brjl 阅读(16) 评论(0)

安全加固有很多选项,在不同版本上可能会有不同效果,搞不好还容易导致出问题。
有个案例是加固后,侦听无法启动,执行lsnrctl start

Connecting to (ADDRESS=(PROTOCOL=tcp)(HOST=)(PORT=1521))
TNS-12547: TNS:lost contact
 TNS-12560: TNS:protocol adapter error
  TNS-00517: Lost contact
   Linux Error: 104: Connection reset by peer
但是 ps -ef|grep tns 能看到进程   

检查listener.log中显示以下报错:
TIMESTAMP * CONNECT DATA [* PROTOCOL INFO] * EVENT [* SID] * RETURN CODE
Incoming connection from x.x.x.x rejected 
29-MAR-2021 12:40:58 * 12546
TNS-12546: TNS:permission denied
 TNS-12560: TNS:protocol adapter error
  TNS-00516: Permission denied
   Linux Error: 2: No such file or directory

经检查发现是sqlnet.ora 设置了允许访问白名单,但是没有添加本机IP(rac中还要添加priv vip scan ip)

添加后,kill -9 杀掉异常侦听进程,重启侦听正常了。

其实看到...rejected  就应该猜到是被拦截了,一开始光盯着Permission denied去研究,strace也没什么发现,走了一些弯路。