Sven’s Technik-Blog

After Laurent wrote in his blog , that the update exam for the OCP 11g is available from the 18/02/2008, I want to try it. OK – I didn’t do this on the first day, but the 03.03. is not so late…

Today in the morning I took the exam and I passed the test.

Some comments to it:

• For me the exam was difficult, I found other update exams easier
• The questions were sometimes very deep
• There are nearly no questions about the GUI (Oracle Enterprise Manager)
• I think, I have become quite used to Oracle 11g (a lot of testing, writing course materials, teaching 6 courses, quite reliable preparation). But I found nearly no questions with an immediate and clear answer...
• There were more questions as before (now 85, during the New Features 10g exams there were only 60) -> see here
• To pass, 61% correct answers are enough (10g = 73%)
• It is recommended to have a really correct look at the exam topics – and to learn just below them, including any PL / SQL calls and default parameters!

Also - viel Erfolg bei der Prüfung !

Entgegen meinem ersten Artikel (und dem Kommentar meines Kollegen Chris zu diesem Artikel ) ist Real Application Testing doch in 10.2.0.4 verfügbar:

Ein paar Bemerkungen aber dazu:

• Der SQL Performance Analyzer fehlt (jedenfalls das Package DBMS_SQLPA, welches die Funktionalität zur Verfügung stellt)
• Database Replay ist vorhanden, aber nur der Capture-Teil (ok, das haben wir auch so erwartet - und damit kann ich doch das Update von 10.2.0.4 auf 11.x testen)
• Es muss der (neue) Parameter PRE_11G_ENABLE_CAPTURE auf TRUE gesetzt werden, ansonsten kommt folgende Fehlermeldung beim Start des Capture-Prozesses:

  ORA-15591: cannot start capture because parameter "PRE_11G_ENABLE_CAPTURE" is not enabled

• Der Capture-Prozess kann mit Database Control 10.2.0.4 gestartet und verwaltet werden, Preprozess und Replay sind im Menu zwar verfügbar, aber nicht anklickbar:
  
  

Und das Wichtigste: Die gesammelten Daten können problemlos auf einer 11g-Datenbank abgespielt werden !
Also - erfolgreiche Tests!

Es ist wieder so weit: Die Vorbereitungen für das CPU können starten.

Die ersten Informationen von Oracle sind hier verfügbar.

Ein paar Details dazu:

• Dies ist das erste CPU, welches auch Fixes für Oracle 11g beinhaltet
• Für Oracle 10g Database Vault finde ich keine Informationen, also scheinen unsere Security-Findings nicht behoben zu sein
• Für die Oracle Datenbank gibt es 8 neue Security Fixes, von denen keiner remote ohne Authentication ausnutzbar ist
  Mit einem CVSS-Score von 6.5 ist das Risiko aber sehr hoch
• Für den Application Server gibt es 6 neue Security Fixes.
  Mit einem CVSS-Score von 9.3 für Clients und 6.8 für Server ist das Risiko hier sehr hoch

Probleme können Anwender von Oracle-Versionen bekommen, die nicht das aktuelle Patchset einsetzen. So wird z.B. für Oracle Database 10.2.0.2 für Windows und Solaris kein Patch erscheinen oder dieser speziell angefordert werden müssen.
Siehe dazu das Kapitel "Planned Patches for Next CPU Release" im README des Oktober-CPUs.

Wie immer - wir werden das CPU testen und darüber berichten.

Ausser angepassten Passwort-Profilen (siehe diesen Artikel) gehören noch weitere Änderungen am Default-Verhalten zu Oracles Initiative "Secure by Default".

So ist jetzt standardmässig Auditing eingeschaltet für folgende Operationen (Auszug aus der Oracle-Dokumentation):

Auch diese Massnahme ist aus Security-Sicht gut.

Aber für viele Firmen ist Auditing in der Datenbank etwas neues - etwas mit dem sie sich deshalb nicht beschäftigen wollen.
Read the rest of this entry »

Neben der Vorstellung der zwei Komponenten "Database Replay" und "SQL Performance Analyzer" in meinem Blog habe ich dazu auch noch einen etwas ausführlicheren Artikel geschrieben.

Download: www.trivadis.com -> Know-how-Center -> Publikationen
Oder direkt hier.

"Secure by Default" nennt Oracle eine neue Initiative, durch die Oracle Database 11g out-of-the-box sicherer ist als eine vergleichbare 10g-Installation.

Dazu gehört u.a. auch "Fine-Grained Access für Netzwerk-Callouts", worüber ich hier schon berichtete.

Ausserdem wird beim Anlegen der Datenbank mit dem DBCA abgefragt, ob die "Enhanced default security settings" eingeschaltet werden sollen:

Wird diese Frage mit "Keep" beantwortet, wird das Default-Profile angepasst und der Wert PASSWORD_LIFE_TIME auf 180 (Tage) gesetzt. Das bedeutet, dass alle Benutzer nach 180 Tagen ihr Passwort ändern müssen.
Aus Security-Sicht ist das sicherlich gut (der Wert sollte eventuell sogar kleiner sein). Aber was machen dann alle Batchprogramme, Scripts, Programme mit fest kodierten Passwörtern (Application Server), ...? Abstürzen
Ich jedenfalls habe noch kein Programm gesehen, was in der Lage war, die Aufforderung zu erkennen und das Passwort selbständig zu ändern.

Deswegen - daran denken:
Vor dem Ablauf der 180 Tage ein spezielles Profile anlegen, im diesem PASSWORD_LIFE_TIME auf UNLIMITED setzen und (nur) den Benutzern zuteilen, die ihr Passwort nicht ändern können/sollen.

Übrigens, auch wenn Sie Ihre DB mit eigenen Scripts angelegen, gilt dieses Verhalten. Durch catproc.sql wird nämlich neu das Script secconf.sql ausgeführt...

Tanel Poder beschreibt in seinem Blog-Eintrag "Your read only accounts aren’t that read only", dass Benutzer mit ausschliesslich Select-Rechten Tabellen locken können. Damit besteht die Gefahr, dass diese Benutzer Applikationen komplett lahmlegen können. Tanel liefert auch einen (mühsamen) Workaround.

Durch diesen Bericht bin ich wieder einmal auf die Idee gekommen, zu testen, ob sich im "Readonly-Verhalten" von Oracle etwas geändert hat.
Read the rest of this entry »

Drei Monate nach Erscheinen von Oracle 11 für Linux (32bit) ist die neue Version nun für alle Hauptplattformen verfügbar:

• Microsoft Windows (32-bit)
• Microsoft Windows (x64)
• Linux x86
• Linux x86-64
• Solaris (SPARC) (64-bit)
• AIX (PPC64)
• HP-UX Itanium

Download wie immer im Technet.

Hat ein Benutzer EXECUTE-Rechte auf eines der folgenden Packages, kann er (bis Oracle 10g) Informationen an beliebige Hosts schicken:

• UTL_TCP
• UTL_SMTP
• UTL_MAIL
• UTL_HTTP
• UTL_INADDR

Mit Oracle 11g ist dies nicht mehr der Fall. Per Default hat kein Benutzer (ausser SYS) die Möglichkeit, mit diesen Packages externe Rechner zu erreichen.
Mit dem neuen Package DBMS_NETWORK_ACL_ADMIN können nun Access Control Listen erzeugt werden, mit denen definiert wird, wer an welchen Host Callouts durchführen kann.

Dies hat aber einige Auswirkungen...
Read the rest of this entry »

Nach der Migration einer 10g-Datenbank nach 11g wurden bei mir auf einmal (ohne Parameteränderung) die Archivelogs gespiegelt.
log_archive_dest_n ist nicht gesetzt, damit wird (richtig) in db_recovery_file_dest (also in die Flash Recovery Area - FRA) archiviert - aber zusätzlich auch noch in $ORACLE_HOME/dbs!!

Im alert.log steht's:

Using LOG_ARCHIVE_DEST_1 parameter default value as /u00/app/oracle/product/11.1.0/dbs/arch
Using LOG_ARCHIVE_DEST_10 parameter default value as USE_DB_RECOVERY_FILE_DEST

Ist das nun Absicht? In der Dokumentation haben wir jedenfalls nichts darüber gefunden.

Zwei Tipps kamen von meinen Kollegen:

• Entweder Destination1 wirklich auf FRA setzen:

  ALTER SYSTEM SET log_archive_dest_1 = 'location=USE_DB_RECOVERY_FILE_DEST';
   

• Oder aber Destination1 ausschalten, indem ein Whitspace eingetragen wird (in der Doku wird dies ein Null-String genannt):

  ALTER SYSTEM SET log_archive_dest_1=' ';
   

Sollte man unbedingt beachten, damit nicht sehr schnell das ORACLE_HOME voll läuft...