Menu de navegação

[DougParticipante]

Informações do Ambiente:
* Versão do Oracle: 9i
* Sistema Operacional: Windows Server 2003 Standard

Pessoal, recebi o email de um cliente com as seguinte tarefa:

Configuração fraca – Listener TNS do Oracle (alto)

A Inspect it descobriu sistemas Oracle com configurações fracas de listener TNS, permitindo aos usuários não-autenticados encerrarem o listener e obterem informações significativas. O encerramento do listener tornaria o banco de dados indisponível para todos os usuários e necessitaria de um operador para reiniciar o listener a fim de reobter a funcionalidade.

A fim de impedir o listener de ser fechado remotamente e de deixar escapar informações significativas, ele pode ser protegido por uma senha

Recomendação:

A Inspect it recomenda à Skanska usar uma senha forte para os listeners TNS no host 10.16.51.5.

Alguém me ajuda como posso colocar senha no listener ???

abs

[Regis AraujoParticipante]

Fala Doug, boa tarde!

Bom, quando precisei fazer teste de colocar senha no Listener.. encontrei um post na net.. abaixo o post que guardei…

---

Configurando uma senha para o LISTENER

A configuração de uma senha para o LISTENER funciona da mesma forma para todas as versões de banco, mas o processo de aplicação de senha varia, conforme abaixo:

     - Oracle 9iR2 e anteriores - todos os usuários precisam da senha;

     - Oracle 10g - os usuários do sistema operacional, que são owners do software do banco, não precisam de senha. Todos os outros precisam.

A senha para o LISTENER pode ser definida da seguinte forma:

LSNRCTL> change_password

Old password:

New password:

Reenter new password:

Connecting to (DESCRIPTION=(ADDRESS=(PROTOCOL=TCP)(HOST=host)(PORT=1521)(IP=ip)))

Password changed for LISTENER

Obs.:

     1 - Os caracteres informados para atender às solicitações de senha_antiga e senha_nova não são mostradas na tela enquanto são digitados.

     2 - Se a senha está sendo configurada pela primeira vez, pode ser pressionada a tecla ENTER quando solicitado Old password.

Após efetuar as alterações, estas informações devem ser salvas no arquivo de parâmetros do LISTENER, conforme abaixo:

LSNRCTL> save_config

Este comando criptografa a senha e adiciona uma linha no arquivo de parâmetros com esta informação.

Após estes passos, o arquivo de parâmetros do LISTENER (LISTENER.ORA) conterá algumas linhas adicionais, parecidas com:

#—-ADDED BY TNSLSNR 01-JUL-2007 15:25:14—

PASSWORDS_LISTENER = 75CD180DE6C75466

#——————————————–

A partir deste momento, será solicitada a senha para a execução dos comandos do LISTENER (com exceção dos owners do 10g).

Exemplo:

LSNRCTL> services

Connecting to (ADDRESS=(PROTOCOL=tcp)(HOST=)(PORT=1521))

TNS-01169: The listener has not recognized the password

Para informar a senha correta, e poder usar os comandos normalmente, deve ser usada a seguinte sintaxe:

LSNRCTL> set password

The command completed successfully

Se for informada uma senha errada, será retornada a seguinte mensagem:

TNS-01169: The listener has not recognized the password.

Para confirmar que a senha está em efeito, pode ser usado o comando STATUS.

Na versão 9i, ficaria assim:

LSNRCTL> status

STATUS of the LISTENER

---

Alias LISTENER

Version TNSLSNR for Solaris: Version 9.2.0.6.0 – Production

Start Date 16-JUL-2007 15:26:47

Uptime 1 days 03 hr. 8 min. 36 sec

Trace Level off

Security ON

A última linha (Security ON) indica que a senha está habilitada.

Na versão 10g, estas informações são exibidas de forma um pouco diferente, pelo fato de que os owners do software não necessitarem de senha (todos os outros precisam), conforme abaixo:

STATUS of the LISTENER

---

Alias LISTENER_ODSPDB02

Version TNSLSNR for HPUX: Version 10.2.0.3.0 – Production

Start Date 16-JUL-2007 15:58:35

Uptime 2 days 03 hr. 44 min. 41 sec

Trace Level off

Security ON: Local OS Authentication

A última linha (Security ON: Local OS Authentication) informa que a senha ainda não está sendo utilizada.

Quando a senha é utilizada, seguindo os passos anteriormente mencionados, a última linha passa a ter a seguinte informação:

Security ON: Password or Local OS Authentication

Com isso, na versão 9i, caso haja algum script que use comandos do LISTENER, estes precisarão ser ajustados para fornecer a senha.

No 10g não será necessária nenhuma alteração em scripts executados pelos owners do software do banco.

Essa medida simples, de forçar o uso de senha para o LISTENER, pode prevenir o acesso indevido aos seus parâmetros bem como o uso dos seus comandos por invasores ou usuários indesejados.

---

Colocar senha no Listener é sussegado…

Abraços..!!

[DougParticipante]

Boa noite Thunder.

Executei os passos e aparentemente foi td ok, apenas qdo digito services ele me retorna uma msn, dizendo que o listener nao reconheceu a senha.

O meu listener.ora ficou assim :

PASSWORDS_LISTENER = 20A22647832FB454 # “foobar”

[DougParticipante]

Só + uma perguntinha….Meu listener agora esta com senha, o que isso interfere na hora de um usuario, via aplicação se conecta na minha base de dados ?

abs

[DougParticipante]

[quote=”Doug”:1gkxn03q]Boa noite Thunder.

Executei os passos e aparentemente foi td ok, apenas qdo digito services ele me retorna uma msn, dizendo que o listener nao reconheceu a senha.

O meu listener.ora ficou assim :

PASSWORDS_LISTENER = 20A22647832FB454 # “foobar”[/quote]

PASSWORDS_LISTENER = 20A22647832FB454 # “foobar”

SAVE_CONFIG_ON_STOP_

Tells the listener to save configuration changes to listener.ora when

it shuts down. Changed parameter values will be written to the file,

while preserving formatting and comments.

Default: OFF

Values: ON/OFF

#

SAVE_CONFIG_ON_STOP_LISTENER = ON

USE_PLUG_AND_PLAY_

Tells the listener to contact an Onames server and register itself

and its services with Onames.

Values: ON/OFF

Default: OFF

#

USE_PLUG_AND_PLAY_LISTENER = ON

LOG_FILE_

Sets the name of the listener’s log file. The .log extension

is added automatically.

Default=

#

LOG_FILE_LISTENER = lsnr

LOG_DIRECTORY_

Sets the directory for the listener’s log file.

Default: /network/log

#

LOG_DIRECTORY_LISTENER = /private/app/oracle/product/8.0.3/network/log

TRACE_LEVEL_

Specifies desired tracing level.

Default: OFF

Values: OFF/USER/ADMIN/SUPPORT/0-16

#

TRACE_LEVEL_LISTENER = SUPPORT

TRACE_FILE_

Sets the name of the listener’s trace file. The .trc extension

is added automatically.

Default:

#

TRACE_FILE_LISTENER = lsnr

TRACE_DIRECTORY_

Sets the directory for the listener’s trace file.

Default: /network/trace

#

TRACE_DIRECTORY_LISTENER=/private/app/oracle/product/8.0.3/network/trace

CONNECT_TIMEOUT_

Sets the number of seconds that the listener waits to get a

valid database query after it has been started.

Default: 10

#

CONNECT_TIMEOUT_LISTENER=10

[DougParticipante]

Po Thunder, da uma força ae…

abs-

[FAWLERParticipante]

Pessoal, bom dia!

Aguém sabe como colocar senha no listener para Oracle versão: 8.1.7.4.0 ?
Abraço!
Fawler

[Autor]

Posts