Nach der Migration einer 10g-Datenbank nach 11g wurden bei mir auf einmal (ohne Parameteränderung) die Archivelogs gespiegelt.
log_archive_dest_n ist nicht gesetzt, damit wird (richtig) in db_recovery_file_dest (also in die Flash Recovery Area - FRA) archiviert - aber zusätzlich auch noch in $ORACLE_HOME/dbs!!

Im alert.log steht's:

Using LOG_ARCHIVE_DEST_1 parameter default value as /u00/app/oracle/product/11.1.0/dbs/arch
Using LOG_ARCHIVE_DEST_10 parameter default value as USE_DB_RECOVERY_FILE_DEST

Ist das nun Absicht? In der Dokumentation haben wir jedenfalls nichts darüber gefunden.

Zwei Tipps kamen von meinen Kollegen:

• Entweder Destination1 wirklich auf FRA setzen:

  ALTER SYSTEM SET log_archive_dest_1 = 'location=USE_DB_RECOVERY_FILE_DEST';
   

• Oder aber Destination1 ausschalten, indem ein Whitspace eingetragen wird (in der Doku wird dies ein Null-String genannt):

  ALTER SYSTEM SET log_archive_dest_1=' ';
   

Sollte man unbedingt beachten, damit nicht sehr schnell das ORACLE_HOME voll läuft...

Ein kurzes Update zu unserem Security Alert:

Oracle informierte uns, dass drei unserer kritischsten Security Holes im Main Code behoben sind. Die Fixes sollen im nächsten CPU (Januar 2008) enthalten sein.
Wir bemühen uns, einen Vorab-Patch zu bekommen für die Kunden, die Database Vault schon produktiv im Einsatz haben.

Andere Probleme sind noch "Under investigation".

Die 32bit Windows Version steht hier zum Download bereit.

Interessant finde ich schon, dass zuerst die Linux-Versionen, dann Windows und später irgendwann die restlichen Unix-Versionen kommen. Früher kam Windows immer viel später. Ist Microsoft für Oracle nun wichtiger geworden?

Also - happy download - wer unbedingt Windows möchte

Eins der für mich interessantesten Features von Oracle 10.2 ist das "Multi-column partition pruning". Sind Tabellen nach mehreren Spalten Range-Partitioniert, kann Partition Pruning voll benutzt werden, auch wenn der/die führenden Partition-Keys nicht in der Abfrage verwendet werden. In alten Versionen geht das nicht, Partition-Pruning wird dann nicht benutzt bzw. es werden viel grössere Bereiche gelesen.

Diese Aussage stimmt so inzwischen nicht mehr.
Read the rest of this entry »

Wieder mal ein Artikel, der nichts mit Oracle zu tun hat...

Ich benutze als Suchmaschine eigentlich immer Google - und bin damit meist auch sehr zufrieden. Aber ärgerlich finde ich es doch, dass immer mehr Spamer es schaffen, ihre Werbeseiten dort zu platzieren. Und dies meistens noch ganz weit oben in den Suchresultaten.

Dafür gibt es jetzt eine Lösung: Der Googlefilter von filtertechnics. Darauf gekommen bin ich über einen guten Artikel im aktuellen Linuxuser.

Habe den Firefox-Plugin (48kB - gibt's auch für IE) installiert - und mit einem Mal werden die Spams rausgefiltert - oder markiert (je nachdem, was ich will). Cool.
Schweizer Seiten sind zwar noch nicht so viele erfasst, aber jeder ist aufgefordert, über Spam-Seiten zu informieren - dazu reicht ein Klick.

Ausserdem gibt es noch ein paar nette Zusatzfunktionen (Vorschaubilder, Icons, Makros).
Kurzum: Ein nettes, kleines Tool, welches ich nicht mehr missen möchte.

Mit dem in Oracle 10g eingeführten Scheduler (der in der Datenbank, implementiert mit dem Package dbms_scheduler) ist es leicht möglich, externe Programme (z.B. OS-Scripts) zu starten. Innerhalb der Datenbank konnte aber nicht gesteuert werden, unter welchem Betriebssystembenutzer die Programme laufen. Dies konnte nur über eine Datei pro ORACLE_HOME gesteuert werden (siehe Metalink Note 391820.1) - d.h. alle externen Programme liefen immer unter dem gleichen Account.

Auch wenn es nicht im New Features Dokument steht - über das neue Objekt CREDENTIAL ist es nun in Oracle 11g einfach möglich, jedem Job (bei Bedarf) andere Usernamen/Passwort-Kombinationen zuzuweisen.
Read the rest of this entry »

Es ist langsam wieder so weit, am 16. Oktober erscheint das nächste CPU. Das Pre-Release Announcement gibt schon mal einige interessante Informationen:

• 51 Security-Fixes für hunderte Oracle Produkte - wow
• Oracle ändert seine Risiko-Bewertung auf CVSS 2.0 Scoring
• Bereich Datenbank:
  • Der höchste CVSS-Wert ist 6.5 (4.2 für das alte CVSS 1.0 scoring) - entspricht also einem recht hohem Risiko
  • 27 Security-Löcher wurden behoben, davon sind 5 remote ohne Authentisierung ausnutzbar!
• Für OAS ist der höchste CVSS-Wert 6.8 (7.0 für das alte CVSS 1.0 scoring), also ein sehr hoher Wert
• Database Vault ist erwähnt, schauen wir mal, ob unsere gemeldeten Löcher geschlossen wurden...
• Oracle Database 11g hat noch keine Fixes

Wir werden dieses CPU wieder testen und berichten...

Nachdem ich in den Blogs von Markus und Alex zitiert und korrigiert werde, noch eine genauere Darstellung zu dieser Aussage:

"Es sind zu viele Security Lücken vorhanden, die das Lesen und Ändern von vertraulichen Daten als Datenbank- oder Betriebssystemadministrator zulassen"

Natürlich ist mir klar, dass Database Vault allein kaum Schutz vor einem OS-Administrator bietet - und das verkauft Oracle auch nicht so.
Aber Database Vault soll dabei unterstützen. Z.B. ist per Default keine Anmeldung als SYSDBA und (je nach Version und Patchlevel ) keine OS authentication (also ein "connect / as sysdba") mehr möglich, also auch root/oracle müssen sich mit Usernamen und Passwort anmelden.

Dies darf aber nicht als alleiniger Schutz benutzt werden, da der Software-Owner Database Vault ausschalten kann (auch hier gibt es ein paar Security-Holes). Ausserdem kann er die Anmeldung als SYSDBA wieder zulassen. Beides kann aber wiederum auf OS-Ebene überwacht werden.

Auch aus meiner Sicht ist sehr viel Wissen notwendig, um dieses Produkt sicher einzuführen.

In den letzten beiden Wochen haben wir sehr intensiv Oracle Database Vault getestet.

Fazit:
Das Konzept ist gut durchdacht. und es sind einige sehr interessante Ideen implementiert.

Trotzdem müssen wir Stand heute vom Einsatz abraten. Es sind zu viele Security Lücken vorhanden, die das Lesen und Ändern von vertraulichen Daten als Datenbank- oder Betriebssystemadministrator zulassen - genau das aber verspricht dieses Produkt zu unterbinden.

So gelingt es z.B. per dynamischen SQL sehr einfach - in 3 unterschiedlichen Varianten - Zugriff auf per Realm geschützte Daten zu erlangen.

Diverse Servicerequests sind offen, secalert ist ebenfalls informiert, wir sind hier in sehr engem Kontakt mit Oracle.
Wir werden wieder berichten, sobald Database Vault aus unsere Sicht Produktionsreife erlangt hat.

Auch hier wieder ein Verweis auf den Artikel von Arup Nanda, der das "Doing" sehr gut beschreibt.

Das in meinem letzten Blog-Eintrag beschriebene Database Replay kann einiges nicht:

• Nur einzelne Statements analysieren
• Statements, die auf eine bestimmte Tabelle zugreifen, analysieren
• Zusätzliche (nicht aufgezeichnete) Statements analysieren
• Auf Detailebene Statistiken und Ausführungspläne analysieren

Genau diese Punkte sind die Stärken des SQL Performance Analyzer (SPA).
Read the rest of this entry »