Oracle 漏洞修复方案

背景：

安全公司进行漏洞扫描，发现Oracle有安全漏洞，提供两种修复方案

方案：

1、下载安全漏洞补丁(因没有购买Oracle服务提供不了授权码不能下载,为何windows 操作系统盗版下载补丁)。

2、在iptables中添加可信认的IP，其它IP都不提供访问。

操作：

先确定Oracel数据库是只为本机提供服务还是为其它主机提供服务。若只为本机提供服务，则只允许本机IP访问1521端口，若还有其它主机，则添加相应的主机IP即可。

操作如下：

注意有先后顺序

1、 iptables -L  （查看防火墙配置情况）

2、 cp iptables  iptablesbackup.bat(备份保存的配置防火墙策略为iptablesbackup.bat文件)

3、 service iptables start  开启防火墙服务

4、 iptables  -A  INPUT -p tcp -s 127.0.0.1 --dport  1521 -j  ACCEPT   （添加允许本机访问1521端口）

5、 iptables  -A  INPUT -p tcp -s 本机IP --dport  1521 -j  ACCEPT   （添加允许本机访问1521端口）

6、 若还有其它主机需要访问Oracle数据库 则添加相应IP

7、 iptables -A INPUT -p tcp --dport 1521 -j DROP  (禁止所有主机到外网服务器的1521号端口)

8、 service iptables save（保存配置的防火墙策略）

9、 service iptables restart (重启防火墙服务)

10、 cd  /etc/sysconfig

cp iptables  iptables.bak(备份防火墙策略为iptables.bak文件)

查看/etc/sysconfig/iptables:

[root@orac1 ~]# more /etc/sysconfig/iptables
# Generated by iptables-save v1.4.7 on Tue Aug  5 16:43:52 2014
*filter
:INPUT ACCEPT [228:251363]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [499:585491]
-A INPUT -s 172.17.0.136/32 -p tcp -m tcp --dport 1521 -j ACCEPT 
-A INPUT -s 127.0.0.1/32 -p tcp -m tcp --dport 1521 -j ACCEPT 
-A INPUT -s 172.17.0.131/32 -p tcp -m tcp --dport 1521 -j ACCEPT 
-A INPUT -s 172.17.0.132/32 -p tcp -m tcp --dport 1521 -j ACCEPT 
-A INPUT -s 172.17.0.133/32 -p tcp -m tcp --dport 1521 -j ACCEPT 
-A INPUT -s 172.17.0.134/32 -p tcp -m tcp --dport 1521 -j ACCEPT 
-A INPUT -s 172.17.0.135/32 -p tcp -m tcp --dport 1521 -j ACCEPT 
-A INPUT -s 172.17.0.136/32 -p tcp -m tcp --dport 1521 -j ACCEPT 
-A INPUT -s 172.17.0.137/32 -p tcp -m tcp --dport 1521 -j ACCEPT 
-A INPUT -s 172.17.0.138/32 -p tcp -m tcp --dport 1521 -j ACCEPT 
-A INPUT -s 172.17.3.191/32 -p tcp -m tcp --dport 1521 -j ACCEPT 
-A INPUT -s 172.17.5.165/32 -p tcp -m tcp --dport 1521 -j ACCEPT 
-A INPUT -s 172.17.3.73/32 -p tcp -m tcp --dport 1521 -j ACCEPT 
-A INPUT -s 172.17.5.197/32 -p tcp -m tcp --dport 1521 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 1521 -j DROP 
COMMIT
# Completed on Tue Aug  5 16:43:52 2014

小白在csdn oracle 论坛提问：http://bbs.csdn.net/topics/390848991?page=1#post-397925624