数据库服务器安全加固之禁用22或3389端口

导读： 数据安全逐渐被企业重视，数据安全加固也逐步成为公司内部提高安全的一项重要工作。 有一些业务系统应用与DB是在同一个网段，只要黑客进入其中一台服务器，就可以跳转到同网段各个服务器。 为了防止跳板风险的发生，我们可以禁用22或3389，但是我们又不能完全禁用，否则日常运维就必须去机房使用管理口进行维护了。 这种情况我们可以安装杀毒软件，使用 白名单的形式禁用22或3389端口，这样即能防止跳板风险，又能正常维护。

经评估结论：

Oracle RAC可安装杀毒软件并禁用22或3389端口

Mysql MHA可安装杀毒软件，但不能禁用22端口

Oracle RAC节点间不能禁用多播功能

原因：RAC启动时通过mdns进程通过多播发现集群中所有网卡和节点

MySQL复制节点间不能禁用openssl或SSL服务

原因：slave连接master若使用cache_sha2_password身份认证则要求客户端提供SSL或者具有源的公钥副本

MySQL MHA不能禁用22端口

原因：MHA需要通过22端口进行日志补全操作。

参考：
--Mysql MHA参考
Replication Not Working in MySQL 8.0. The I/O Thread Cannot Connect, Fails With Error 2061 (Doc ID 2423671.1)
11gR2 集群管理软件（GI） 启动顺序和诊断方法简介
https://blogs.oracle.com/database4cn/post/11gr2-gi