在Linux中修改Oracle数据库默认端口1521,需编辑监听配置文件(listener.ora和tnsnames.ora),将PORT值改为新端口号,重启监听服务(lsnrctl reload),同时配置防火墙放行新端口(firewall-cmd或iptables),并确保SELinux策略兼容(semanage/setsebool)。
Linux系统中修改Oracle数据库1521端口完整指南
为什么要修改默认1521端口?
1521是Oracle数据库默认监听端口,长期使用默认端口存在安全风险:
- 易遭自动化工具扫描攻击
- 可能引发端口冲突
- 不符合企业安全合规要求
根据OWASP建议,修改默认服务端口是基础安全加固措施。
详细操作步骤
▶ 第一步:定位监听配置文件
su - oracle cd $ORACLE_HOME/network/admin ls -l listener.ora sqlnet.ora tnsnames.ora
▶ 第二步:修改监听配置文件
-
编辑listener.ora
vi listener.ora ```示例: ```properties LISTENER = (DESCRIPTION_LIST = (DESCRIPTION = (ADDRESS = (PROTOCOL = TCP)(HOST = your_hostname)(PORT = 1555)) # 修改此处端口 (ADDRESS = (PROTOCOL = IPC)(KEY = EXTPROC1521)) ) )
-
同步修改tnsnames.ora
ORCL = (DESCRIPTION = (ADDRESS = (PROTOCOL = TCP)(HOST = your_hostname)(PORT = 1555)) (CONNECT_DATA = (SERVER = DEDICATED) (SERVICE_NAME = orcl) ) )
▶ 第三步:重启监听服务
lsnrctl stop lsnrctl start
▶ 第四步:验证新端口
netstat -tulnp | grep 1555 tnsping orcl 1555
▶ 第五步:防火墙配置(重要)
# CentOS/RHEL firewall-cmd --permanent --add-port=1555/tcp firewall-cmd --reload # Ubuntu/Debian ufw allow 1555/tcp ufw reload
高级配置注意事项
-
SELinux策略调整(如启用)
semanage port -a -t oracle_port_t -p tcp 1555
-
客户端连接配置更新
所有应用程序连接字符串需同步修改:sqlplus user/password@host:1555/orcl
-
监控日志验证
tail -f $ORACLE_HOME/network/log/listener.log
常见问题解决方案
Q1:修改后监听服务无法启动
- 检查端口占用:
lsof -i :1555 - 验证配置文件语法:
lsnrctl validate
Q2:客户端连接超时
- 排查网络路由:
traceroute 目标IP - 测试基础连通性:
telnet 服务器IP 1555
Q3:RAC环境修改注意事项
- 所有节点需同步修改
- 使用SCAN监听时需要更新SCAN配置
安全增强建议
-
配合IP白名单使用:
# listener.ora 添加 TCP.VALIDNODE_CHECKING = yes TCP.INVITED_NODES = (192.168.1.0/24, 10.0.0.5)
-
定期审计端口使用情况:
netstat -an | grep LISTEN | grep 1555
参考资料:
[1] Oracle官方监听配置文档 https://docs.oracle.com/en/database/
[2] Linux审计指南 https://access.redhat.com/documentation
[3] OWASP端口安全标准 https://owasp.org/www-project-top-ten/
原创文章,发布者:酷盾叔,转转请注明出处:https://www.kd.cn/ask/4783.html
