Re: RES: [oracle_br] Senha no TNSLSNR ?

2016-03-29 Por tôpico jlchia...@yahoo.com.br [oracle_br] 
Ah, esqueci a ref da documentação demonstrando a descontinuidade da feature de 
password no 11gR2, é no manual 11gR2 Database Net Services Administrator's 
Guide o trecho :

"
Note:
In Oracle Database 11g Release 2 (11.2), the password feature is being 
deprecated. This does not cause a loss of security because authentication is 
enforced through local operating system authentication. Refer to Oracle 
Database Net Services Reference for more information.
"

 []s
 
   Chiappa

Re: RES: [oracle_br] Senha no TNSLSNR ?

2016-03-29 Por tôpico jlchia...@yahoo.com.br [oracle_br] 
Blz, Ednilson ? pmfji, mas acho que vc está usando de maneira ERRADA a tool : 
se vc olhar no manual "Net Services Reference" no capítulo que fala do LISTENER 
vc encontra o trecho :

"Distributed Operations

The Listener Control utility can perform operations on a local or a remote 
listener.

To set up a computer to remotely administer a listener, do the following:

Ensure that the Listener Control utility (lsnrctl) executable is installed 
in the ORACLE_HOME/bin directory.

Ensure that the name of the listener you want to administer can be resolved 
through a listener.ora file or a naming method, as described in "Listener 
Control Utility Overview".

All commands except START can be issued when a listener is administered 
remotely. The Listener Control utility can only start the listener on the same 
computer from where the utility is running."

==> OU SEJA, na hora de executar o stop ou seja o que vc , vc faz lsnrctl stop 
NOMEDOLISTENER (onde esse nome está corretamente registrado num TNSNAMES.ORA ou 
num LISTENER.ORA), e * não  o IP!!! Pra mim é aí a tua falha, simples 
assim : não me surpreende vc receber msg de unable to authenticate, unable to 
find ou coisas do tipo OKDOC ???

 Outro ponto importante : cfrme 
http://www.dba-oracle.com/t_listener_password_security_lsnrctl.htm nos lembra, 
a questão era que láá nas priscas eras do 9i realmente era possível por default 
que qualquer acesso remoto de um usuário que tivesse acesso aos binários dum 
RDBMS qualquer manipulasse listener de outro RDBMS remotamente, sem precisar 
informar nada - para evitar isso utilizávamos uma password avulsa, que ficava 
num arquivo No 10g essa password passou a ser encriptada e no 11gR2 essa 
feature de password passou a ser depreciada pois foi estabelecido segurança via 
autenticação de sistema operacional...
  Então, primeiro ENTENDA a questão do ponto de vista de segurança : não é 
QUALQUER UM que pode acessar teu listener, é um outro usuário Oracle dum outro 
servidor que tenha acesso físico ao teu servidor, como normalmente TODOS os 
servidores Oracle são de responsabilidade e acesso único apenas pelo time de 
DBAs, via de regra não vejo essa possibilidade como uma ameaça concreta e 
imediata : então seta lá a password se isso foi solicitado para os bancos 
inferiores a 11g mas entenda que com isso vc está implementando uma segurança 
extra mas não criticamente vital e necessária, eu acho : é algo interessante de 
se ter mas não vital...

 []s

   Chiappa

RES: [oracle_br] Senha no TNSLSNR ?

2016-03-29 Por tôpico 'Ednilson Silva' ednilson.si...@jbs.com.br [oracle_br] 
Realmente, no Servidor com 10g consigo parar o listener do 9i remotamente

 

Essa nota do metalink não encontrei


Credit

Metalink Forum:650944.999

 

 

Obrigado a todos

 

Ednilson Silva

 

De: oracle_br@yahoogrupos.com.br [mailto:oracle_br@yahoogrupos.com.br] 
Enviada em: terça-feira, 29 de março de 2016 11:15
Para: oracle_br@yahoogrupos.com.br
Assunto: Re: [oracle_br] Senha no TNSLSNR ?

 

  


Systems Affected

Oracle 7 / 8 / 8i / 9i

 

:)

 

 

 

 

Em ter, 29 de mar de 2016 às 11:09, 'Ednilson Silva' ednilson.si...@jbs.com.br 
[oracle_br]  escreveu:

  

Vitor,

Estou fazendo um teste num banco 10g, olha só

Vou tentar arrumar um banco 9i para fazer este teste

 

$ lsnrctl stop 10.255.4.50

 

LSNRCTL for Linux: Version 10.2.0.4.0 - Production on 29-MAR-2016 11:06:27

 

Copyright (c) 1991, 2007, Oracle.  All rights reserved.

 

Connecting to 
(DESCRIPTION=(CONNECT_DATA=(SERVICE_NAME=10.255.4.50))(ADDRESS=(PROTOCOL=TCP)(HOST=10.255.4.50)(PORT=1521)))

TNS-01189: The listener could not authenticate the user

 

Grato

Ednilson Silva

 

De: oracle_br@yahoogrupos.com.br [mailto:oracle_br@yahoogrupos.com.br] 
Enviada em: terça-feira, 29 de março de 2016 10:57
Para: oracle_br@yahoogrupos.com.br
Assunto: Re: [oracle_br] Senha no TNSLSNR ?

 

  

http://www.petefinnigan.com/ramblings/set_listener_password.htm

 

 

 

 

Setting an encrypted Oracle listener password

Anyway as I said this is not the best way to secure your listener. It should be 
done with an encrypted password as follows:

C:\oracle\ora90\network\admin>lsnrctl

LSNRCTL for 32-bit Windows: Version 9.2.0.1.0 - Production on 
24-FEB-2004 11:27:
55

Copyright (c) 1991, 2002, Oracle Corporation.  All rights reserved.

Welcome to LSNRCTL, type "help" for information.

LSNRCTL> set current_listener listener
Current Listener is listener
LSNRCTL> change_password
Old password:
New password:
Reenter new password:
Connecting to (DESCRIPTION=(ADDRESS=(PROTOCOL=IPC)(KEY=EXTPROC0)))
Password changed for listener
The command completed successfully
LSNRCTL> set password
Password:
The command completed successfully
LSNRCTL> save_config
Connecting to (DESCRIPTION=(ADDRESS=(PROTOCOL=IPC)(KEY=EXTPROC0)))
Saved LISTENER configuration parameters.
Listener Parameter File   C:\oracle\ora90\network\admin\listener.ora
Old Parameter File   C:\oracle\ora90\network\admin\listener.bak
The command completed successfully
LSNRCTL>  
  

You must save the configuration after setting the password otherwise it will be 
lost. Also you can check what was generated by looking in the listener.ora 
file. This is what was generated from the above commands:

#ADDED BY TNSLSNR 24-FEB-2004 11:29:18---
PASSWORDS_LISTENER = F0354118688257FB
#
 
 
 

 

Em ter, 29 de mar de 2016 às 10:52, angelo angelolis...@gmail.com [oracle_br] 
 escreveu:

  

Pô mas essa senha fica solta no arquivo e em txt ?

 

não tão segura porque o invasor pode resolver tentar invadir o servidor de uma 
vez...

 

 

Solution
Protect your TNS Listener with a password and ADMIN_RESTRICTIONS in the 
listener.ora

 

 

2016-03-29 10:45 GMT-03:00 Vitor Junior vitorj...@gmail.com [oracle_br] 
:

Sim, é possível, antigo e bem comum! :)

 

http://www.red-database-security.com/exploits/oracle-exploit-stop-tns_listener.html

 

 

 

 

Em ter, 29 de mar de 2016 às 10:40, 'Ednilson Silva' ednilson.si...@jbs.com.br 
[oracle_br]  escreveu:

  

Pessoal,

Recebi uma solicitação de nossa auditoria para implementar uma senha para o 
tnslsnr para que o serviço não seja parado remotamente.

Existe a possibilidade de parar o listener remotamente, sem ter acesso ao 
servidor? Como ?

 

Pesquisando vi que dá para colocar uma senha no serviço, mas nunca ouvi falar 
disso.

 

Grato

Ednilson Silva

-- 

Att,/Regards,



Vitor Jr.
Infraestrutura / Infrastructure Team

 

Oracle 12c DBA Certified Professional - OCP 12c

Oracle 11g DBA Certified Professional - OCP 11g
Oracle Certified Expert, Oracle Real Application Clusters 11g and Grid 
Infrastructure Administrator - OCE

Oracle Database 11g Performance Tuning Certified Expert - OCE
Oracle Exadata 11g Certified Implementation Specialist
Oracle Certified Associate, MySQL 5
mail, gtalk e msn:   vitorj...@gmail.com
  http://certificacaobd.com.br/
skype: vjunior1981

  https://mybizcard.co/vitor.jr.385628

 

-- 

Att,/Regards,



Vitor Jr.
Infraestrutura /

RES: [oracle_br] Senha no TNSLSNR ?

2016-03-29 Por tôpico 'Ednilson Silva' ednilson.si...@jbs.com.br [oracle_br] 
Vitor,

Estou fazendo um teste num banco 10g, olha só

Vou tentar arrumar um banco 9i para fazer este teste

 

$ lsnrctl stop 10.255.4.50

 

LSNRCTL for Linux: Version 10.2.0.4.0 - Production on 29-MAR-2016 11:06:27

 

Copyright (c) 1991, 2007, Oracle.  All rights reserved.

 

Connecting to 
(DESCRIPTION=(CONNECT_DATA=(SERVICE_NAME=10.255.4.50))(ADDRESS=(PROTOCOL=TCP)(HOST=10.255.4.50)(PORT=1521)))

TNS-01189: The listener could not authenticate the user

 

Grato

Ednilson Silva

 

De: oracle_br@yahoogrupos.com.br [mailto:oracle_br@yahoogrupos.com.br] 
Enviada em: terça-feira, 29 de março de 2016 10:57
Para: oracle_br@yahoogrupos.com.br
Assunto: Re: [oracle_br] Senha no TNSLSNR ?

 

  

http://www.petefinnigan.com/ramblings/set_listener_password.htm

 

 

 

 

Setting an encrypted Oracle listener password

Anyway as I said this is not the best way to secure your listener. It should be 
done with an encrypted password as follows:

C:\oracle\ora90\network\admin>lsnrctl

LSNRCTL for 32-bit Windows: Version 9.2.0.1.0 - Production on 
24-FEB-2004 11:27:
55

Copyright (c) 1991, 2002, Oracle Corporation.  All rights reserved.

Welcome to LSNRCTL, type "help" for information.

LSNRCTL> set current_listener listener
Current Listener is listener
LSNRCTL> change_password
Old password:
New password:
Reenter new password:
Connecting to (DESCRIPTION=(ADDRESS=(PROTOCOL=IPC)(KEY=EXTPROC0)))
Password changed for listener
The command completed successfully
LSNRCTL> set password
Password:
The command completed successfully
LSNRCTL> save_config
Connecting to (DESCRIPTION=(ADDRESS=(PROTOCOL=IPC)(KEY=EXTPROC0)))
Saved LISTENER configuration parameters.
Listener Parameter File   C:\oracle\ora90\network\admin\listener.ora
Old Parameter File   C:\oracle\ora90\network\admin\listener.bak
The command completed successfully
LSNRCTL>  
  

You must save the configuration after setting the password otherwise it will be 
lost. Also you can check what was generated by looking in the listener.ora 
file. This is what was generated from the above commands:

#ADDED BY TNSLSNR 24-FEB-2004 11:29:18---
PASSWORDS_LISTENER = F0354118688257FB
#
 
 
 

 

Em ter, 29 de mar de 2016 às 10:52, angelo angelolis...@gmail.com [oracle_br] 
 escreveu:

  

Pô mas essa senha fica solta no arquivo e em txt ?

 

não tão segura porque o invasor pode resolver tentar invadir o servidor de uma 
vez...

 

 

Solution
Protect your TNS Listener with a password and ADMIN_RESTRICTIONS in the 
listener.ora

 

 

2016-03-29 10:45 GMT-03:00 Vitor Junior vitorj...@gmail.com [oracle_br] 
:

Sim, é possível, antigo e bem comum! :)

 

http://www.red-database-security.com/exploits/oracle-exploit-stop-tns_listener.html

 

 

 

 

Em ter, 29 de mar de 2016 às 10:40, 'Ednilson Silva' ednilson.si...@jbs.com.br 
[oracle_br]  escreveu:

  

Pessoal,

Recebi uma solicitação de nossa auditoria para implementar uma senha para o 
tnslsnr para que o serviço não seja parado remotamente.

Existe a possibilidade de parar o listener remotamente, sem ter acesso ao 
servidor? Como ?

 

Pesquisando vi que dá para colocar uma senha no serviço, mas nunca ouvi falar 
disso.

 

Grato

Ednilson Silva

-- 

Att,/Regards,



Vitor Jr.
Infraestrutura / Infrastructure Team

 

Oracle 12c DBA Certified Professional - OCP 12c

Oracle 11g DBA Certified Professional - OCP 11g
Oracle Certified Expert, Oracle Real Application Clusters 11g and Grid 
Infrastructure Administrator - OCE

Oracle Database 11g Performance Tuning Certified Expert - OCE
Oracle Exadata 11g Certified Implementation Specialist
Oracle Certified Associate, MySQL 5
mail, gtalk e msn:   vitorj...@gmail.com
  http://certificacaobd.com.br/
skype: vjunior1981

  https://mybizcard.co/vitor.jr.385628

 

-- 

Att,/Regards,



Vitor Jr.
Infraestrutura / Infrastructure Team

 

Oracle 12c DBA Certified Professional - OCP 12c

Oracle 11g DBA Certified Professional - OCP 11g
Oracle Certified Expert, Oracle Real Application Clusters 11g and Grid 
Infrastructure Administrator - OCE

Oracle Database 11g Performance Tuning Certified Expert - OCE
Oracle Exadata 11g Certified Implementation Specialist
Oracle Certified Associate, MySQL 5
mail, gtalk e msn:   vitorj...@gmail.com
  http://certificacaobd.com.br/
skype: vjunior1981

  https://mybizcard.co/vitor.jr.385628