

Sun Solaris（0）

BSD（1）

Linux（8597）

SCO UNIX（23）
未分配的博文（173）

文章存档

2011年（1）

2009年（125）

2008年（19094）

2007年（63）

我的朋友

相关博文

oracle 每个用户 ip访问限制开发总结

分类： Oracle

2008-05-21 13:11:55

来源：

单纯的设定允许的IP 和禁止的IP
以前有文档说增加或修改protocol.ora文件，
在9i中真正起作用的是sqlnet.ora文件，我们修改sqlnet.ora其实是最好最快的。

在sqlnet.ora中增加如下部分
-----------------------------
#### 来自 protocol.ora 的 ####

tcp.validnode_checking=yes

#允许访问的IP
tcp.invited_nodes=(ip1,ip2……)

#禁止访问的IP
tcp.excluded_nodes=(ip1,ip2……)

之后重新启动监听器

注意的地方：
1、tcp.invited_nodes与tcp.excluded_nodes都存在，以tcp.invited_nodes为主
2、一定要许可或不要禁止服务器本机的IP地址，否则通过lsnrctl将不能启动或停止监听，因为该过程监听程序会通过本机的IP访问监听器，而该IP被禁止了，但是通过服务启动或关闭则不影响。
3、修改之后，一定要重起监听才能生效，而不需要重新启动数据库
4、任何平台都可以，但是只适用于TCP/IP协议
但是,需求:针对每一个用户,都能指定相应的允许的IP地址.
设计思路
:建立表(用户名,ip地址),触发器 (AFTER LOGON ON DATABASE)
缺点:
不过AFTER LOGON ON DATABASE触发器对有DBA权限的用户不起作用,还好客户说,数据库中拥有DBA权限的用户就几个,并且密码就一个人知道.
如果对DBA用户也要限制IP地址,触发器这种方法就无能威力了.
运行抓图
Table,Trigger,Package源码:
表
SQL> select * from iplimit;
LOGONUSER IPBEGIN                 IPEND                    REASON     ADDTIME
----------               ---------------           ---------------              ----------       ----------
PUBLIC             202.94.155.37     202.94.155.101   实验室         17-7月 -06
HYCW               202.94.155.67      202.94.155.67     sd                 17-7月 -06
KFKF                 222.158.124.129 222.158.124.129 开发            17-7月 -06
触发器
CREATE OR REPLACE TRIGGER "LOGON_AUDIT" AFTER
LOGON ON DATABASE
DECLARE
RECORD_NUM NUMBER;
USERIP VARCHAR2(15);
ISFORBIDDEN BOOLEAN:=TRUE;
BEGIN
USERIP:=SYS_CONTEXT ('USERENV','IP_ADDRESS');
SELECT COUNT(*) INTO RECORD_NUM FROM ACME.IPLIMIT WHERE LOGONUSER=USER;
IF(RECORD_NUM>0)THEN
    IF(ACME.SECURITY.ISLEGALIP(USERIP,USER)=FALSE)THEN
      RAISE_APPLICATION_ERROR(-20003,'IP :'||USERIP||' is forbided');
    END IF;

ELSE
    SELECT COUNT(*) INTO RECORD_NUM FROM ACME.IPLIMIT WHERE LOGONUSER='PUBLIC';
    IF(RECORD_NUM>0)THEN
      IF(ACME.SECURITY.ISLEGALIP(USERIP,'PUBLIC')=FALSE)THEN
        RAISE_APPLICATION_ERROR(-20003,'IP :'||USERIP||' is forbided');
      END IF;
    ELSE
      RAISE_APPLICATION_ERROR(-20003,'IP :'||USERIP||' is forbided');
    END IF;
END IF;
EXCEPTION
WHEN NO_DATA_FOUND THEN
RAISE;
WHEN VALUE_ERROR THEN
SYS.Dbms_Output.PUT_LINE('EXCEPTION HANDED');
WHEN OTHERS THEN
RAISE;
END LOGON_AUDIT;
/
程序包
CREATE OR REPLACE PACKAGE "SECURITY" IS
FUNCTION ISLEGALIP(USERIP IN VARCHAR2,USERNAME IN VARCHAR2) RETURN BOOLEAN;
FUNCTION Chartonumcompare(Char1 IN VARCHAR2,Char2 IN VARCHAR2) RETURN NUMBER ;
FUNCTION Ipcompare(Ip1 IN VARCHAR2,Ip2 IN VARCHAR2) RETURN NUMBER ;
END Security;
/
程序包体就不提供了
就是关于上面3个函数的

阅读(381) | 评论(0) | 转发(0) |

上一篇：oracle日志错误无法打开的解决方法

下一篇：linux下如何用exp导出oracle10g的数据

给主人留下些什么吧！~~

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6