当前位置: 王朝网络 >> other >> Oracle 11gR1中细粒度访问网络服务(4)

Oracle 11gR1中细粒度访问网络服务(4)

王朝other·作者佚名 2008-05-21

测试访问控制列表

用户TEST1和TEST2分别拥有了允许的和拒绝的访问控制列表，这就意味着我们可以开始通过对比对访问外部网络服务时它们的响应来测试访问控制列表的功能，下面的代码授予了这两个用户都可以执行UTL_HTTP包的权限，然后尝试从每个用户访问一个web页面。

CONN sys/password@db11g AS SYSDBA

GRANT EXECUTE ON UTL_HTTP TO test1, test2;

CONN test1/test1@db11g

DECLARE

l_url VARCHAR2(50) := 'http://192.168.2.3:80';

l_http_request UTL_HTTP.req;

l_http_response UTL_HTTP.resp;

BEGIN

-- Make a HTTP request and get the response.

l_http_request := UTL_HTTP.begin_request(l_url);

l_http_response := UTL_HTTP.get_response(l_http_request);

UTL_HTTP.end_response(l_http_response);

END;

PL/SQL procedure successfully completed.

SQL>

CONN test2/test2@db11g

DECLARE

l_url VARCHAR2(50) := 'http://192.168.2.3:80';

l_http_request UTL_HTTP.req;

l_http_response UTL_HTTP.resp;

BEGIN

-- Make a HTTP request and get the response.

l_http_request := UTL_HTTP.begin_request(l_url);

l_http_response := UTL_HTTP.get_response(l_http_request);

UTL_HTTP.end_response(l_http_response);

END;

DECLARE

ERROR at line 1:

ORA-29273: HTTP request failed

ORA-06512: at "SYS.UTL_HTTP", line 1029

ORA-24247: network access denied by access control list (ACL)

ORA-06512: at line 7

SQL>

从返回的信息我们不难看出用户TEST1能够访问web页面，而用户TEST2被访问控制列表拒绝了，服务器的默认行为是拒绝访问外部网络服务，下面显示了一个新用户的测试情况。

CONN sys/password@db11g AS SYSDBA

CREATE USER test3 IDENTIFIED BY test3;

GRANT CONNECT TO test3;

GRANT EXECUTE ON UTL_HTTP TO test3;

CONN test3/test3@db11g

DECLARE

l_url VARCHAR2(50) := 'http://192.168.2.3:80';

l_http_request UTL_HTTP.req;

l_http_response UTL_HTTP.resp;

BEGIN

-- Make a HTTP request and get the response.

l_http_request := UTL_HTTP.begin_request(l_url);

l_http_response := UTL_HTTP.get_response(l_http_request);

UTL_HTTP.end_response(l_http_response);

END;

DECLARE

ERROR at line 1:

ORA-29273: HTTP request failed

ORA-06512: at "SYS.UTL_HTTP", line 1029

ORA-24247: network access denied by access control list (ACL)

ORA-06512: at line 7

SQL>

在从10g升级到11g时，访问外部网络服务时可能会产生一些混乱，在那种情况下，你需要实现合理的访问控制列表。

其他安全因素

Pete Finnigan在它的博客上和关于访问控制列表的安全陈述只没有附上具体的程序包，这就意味着通过UTL_TCP, UTL_SMTP, UTL_MAIL和UTL_HTTP加上connect权限就能在服务器上打开一个端口。牢记这一点并考虑以下事项：

◆细粒度访问网络服务的使用不能作为忽略基本的安全评估的借口，如收回与网络服务有关程序包的不必要的权限。

◆通过限制对特定端口的访问控制你的服务是可用的，如果你仅仅需要访问http 80端口，指定这个端口比在服务器上开放所有端口的访问要好得多。

◆授权时使用通配符比不使用通配符安全性更差，也更危险。

◆你必须保护你的访问控制列表，如果有人能够修改它们，因为保护机制问题它们变得毫无用处，阻止直接访问存储在XML DB 数据库中的访问控制列表，确保用户不能访问管理API。

点击展开全文

上一篇：ubuntu的grub修复

下一篇：ubuntu上ati显卡驱动安装

免责声明：本文为网络用户发布，其观点仅代表作者个人观点，与本站无关，本站仅提供信息存储服务。文中陈述内容未经本站证实，其真实性、完整性、及时性本站不作任何保证或承诺，请读者仅作参考，并请自行核实相关内容。

没有找到您想要的？点此查看更多相关文章
相关文章▶

2023年上半年GDP全球前十五强
百态 2023-10-24

美众议院议长启动对拜登的弹劾调查
百态 2023-09-13

上海、济南、武汉等多地出现不明坠落物
探索 2023-09-06

印度或要将国名改为“巴拉特”
百态 2023-09-06

男子为女友送行，买票不登机被捕
百态 2023-08-20

手机地震预警功能怎么开？
干货 2023-08-06

女子4年卖2套房花700多万做美容：不但没变美脸，面部还出现变形
百态 2023-08-04

住户一楼被水淹还冲来8头猪
百态 2023-07-31

女子体内爬出大量瓜子状活虫
百态 2023-07-25

地球连续35年收到神秘规律性信号，网友：不要回答！
探索 2023-07-21

全球镓价格本周大涨27%
探索 2023-07-09

钱都流向了那些不缺钱的人，苦都留给了能吃苦的人
探索 2023-07-02

倩女手游刀客魅者强控制（强混乱强眩晕强睡眠）和对应控制抗性的关系
百态 2020-08-20

美国5月9日最新疫情：美国确诊人数突破131万
百态 2020-05-09

荷兰政府宣布将集体辞职
干货 2020-04-30

倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观：鹏程万里
干货 2019-11-12

倩女幽魂手游师徒任务情义春秋猜成语答案神机营：射石饮羽
干货 2019-11-12

倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山：拔刀相助
干货 2019-11-12

倩女幽魂手游师徒任务情义春秋猜成语答案天工阁：鬼斧神工
干货 2019-11-12

倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道：单枪匹马
干货 2019-11-12

倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野：与虎谋皮
干货 2019-11-12

倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野：李代桃僵
干货 2019-11-12

倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野：指鹿为马
干货 2019-11-12

倩女幽魂手游师徒任务情义春秋猜成语答案金陵：小鸟依人
干货 2019-11-12

倩女幽魂手游师徒任务情义春秋猜成语答案金陵：千金买邻
干货 2019-11-12