巧用SSH的端口转发功能

默认情况下&＃xff0c;客户端和Oracle数据库之间的数据传输都是以明文方式进行的&＃xff0c;这在广域网环境下&＃xff0c;存在着较大的安全漏洞。我们可以用SSH加密的方式进行数据传输&＃xff0c;其实现原理是&＃xff1a;客户端通过ssh-keygen生成一对公钥和私钥&＃xff0c;其中客户端保留私钥&＃xff0c;公钥存放在服务器端。当客户端通过SSH协议向服务端发送信息时&＃xff0c;客户端会将信息加密&＃xff0c;在发送到服务端后&＃xff0c;如果私钥和公钥无误&＃xff0c;服务端自动将信息解密&＃xff0c;还原为明文信息。此外SSH还有端口转发功能&＃xff0c;它能够将TCP连接通过SSH的安全机制转发到远端机器上&＃xff0c;这样我们就可以得到一个可靠的TCP会话&＃xff0c;从而实现安全的信息通道了。简单地说&＃xff0c;就是利用SSH的端口转发功能&＃xff0c;实现SSH对特定端口的监听&＃xff0c;当有任何会话连接到监听的端口时&＃xff08;如本地端口1555&＃xff09;&＃xff0c;我们可以将其转发到其他端口&＃xff08;如远程端口1521&＃xff09;。

假设客户端IP为172.16.4.28&＃xff0c;服务端IP为172.16.4.200&＃xff0c;数据库运行在服务端上&＃xff0c;监听端口为1521&＃xff0c;目的是在客户端172.16.4.28实现SSH的端口转发功能&＃xff0c;从而得到一条客户端至服务端的安全链路。以下为Oracle客户端调用SSH端口转发功能的简要配置过程。

&＃xff08;1&＃xff09;在IP为172.16.4.28的客户端中执行SSH端口转发命令。这样连接至IP为172.16.4.28&＃xff0c;端口1555的会话就可以通过SSH转发至IP为172.16.4.200的1521端口上了。如下所示&＃xff1a;

[root&＃64;hzmc etc]# ssh -CNfg -L 1555:172.16.4.200:1521 ora10g&＃64;172.16.4.200


使用netstat命令可以看到客户端的1555端口转发链路已经确立&＃xff0c;如下所示&＃xff1a;

[root&＃64;hzmc etc]# netstat -an|grep :1555
tcp 0 0 :::1555 :::* LISTEN


&＃xff08;2&＃xff09;查看服务端的监听状态&＃xff0c;可以看到监听运行在IP地址为172.16.4.200的端口1521上&＃xff0c;如下所示&＃xff1a;

Listening Endpoints Summary... (DESCRIPTION&＃61;(ADDRESS&＃61;(PROTOCOL&＃61;tcp)(HOST&＃61;172.16.4.200)(PORT&＃61;1521)))
Service "gg11" has 1 instance(s). Instance "gg11", status READY, has 2 handler(s) for this service...


&＃xff08;3&＃xff09;查看客户端tnsnames.ora连接串&＃xff0c;可以看到会话连接的HOST配置为172.16.4.28&＃xff0c;端口配置为1555。如下所示&＃xff1a;

gg11 &＃61; (DESCRIPTION &＃61; (ADDRESS &＃61; (PROTOCOL &＃61; TCP)(HOST &＃61; 172.16.4.28)(PORT &＃61; 1555)) (CONNECT_DATA &＃61; (SERVER &＃61; DEDICATED) (SERVICE_NAME &＃61; gg11) ) )


&＃xff08;4&＃xff09;由于在客户端上的转发链路已经确立&＃xff0c;所以连接至IP地址为172.16.4.28、端口为1555的会话可以自动转发至IP地址为172.16.4.200、端口为1521的地址上&＃xff0c;如下所示&＃xff1a;

[ora10g&＃64;hzmc admin]$ tnsping gg11 TNS Ping Utility for Linux: Version 10.2.0.3.0 - Production on 10-JUL-2012 12:28:50 Copyright (c) 1997, 2006, Oracle. All rights reserved. Used parameter files:
/ora10g/oracle/product/10.2.0/db_1/network/admin/sqlnet.ora Used TNSNAMES adapter to resolve the alias
Attempting to contact (DESCRIPTION &＃61; (ADDRESS &＃61; (PROTOCOL &＃61; TCP)(HOST &＃61;
172.16.4.28)(PORT &＃61; 1555)) (CONNECT_DATA &＃61; (SERVER &＃61; DEDICATED) (SERVICE_NAME
&＃61; gg11)))
OK (10 msec)
[ora10g&＃64;hzmc admin]$ sqlplus "zhoul/zhoul&＃64;gg11" SQL*Plus: Release 10.2.0.3.0 - Production on Tue Jul 10 12:28:54 2012 Copyright (c) 1982, 2006, Oracle. All Rights Reserved. Connected to:
Oracle Database 10g Enterprise Edition Release 10.2.0.5.0 - 64bit Production
With the Partitioning, OLAP, Data Mining and Real Application Testing options SQL> exit


&＃xff08;5&＃xff09;如果要关闭安全链路&＃xff0c;只要将端口转发进程844杀掉即可&＃xff0c;如下所示&＃xff1a;

[ora10g&＃64;hzmc admin]$ ps -ef|grep CNfg|grep -v grep
root 844 1 0 12:07 ? 00:00:00 ssh -CNfg -L
1555:172.16.4.200:1521 ora10g&＃64;172.16.4.200
[ora10g&＃64;hzmc admin]$ kill 844


内容转自http://book.51cto.com/art/201312/421443.htm