设置 Oracle 监听器密码(LISTENER).doc

《设置 Oracle 监听器密码(LISTENER)》

在 Oracle 数据库环境中，监听器（Listener）作为客户端与数据库服务器通信的关键组件，承担着接收连接请求、验证身份并路由至对应数据库实例的重要职责。然而，默认配置的监听器缺乏身份验证机制，可能导致未授权访问或恶意操作（如停止监听服务、篡改配置等）。为增强安全性，为监听器设置密码（即启用监听器认证）是必要的防护措施。本文将详细阐述设置 Oracle 监听器密码的完整流程，包括配置文件修改、密码生成、服务重启及验证等步骤，并分析常见问题与解决方案。

一、监听器密码的作用与原理

Oracle 监听器默认以无密码状态运行，任何客户端均可通过 `lsnrctl` 命令管理监听器（如启动、停止、重新加载配置）。设置密码后，所有管理操作需提供有效密码，防止未授权用户修改监听器状态或窃取敏感信息（如服务名、主机名等）。密码认证基于 `listener.ora` 配置文件中的 `PASSWORDS_` 参数，通过加密存储的密码字符串实现验证。

二、设置监听器密码的步骤

1. 确认监听器状态与配置文件位置

首先，检查监听器是否正常运行：

lsnrctl status

若未启动，执行：

lsnrctl start

监听器配置文件 `listener.ora` 通常位于 `$ORACLE_HOME/network/admin` 目录下。使用文本编辑器打开该文件，确认监听器名称（默认为 `LISTENER`）：

LISTENER =
  (DESCRIPTION_LIST =
    (DESCRIPTION =
      (ADDRESS = (PROTOCOL = TCP)(HOST = localhost)(PORT = 1521))
    )
  )

2. 生成加密密码

Oracle 提供 `lsnrctl` 命令生成加密密码。执行以下命令并输入明文密码（如 `MySecurePass123`）：

lsnrctl
LSNRCTL> set password
新密码: MySecurePass123
确认新密码: MySecurePass123

系统会生成加密字符串（如 `A7F3E8D2C1...`），需将其复制备用。此步骤实际已修改监听器密码，但为持久化配置，需手动更新 `listener.ora`。

3. 修改 listener.ora 文件

在 `listener.ora` 中添加或修改 `PASSWORDS_` 参数（将 `` 替换为上一步生成的字符串）：

LISTENER =
  (DESCRIPTION_LIST =
    (DESCRIPTION =
      (ADDRESS = (PROTOCOL = TCP)(HOST = localhost)(PORT = 1521))
    )
  )
PASSWORDS_LISTENER = 

保存文件后，重启监听器使配置生效：

lsnrctl reload
# 或
lsnrctl stop
lsnrctl start

4. 验证密码保护

尝试不输入密码执行管理命令（如 `stop`），应提示权限不足：

lsnrctl stop
输入监听器密码: 
LSNRCTL for Linux: Version 19.0.0.0.0 - Production
...
TNS-01169: 监听器拒绝了连接

输入正确密码后，命令应执行成功。

三、高级配置与注意事项

1. 本地管理授权（可选）

若需限制仅本地主机可管理监听器，可在 `listener.ora` 中添加 `ADMIN_RESTRICTIONS_` 参数：

ADMIN_RESTRICTIONS_LISTENER = ON

重启后，仅本地 `lsnrctl` 命令可绕过密码验证（需结合防火墙规则进一步限制）。

2. 多监听器配置

若存在多个监听器（如 `LISTENER1`、`LISTENER2`），需为每个监听器单独设置密码，并在对应配置段中添加 `PASSWORDS_` 参数。

3. 密码遗忘处理

若丢失密码，需通过以下步骤重置：

1. 停止监听器：`lsnrctl stop`
2. 编辑 `listener.ora`，删除或注释 `PASSWORDS_` 行
3. 重启监听器：`lsnrctl start`
4. 重新生成密码并更新配置文件

4. 安全性增强建议

• 使用强密码（包含大小写字母、数字及特殊字符，长度≥12位）
• 定期更换密码（通过 `lsnrctl set password` 命令）
• 结合操作系统防火墙限制监听器管理端口（如 1521）的访问来源
• 考虑使用 Oracle Enterprise Manager 或第三方工具集中管理监听器密码

四、常见问题与解决方案

问题1：修改配置后监听器无法启动

原因：`listener.ora` 语法错误或加密密码格式不正确。
解决：检查文件语法，确保 `PASSWORDS_` 值与生成的加密字符串完全一致。可通过 `lsnrctl` 日志（`$ORACLE_HOME/network/log/listener.log`）排查错误。

问题2：密码验证后仍提示权限不足

原因：可能存在多个监听器配置文件，或密码未同步至所有实例。
解决：确认所有 `listener.ora` 文件（包括备用配置目录）均已更新，并检查监听器名称是否匹配。

问题3：远程管理被拒绝

原因：启用了 `ADMIN_RESTRICTIONS_LISTENER = ON` 但未配置本地豁免，或防火墙阻止了管理端口。
解决：若需远程管理，禁用该参数或通过 SSH 隧道转发命令；检查防火墙规则（如 `iptables`/`firewalld`）是否放行管理端口。

五、自动化脚本示例

以下 Bash 脚本可自动化生成密码、更新配置并重启监听器（需替换 `` 和 ``）：

#!/bin/bash
ORACLE_HOME=/u01/app/oracle/product/19.0.0/dbhome_1
LISTENER_NAME=LISTENER

# 生成加密密码
ENCRYPTED_PASS=$(echo | $ORACLE_HOME/bin/lsnrctl set password | grep "新的监听器密码" | awk '{print $NF}')

# 更新 listener.ora
sed -i "/^$LISTENER_NAME =/a\PASSWORDS_$LISTENER_NAME = $ENCRYPTED_PASS" $ORACLE_HOME/network/admin/listener.ora

# 重启监听器
$ORACLE_HOME/bin/lsnrctl stop
$ORACLE_HOME/bin/lsnrctl start

echo "监听器密码已设置为: $ENCRYPTED_PASS"

六、总结

为 Oracle 监听器设置密码是保障数据库安全的基础措施之一。通过配置 `listener.ora` 文件中的 `PASSWORDS_` 参数，并结合 `lsnrctl` 命令生成加密密码，可有效防止未授权管理操作。实际部署时，需注意密码复杂性、多监听器兼容性及应急恢复流程。此外，建议将密码管理纳入企业密码策略，定期审计并更新，以应对潜在的安全威胁。

关键词：Oracle 监听器、LISTENER 密码、listener.ora、lsnrctl、数据库安全、加密密码、监听器管理

简介：本文详细介绍 Oracle 监听器密码的设置方法，包括配置文件修改、密码生成、服务重启及验证流程，涵盖多监听器、密码遗忘处理等高级场景，并提供自动化脚本与常见问题解决方案，助力数据库管理员提升系统安全性。

《设置 Oracle 监听器密码(LISTENER).doc》

将本文以doc文档格式下载到电脑，方便收藏和打印

推荐度：

点击下载文档