Nächste Woche (21.+22.10.) finden die ersten Schweizer Datenbanktage statt - die TrivadisOPEN.

Ich denke, dies ist eine Veranstaltung, die jeden Datenbankprofi interessieren sollte - egal ob Oracle oder Microsoft, egal ob DBA, Entwickler oder Security-Experte.

Ein paar Highlights (für mich natürlich aus dem Oracle-Bereich ):

• Carry Millsap: "Millsap's Grand Unified Theory of 'Tuning'"
• Christian Antognini: "Query Optimizer 11g"
• Anton Topurov (CERN Genf): "CERN experience with virtualization of Oracle RAC with native XEN and Oracle VM"
• Roger Wullschleger (Oracle): "Oracle Enterprise Manager Data Masking Pack"

Auch die Keynote-Speaker sind sehr zu empfehlen - und natürlich auch der Überraschungsgast

Mehr Informationen findet ihr hier - und hier die Agenda.

Ich würde mich freuen, ein paar bekannte (und auch unbekannte) Gesichter zu sehen...

First chapter in the Patch Set Notes:

...
Patch sets provide bug fixes only; they do not include new functionality and they do not require certification on the target system.
...

This is so not true

There is at least one new feature: a new package called DBMS_AUDIT_MGMT.

This should be mainly used with Oracle Audit Vault. But they are some interesting procedures and functions for "normal" auditing too:

• defining of file size and aging from os audit files
• automatic purging from audit records
• moving from audit tables in another tablespace (yes - official supported )
• ...

Happy auditing...

The first patchset for Oracle Database 11g is available.

File size (Linux 32 bit): 1.5 GB!!! Happy download

After Laurent wrote in his blog , that the update exam for the OCP 11g is available from the 18/02/2008, I want to try it. OK – I didn’t do this on the first day, but the 03.03. is not so late…

Today in the morning I took the exam and I passed the test.

Some comments to it:

• For me the exam was difficult, I found other update exams easier
• The questions were sometimes very deep
• There are nearly no questions about the GUI (Oracle Enterprise Manager)
• I think, I have become quite used to Oracle 11g (a lot of testing, writing course materials, teaching 6 courses, quite reliable preparation). But I found nearly no questions with an immediate and clear answer...
• There were more questions as before (now 85, during the New Features 10g exams there were only 60) -> see here
• To pass, 61% correct answers are enough (10g = 73%)
• It is recommended to have a really correct look at the exam topics – and to learn just below them, including any PL / SQL calls and default parameters!

Also - viel Erfolg bei der Prüfung !

Ausser angepassten Passwort-Profilen (siehe diesen Artikel) gehören noch weitere Änderungen am Default-Verhalten zu Oracles Initiative "Secure by Default".

So ist jetzt standardmässig Auditing eingeschaltet für folgende Operationen (Auszug aus der Oracle-Dokumentation):

Auch diese Massnahme ist aus Security-Sicht gut.

Aber für viele Firmen ist Auditing in der Datenbank etwas neues - etwas mit dem sie sich deshalb nicht beschäftigen wollen.
Read the rest of this entry »

Neben der Vorstellung der zwei Komponenten "Database Replay" und "SQL Performance Analyzer" in meinem Blog habe ich dazu auch noch einen etwas ausführlicheren Artikel geschrieben.

Download: www.trivadis.com -> Know-how-Center -> Publikationen
Oder direkt hier.

"Secure by Default" nennt Oracle eine neue Initiative, durch die Oracle Database 11g out-of-the-box sicherer ist als eine vergleichbare 10g-Installation.

Dazu gehört u.a. auch "Fine-Grained Access für Netzwerk-Callouts", worüber ich hier schon berichtete.

Ausserdem wird beim Anlegen der Datenbank mit dem DBCA abgefragt, ob die "Enhanced default security settings" eingeschaltet werden sollen:

Wird diese Frage mit "Keep" beantwortet, wird das Default-Profile angepasst und der Wert PASSWORD_LIFE_TIME auf 180 (Tage) gesetzt. Das bedeutet, dass alle Benutzer nach 180 Tagen ihr Passwort ändern müssen.
Aus Security-Sicht ist das sicherlich gut (der Wert sollte eventuell sogar kleiner sein). Aber was machen dann alle Batchprogramme, Scripts, Programme mit fest kodierten Passwörtern (Application Server), ...? Abstürzen
Ich jedenfalls habe noch kein Programm gesehen, was in der Lage war, die Aufforderung zu erkennen und das Passwort selbständig zu ändern.

Deswegen - daran denken:
Vor dem Ablauf der 180 Tage ein spezielles Profile anlegen, im diesem PASSWORD_LIFE_TIME auf UNLIMITED setzen und (nur) den Benutzern zuteilen, die ihr Passwort nicht ändern können/sollen.

Übrigens, auch wenn Sie Ihre DB mit eigenen Scripts angelegen, gilt dieses Verhalten. Durch catproc.sql wird nämlich neu das Script secconf.sql ausgeführt...

Tanel Poder beschreibt in seinem Blog-Eintrag "Your read only accounts aren’t that read only", dass Benutzer mit ausschliesslich Select-Rechten Tabellen locken können. Damit besteht die Gefahr, dass diese Benutzer Applikationen komplett lahmlegen können. Tanel liefert auch einen (mühsamen) Workaround.

Durch diesen Bericht bin ich wieder einmal auf die Idee gekommen, zu testen, ob sich im "Readonly-Verhalten" von Oracle etwas geändert hat.
Read the rest of this entry »

Drei Monate nach Erscheinen von Oracle 11 für Linux (32bit) ist die neue Version nun für alle Hauptplattformen verfügbar:

• Microsoft Windows (32-bit)
• Microsoft Windows (x64)
• Linux x86
• Linux x86-64
• Solaris (SPARC) (64-bit)
• AIX (PPC64)
• HP-UX Itanium

Download wie immer im Technet.

Hat ein Benutzer EXECUTE-Rechte auf eines der folgenden Packages, kann er (bis Oracle 10g) Informationen an beliebige Hosts schicken:

• UTL_TCP
• UTL_SMTP
• UTL_MAIL
• UTL_HTTP
• UTL_INADDR

Mit Oracle 11g ist dies nicht mehr der Fall. Per Default hat kein Benutzer (ausser SYS) die Möglichkeit, mit diesen Packages externe Rechner zu erreichen.
Mit dem neuen Package DBMS_NETWORK_ACL_ADMIN können nun Access Control Listen erzeugt werden, mit denen definiert wird, wer an welchen Host Callouts durchführen kann.

Dies hat aber einige Auswirkungen...
Read the rest of this entry »