生产环境的数据库都没有公网IP,而且在防火墙后面,所以一般很少考虑什么安全策略,但因为有台测试机和生产数据库在同一网段,内网之间互通,一次开发人员在做一个新功能的时候因为忘记修改配置文件导致连接了生产库并进行了update操作,虽然因为有其他约束条件导致该操作被rollback,但还是吓了俺一跳,记得eygle以前的一篇博客里提到过一个通过监听器限制ip访问的办法,但标题记不得清楚了,msn问了他一下,5秒钟返回结果,看来老盖对自己的文章还是记得很清楚的,恰逢他的新书《深入解析oracle》一书出版,顺祝他新书大麦了。具体办法参考以下链接:
我因为吃不准能否在不关闭数据库的情况下重启监听器,所以索性将库做了重启。
(20090104注:
可以在数据库open的情况下执行:
lsnrctl stop
lsnrctl start
使该设置生效,不过如果你是ha或cluster系统且对该台的监听器有监控,可能会导致触发某些条件
)
一定记得添加IP的时候写上本机的真实IP和127.0.0.1,以防本机都没法连那库就起不来了。
重启数据库后,在允许IP的服务器上执行tnsping '加限制主机的IP',最后一行返回的"ok (xx msec)"
在不允许IP的服务器上执行tnsping '加限制主机的IP',最后一行返回的"TNS-12537: TNS:connection closed"
这就说明限制成功了。
正如老盖所说“通过监听器的限制,通常属于轻量级,比在数据库内部通过触发器进行限制效率要高。
”,我在配置文件中加了十几个IP,对应用效率没有影响。
阅读(790) | 评论(0) | 转发(0) |
