Установка ограничений на управление LISTENER
- если требуется удаленное администрирование LISTENER, необходимо установить пароль командой LSNRCTL> change_password , определив предварительно текущий LISTENER. После этого без задания пароля нельзя будет использовать никакие команды для остановки или реконфигурирования LISTENER, включая получение информации о его статусе. Последовательность команд:
LSNRCTL> change_password
Old password: <старый_пароль>
New password: <новый_пароль>
Reenter new password: <новый_пароль> // установлен пароль для доступа к административным действиям
LSNRCTL> set password // требуется ввод пароля для доступа к административным действиям
Password: <новый_пароль> // вводится <новый_пароль>
LSNRCTL> save config
В результате в файле listener.ora для указанного LISTENER появится запись PASSWORDS_<имя_LISTENER> = <ХЕШ_нового_пароля>. Как видно, если локальный доступ на чтение файлов сетевой конфигурации не ограничен, хешированное значение пароля может быть прочитано локальным пользователем.
- если требуется запретить любые попытки удаленного администрирования независимо от того, задан ли пароль, в файл listener.ora необходимо включить параметр ADMIN_RESTRICTIONS_<имя_LISTENER> = ON . Применение этого параметра не запрещает команды LSNRCTL> stop и LSNRCTL> reload для остановки и перезагрузки
LISTENER, что это не защищает от простых атак типа “отказ в обслуживании”.
Установка пароля или опции ADMIN_RESTRICTIONS взаимно исключают друг друга, при этом установка
ADMIN_RESTRICTIONS заменяет собой пароль. Установка пароля отключает конфигурационные команды, определенные
ADMIN_RESTRICTIONS. В таком случае необходимо вручную изменять файл
listener.ora, а затем для ввода этих изменений в действие нужно выполнять команду LSNRCTL> reload (с заданием пароля
LISTENER).