Hallo Sysadmins!

Heute möchte ich mal einige in Solaris eingebaute Security Features vorstellen. Man kann bei Solaris 10 auch nur mit Bordmitteln schon einiges tun. Hier ein paar Anregungen.

• Protect OBP :

eeprom security-mode=command

Damit wird bei Änderungen im Boot Prompt ein Passwort gefordert.  Es gibt auch die Möglichkeit den Level auf “full” zu setzen. Dann aber braucht man auch beim Booten der Maschine das Passwort!

• None Executable Stack:

/etc/system Parameter: set noexec_user_stack=1

Damit werden typische Buffer Overflows, wo aus dem User Stack code ausgeführt wird, mindestens behindert. Allerdings ist hierfür ein Reboot erforderlich, damit der Parameter zieht. Für die Installationen einer Oracle DB oder von Veritas Produkten wird das eh gefordert.

• Core Dump Logging:

/usr/bin/coreadm -e log

Ist das eingestellt, wird beim Auftreten eines Coredumps, per syslog geloggt. Ansonsten weiß man ja gar nicht unbedingt ob ein Core aufgetreten ist (ok, vom syscore mal abgesehen ). Was das mit Security zu tun hat? Nun, vielleicht macht man einen Fehler beim hacken und statt das es funktioniert stürzt der betroffene Deamon ab …

• BART:

Nein nein – ich meine nicht Bart Simpson …. sondern Basic Audit Reporting Tool. Das hat eine ähnliche Funktion wie das Produkt Tripwire. Zu jedem File wird ein Eintrag in eine zu erstellendes Verzeichnis gestellt. Nach diesem initialen Lauf, kann nach jedem weiteren Lauf das jeweils neu erstellte Verzeichnis mit “bart compare” verglichen werden und dadurch ein Report erzeugt werden. Es macht übrigens keinen Sinn, wie in unten angeführten Beispiel, das Verzeichnis /root/bart.control auf der Maschine liegen zu lassen (wenigstens die MD5 Summe ziehen und vergleichen, besser verschlüsseln und noch besser beides und ab auf eine andere Maschine).

1. find <dir> | bart create -I > /root/bart.control
2. find <dir> | bart create -I > /root/bart.test
3. bart compare /root/bart.control /root/bart.test

• Signed ELF:

Die Solaris Binaries im ELF Format sind alle von Hause aus signiert. Diese Signatur kann man auch überprüfen und damit feststellen, ob das Programm im Orginal vorliegt:

elfsign verify -e <elf-bin>

• Fingerprint DB :

Noch eine Nummer besser: Mit Hilfe der MD5 Checksumme eines jeden Betriebssystem Files (es sind ja nicht alles ELF-Binaries, sondern auch Skripte) kann auf bei SUN auf der Sunsolve Seite feststellen, zu welchem Release das File gehört, wie der Pfad lauten soll, zu welchem Paket es gehört und auch wie der Patchstand ist.

Prüfsumme generieren:

digest -v -a md5 <file>

Damit dann auf http://sunsolve.sun.com/pub-cgi/fileFingerprints.pl und hier die Checksumme eingeben!

Ist doch nicht übel, oder

Viele Grüße

Michael Zimmer

Hallo DBA’s ,

bin ich doch fast auf die Schnauze gefallen bei einem manuellem Update von Oracle 9.2.0.8 auf 11.1.0.7 unter Solaris 64-Bit (was bitte sonst, bei SPARC schon seit Jahrzehnten). Aber der Reihe nach:

Installation von 11.1.06 plus Patch auf 11.1.07 völlig problemlos.

Dann die alte Instanz mit utlu111i.sql aus der neuen Installation getestet und schön brav alle Hinweise beachtet. In der Database Section findet sich auch schon die Feststellung: –> timezone file: V1 . Aber keine weiteren Hinweise darauf das nur ab V4 auch ein upgrade möglich ist!!!!

Pfile erstellt und editiert (create pfile from spfile;) , STARTUP UPGRADE , Tablespace sysaux angelegt und bei catupgrd.sql kracht es dann … Falsche Timezone Files!

Die Timezone muss natürlich schon in der alten Version 9.2.0.8 gepatched werden.

Also Backup zurück und dann den richtigen OPATCH finden:

Für Solaris 64-Bit und 9.2.0.8 müssen zwei Patches eingespielt werden:

p5632264_92080_SOLARIS64.zip enthält die eigentlichen neuen Timezone Files

p5726045_92080_GENERIC.zip enthält das Upgrade Skript utltzuv2.sql

Danach wirft utlu111i.sql auch brav die V4 als Timezone Files aus und der Upgrade funktioniert:

• BACKUP erstellen!
• SQL> CREATE pfile FROM spfile; und editieren falls nötig
• SQL> STARTUP UPGRADE
• sysaux tablespace anlegen: SQL> CREATE TABLESPACE sysaux DATAFILE ‘sysaux01.dbf’ SIZE 500M REUSE EXTENT MANAGEMENT LOCAL SEGMENT SPACE MANAGMENT AUTO ONLINE;
• SQL> SPOOL upgrade.log
• SQL> @catupgrd.sql
• SQL> STARTUP
• @utlu111s.sql; mal schauen ob alles OK ist
• SQL> catuppst.sql
• SQL> utlrp.sql
• SQL> exec DBMS_STATS.GATHER_DATABASE_STATS ( estimate_percent => 3, cascade  => true); Statistiken generieren könnte gut sein.

Das war es. catupgrd.sql ist dabei das Skript mit der längsten Laufzeit. Natürlich abhängig von der Datenbank Größe und der Rechner Geschwindigkeit.

Im Oracle Databse Upgrade Guide 11g Release 1 (11.1) steht es auch alles drin. Ich sollte mir dann beim nächsten mal auch die Mühe machen alles zu lesen, nicht nur den Teil mit dem Manually Upgrade

Viele Grüße

Michael Zimmer

Hallo,

nein nein, keine Sorge – ich fange jetzt hier nicht an meinen Lesern die Vorzüge von guter Programmierung zu predigen. Oder vielleicht doch?

Mir begegnet in der täglichen Arbeit eigentlich zu viel schlecht geschriebene Software.  Ich meine jetzt nicht all die Provisorien die, mal eben dahingerotzt, sich dann doch ewig halten. Sondern die eingekauften Programme deren schäbigen Datenbank Teil nicht schnell läuft und aufgrund dessen beim DBA zum Tuning landet. Ist natürlich die falsche Stelle und keiner versteht uns …

Aber das kann man ändern, indem man sich mal mit einem der Kernthemen der Informatik beschäftigt: Den Algorithmen.

Nicht die Kämpfe und Krämpfe um den schönsten Editor, die tollste Entwicklungsumgebung, den besten Compiler oder gar die beste Programmiersprache machen die Informatik aus. Sondern der Weg ein bestimmtes Problem möglichst effektiv, schnell und auch elegant zu lösen.

Und genau das kann man sich zur Zeit anschauen. Live und in Farbe per Podcast von der Universität Osnabrück. Die nämlich haben die Vorlesung von Herrn Professor Dr. Oliver Vornberger über Algorithmen inklusive Übungsmaterial und Skript der Vorlesung ins Netz gestellt.

Das sollten Sie sich nicht entgehen lassen!

Viele Grüße

Michael Zimmer

Eine kleine Serie über Cloud Computing:

Viel Spaß

Michael