解决方案 »

  1.   

    可以配置iptables,但是注意要开放所有数据库用到的IP,特别是RAC内部通讯的IP地址
    如果漏了,可能会导致宕机。没有你们同事说的那么可怕。不过比起在服务器中开启防火墙,一般更多会选择在交换机上来配置
      

  2.   


    上面有人做检查,直接连局域网扫描,交换机上配置不起作用。
    看来只能先把iptables 启用起来,再添加限制的IP。
      

  3.   

    iptables 
    我们也直接关掉了
      

  4.   

    两台数据库,其它一台 iptables启不启来,结果重启之后电脑没了反应,去机房发现主机一直在循环重启(集群环境,135ip自动漂移至另一台主机)。现两主机已添加iptables,经过手测试可以拦截其它IP,暂未发现宕机。
    客户推荐我们使用微软的数据库,全市所有单位有许可证的。漏洞检测通过之后再来结贴。
      

  5.   

    重启是因为集群内部通信出现问题,即集群内部网络由于防火墙而被中断,把相关IP解禁即可
    注意监控日志可以考虑使用sqlserver,优缺点需要自己衡量。使用未授权的数据库服务会有法律风险...
      

  6.   


    漏洞扫描已通过,感谢大家。贴一下iptables文件,供大家学习参考。
    [root@orac1 ~]# more /etc/sysconfig/iptables
    # Generated by iptables-save v1.4.7 on Tue Aug  5 16:43:52 2014
    *filter
    :INPUT ACCEPT [228:251363]
    :FORWARD ACCEPT [0:0]
    :OUTPUT ACCEPT [499:585491]
    -A INPUT -s 172.17.0.136/32 -p tcp -m tcp --dport 1521 -j ACCEPT 
    -A INPUT -s 127.0.0.1/32 -p tcp -m tcp --dport 1521 -j ACCEPT 
    -A INPUT -s 172.17.0.131/32 -p tcp -m tcp --dport 1521 -j ACCEPT 
    -A INPUT -s 172.17.0.132/32 -p tcp -m tcp --dport 1521 -j ACCEPT 
    -A INPUT -s 172.17.0.133/32 -p tcp -m tcp --dport 1521 -j ACCEPT 
    -A INPUT -s 172.17.0.134/32 -p tcp -m tcp --dport 1521 -j ACCEPT 
    -A INPUT -s 172.17.0.135/32 -p tcp -m tcp --dport 1521 -j ACCEPT 
    -A INPUT -s 172.17.0.136/32 -p tcp -m tcp --dport 1521 -j ACCEPT 
    -A INPUT -s 172.17.0.137/32 -p tcp -m tcp --dport 1521 -j ACCEPT 
    -A INPUT -s 172.17.0.138/32 -p tcp -m tcp --dport 1521 -j ACCEPT 
    -A INPUT -s 172.17.3.191/32 -p tcp -m tcp --dport 1521 -j ACCEPT 
    -A INPUT -s 172.17.5.165/32 -p tcp -m tcp --dport 1521 -j ACCEPT 
    -A INPUT -s 172.17.3.73/32 -p tcp -m tcp --dport 1521 -j ACCEPT 
    -A INPUT -s 172.17.5.197/32 -p tcp -m tcp --dport 1521 -j ACCEPT
    -A INPUT -p tcp -m tcp --dport 1521 -j DROP 
    COMMIT
    # Completed on Tue Aug  5 16:43:52 2014