【ORACLE】简单谈谈ORACLE中WALLET(钱夹)

一般开发中,很少会接触到Oracle数据库的wallet,但是我在一次研究发送ssl邮件的时候,了解到了这个东西,当时因为我没找到关于wallet的完整介绍文档,没和DBA说清楚,导致DBA错误操作使数据库无法登陆了。后来我翻了很多中文和英文的文档和文章,对于单实例ORACLE数据库,大致整理出以下四种常用的用途

常见用途

1.客户端免密码登陆数据库

可以生成一个wallet,配置好相关登录信息后,将wallet文件放在客户端上,客户端即可实现无密码登录,防止密码明文配置在客户端导致泄漏的风险,像java、python等开发语言都可以使用wallet登录oracle数据库

2.透明加密(列加密)

可以把数据库中某些表的某些列进行加密,让常规用户名密码登录方式的用户无法查看这些列中的内容,只有通过wallet登录的会话才能查看,减少敏感数据泄露的风险

3.数据库对外进行ssl加密的tcp通讯

比如发起https的api请求,发送加密邮件等。oracle数据库目前还无法自动下载对称加密的证书,需要用户自行下载并配置到wallet中,然后在开始进行tcp通讯前引用一下wallet的目录即可。

4.客户端和数据库间通讯数据加密

这个和https类似,我之前有在未加密的客户端和数据库通讯时抓过包,比如写条查询sql,那么客户端发送给数据库的网络包中就会这个sql的明文信息,数据库返回数据到客户端时也是如此。如果网络被监控,或者走了公网,存在一定程度的安全风险。所以可以通过配置wallet,让数据库和客户端间进行对称加密,这样就算被抓包也很难破解出其中的内容了

配置工具

wallet有两个配置工具,这两个配置工具在linux和windows上都是有的,并且可以脱离数据库服务器使用

1.命令行工具 orapki

可以通过命令行脚本来创建wallet、生成证书、添加证书等,适用于自动化部署
比如

REM 创建wallet
orapki wallet create -wallet /u01/app/wallet -pwd password  -auto_login
REM 给wallet添加一个证书文件
orapki wallet add -wallet /u01/app/wallet -trusted_cert -cert /u01/app/wallet/cert1.cer -pwd password

2.图形界面工具 owm(Wallet Manager)

有可视化窗口的工具,配置方式更人性化
【ORACLE】简单谈谈ORACLE中WALLET(钱夹)

wallet文件

在选定目录执行创建wallet并保存后,会在该目录下生成“ewallet.p12”和“cwallet.sso”这两个文件,如果需要变更wallet目录,只需要移动这两个文件即可

其他

1.如果只是想访问https的api或者发送带ssl的email,只要生成钱夹并添加证书即可,千万不要盲目的对数据库进行其他有关wallet的操作

2.本文主要目的在于给读者提供一个初学指引,想更加详细了解的,建议参考

https://blog.csdn.net/tianlesoftware/article/details/8269547

上一篇:解决anaconda显示Collecting package metadata (current_repodata.json):failed的问题


下一篇:错误:为 repo ‘oracle_linux_repo‘ 下载元数据失败 : Cannot download repomd.xml: Cannot download repodata/repomd.