Hallo Sysadmins,

vor ein paar Tagen habe ich ein VxFS Filesystem erweitert und df -h hat mir komische Werte anschließend angezeigt.  Jedenfalls meinte das der Kunde. Das Filesystem wurde um 300GB erweitert. Vorher hatten wir 20GB frei und anschließend – nein – nicht etwa 320GB sondern etwa 318GB. Der arme Kunde fühlte sich um 2GB betrogen und fing morgens um 4.30h eine lebhafte Diskussion an.

Heute ging es meinen Kollegen ähnlich. Das VxFS Filesystem war brandneu erzeugt und es gab eine signifikante Lücke zwischen ‘size’ ‘used’ und ‘avail’. Darauf hin ging die Suche los: Bei UFS (und bei ext2 unter LINUX) werden schon mal 10% des verfügbaren Platzes im Filesystem für root reserviert. Also wo bitte kann man bei VxFS bzw. bei vxtunefs die Reservierung einstellen? Die Kollegen haben einen Call bei Symantec eröffnet – bin mal gespannt was dabei raus kommt … Ein kleiner gemeiner Test für den Support

Zur Sache Schätzen:

Da VxFS unter Solaris nie als Filesystem boot fähig ist/war – machen auch Reservierungen wie bei UFS üblich keinen Sinn. Wenn root und var Filesystem vom User fast voll geschrieben wurden (bis auf den reservierten Bereich), ist es von Vorteil, wenn für den root-User noch etwas Platz übrig ist. So kann man sich noch einloggen und für Abhilfe sorgen.  Der Default Wert für UFS liegt übrigens bei (64MBytes/volumesize)*100, liegt immer zwischen 1 und max 10% und kann natürlich schon beim Erzeugen des UFS per ‘mkfs -o free=99 …. ‘ beeinflusst werden . Ebenso mit ‘tunefs -m [0-10] % <filesystem>’ geändert werden. Für VxFS gibt es das nicht!

Woher kommt er nun – der fehlende freie Plattenplatz bei leeren VxFS Filesystemen? VxFS ist ein Extent basiertes Filesystem. Es gibt keine vorher festgelegten (beim Anlegen) Strukturen von Inodes und DataBlocks wie bei UFS. Sondern nur dynamische Strukturen. Zur Verwaltung des freien Platzes gibt es eine extent_map. Das ist ein File, was für den Nutzer und auch für den Administrator im Verborgenen liegt (außer ncheck Utility). In dieser extent_map werden alle Permutationen der möglichen Extent Längen vorgehalten. Je mehr freier Platz vorhanden ist, desto größer wird diese Tabelle. Füllt sich das Filesystem im Laufe der Zeit, werden die möglichen Permutationen weniger  und die Tabelle wird kleiner. Wenn das Filesystem schließlich zu 100% gefüllt ist, wird die Tabelle nicht mehr benötigt.

Bei VxFS ist es also möglich den gesamten  Platz des Filesystems vollständig für Daten auszunutzen. Abzüglich des kleinen Bereichs der beim neu angelegten Filesystems schon als ‘used’ ausgewiesen wird. Im Gegensatz zum UFS Filesystem (gutes altes Berkeley FFS übrigens), sind die Verwaltungsinformationen relativ klein ( bei 500GB nur ca. 191M statt UFS imerhin ca. 8GB für Verwaltung). Außerdem ist durch die dynamische Struktur sichergestellt, das sowohl kleine als auch sehr große Files gut verwaltet werden können. UFS macht bei Extremwerten keine gute Figur.  Ganz zu Schweigen von den Möglichkeiten der Online Reorganisation oder auch dem Vergrößern und Verkleinern im laufenden Betrieb.

Vielleicht schreibe ich demnächst noch was über weitere Features von VxFS: Storage Checkpoints, Reorganisation oder die Konvertierung eines UFS in VxFS (das allerdings nicht Online im gemounteten Zustand). Dran bleiben und RSS Feed abonnieren …

Wer sich selber tiefer in VxFS und VxVM einarbeiten möchte, für den habe ich noch einen Buch Tip:

“Storage Management in Data Centers” von Voker Herminghaus und Albrecht Scriba. Frisch im Springer Verlag erschienen!

Viele Grüße

Michael

Hallo

Kennen Sie Dan Ariely?

Nicht? – Ändern Sie das!

Dan Ariely ist Professor für Verhaltensökomik am Massachusetts Institue of Technology (MIT). Und er schreibt Bücher. Zum Beispiel: Pedictably Irrational.Im Deutschen ein bisschen komisch übersetzt mit: Denken Hilft zwar, nützt aber nichts.

Der Mann hat Humor! Das ist eine Warnung! Wenn Sie keinen haben – mmmmmmmm – ok: googeln Sie mal nach Oliver Pocher – der gefällt Ihnen vielleicht

Abgesehen davon macht er klasse Videos. Also los geht’s:

Immer noch hier?

Ok – hier ist der Link zum YouTube Kanal von Dan Ariely.

Aber vergessen Sie nicht auch das Buch zu lesen.

Wehrte Kollegen,

wir bemühen uns ja alle darum keine bekannten Sicherheitslücken auf unseren System offen zu lassen – hoffe ich jedenfalls.  Aber unsere Chef’s und Auftraggeber sind auch nur Menschen und räumen uns manchmal nicht die nötige Zeit oder die nötige Tools ein um den Hackern den notwendigen Schritt voraus zu sein. In meinen Augen ist das eine echte Dummheit!

Ich persönlich würde lieber mit jedem Hacker der mir Lücken im System offen mitteilt ein Bierchen trinken, als ihm der Rechtsabteilung zum Fraß vorzuwerfen. Dazu braucht man natürlich “cojones”

Und wie man an diesem schönen Beispiel sieht, gibt es Unternehmen die mit ihren Sicherheitslücken angemessen umgehen:

Im übrigen empfehle ich den Genuss der Tweets von Hackerinfo auf Twitter: Macht immer wieder Spaß!

Viele Grüße

Michael

Hallo Sysadmins!

Heute möchte ich mal einige in Solaris eingebaute Security Features vorstellen. Man kann bei Solaris 10 auch nur mit Bordmitteln schon einiges tun. Hier ein paar Anregungen.

• Protect OBP :

eeprom security-mode=command

Damit wird bei Änderungen im Boot Prompt ein Passwort gefordert.  Es gibt auch die Möglichkeit den Level auf “full” zu setzen. Dann aber braucht man auch beim Booten der Maschine das Passwort!

• None Executable Stack:

/etc/system Parameter: set noexec_user_stack=1

Damit werden typische Buffer Overflows, wo aus dem User Stack code ausgeführt wird, mindestens behindert. Allerdings ist hierfür ein Reboot erforderlich, damit der Parameter zieht. Für die Installationen einer Oracle DB oder von Veritas Produkten wird das eh gefordert.

• Core Dump Logging:

/usr/bin/coreadm -e log

Ist das eingestellt, wird beim Auftreten eines Coredumps, per syslog geloggt. Ansonsten weiß man ja gar nicht unbedingt ob ein Core aufgetreten ist (ok, vom syscore mal abgesehen ). Was das mit Security zu tun hat? Nun, vielleicht macht man einen Fehler beim hacken und statt das es funktioniert stürzt der betroffene Deamon ab …

• BART:

Nein nein – ich meine nicht Bart Simpson …. sondern Basic Audit Reporting Tool. Das hat eine ähnliche Funktion wie das Produkt Tripwire. Zu jedem File wird ein Eintrag in eine zu erstellendes Verzeichnis gestellt. Nach diesem initialen Lauf, kann nach jedem weiteren Lauf das jeweils neu erstellte Verzeichnis mit “bart compare” verglichen werden und dadurch ein Report erzeugt werden. Es macht übrigens keinen Sinn, wie in unten angeführten Beispiel, das Verzeichnis /root/bart.control auf der Maschine liegen zu lassen (wenigstens die MD5 Summe ziehen und vergleichen, besser verschlüsseln und noch besser beides und ab auf eine andere Maschine).

1. find <dir> | bart create -I > /root/bart.control
2. find <dir> | bart create -I > /root/bart.test
3. bart compare /root/bart.control /root/bart.test

• Signed ELF:

Die Solaris Binaries im ELF Format sind alle von Hause aus signiert. Diese Signatur kann man auch überprüfen und damit feststellen, ob das Programm im Orginal vorliegt:

elfsign verify -e <elf-bin>

• Fingerprint DB :

Noch eine Nummer besser: Mit Hilfe der MD5 Checksumme eines jeden Betriebssystem Files (es sind ja nicht alles ELF-Binaries, sondern auch Skripte) kann auf bei SUN auf der Sunsolve Seite feststellen, zu welchem Release das File gehört, wie der Pfad lauten soll, zu welchem Paket es gehört und auch wie der Patchstand ist.

Prüfsumme generieren:

digest -v -a md5 <file>

Damit dann auf http://sunsolve.sun.com/pub-cgi/fileFingerprints.pl und hier die Checksumme eingeben!

Ist doch nicht übel, oder

Viele Grüße

Michael Zimmer

Hallo DBA’s ,

bin ich doch fast auf die Schnauze gefallen bei einem manuellem Update von Oracle 9.2.0.8 auf 11.1.0.7 unter Solaris 64-Bit (was bitte sonst, bei SPARC schon seit Jahrzehnten). Aber der Reihe nach:

Installation von 11.1.06 plus Patch auf 11.1.07 völlig problemlos.

Dann die alte Instanz mit utlu111i.sql aus der neuen Installation getestet und schön brav alle Hinweise beachtet. In der Database Section findet sich auch schon die Feststellung: –> timezone file: V1 . Aber keine weiteren Hinweise darauf das nur ab V4 auch ein upgrade möglich ist!!!!

Pfile erstellt und editiert (create pfile from spfile;) , STARTUP UPGRADE , Tablespace sysaux angelegt und bei catupgrd.sql kracht es dann … Falsche Timezone Files!

Die Timezone muss natürlich schon in der alten Version 9.2.0.8 gepatched werden.

Also Backup zurück und dann den richtigen OPATCH finden:

Für Solaris 64-Bit und 9.2.0.8 müssen zwei Patches eingespielt werden:

p5632264_92080_SOLARIS64.zip enthält die eigentlichen neuen Timezone Files

p5726045_92080_GENERIC.zip enthält das Upgrade Skript utltzuv2.sql

Danach wirft utlu111i.sql auch brav die V4 als Timezone Files aus und der Upgrade funktioniert:

• BACKUP erstellen!
• SQL> CREATE pfile FROM spfile; und editieren falls nötig
• SQL> STARTUP UPGRADE
• sysaux tablespace anlegen: SQL> CREATE TABLESPACE sysaux DATAFILE ‘sysaux01.dbf’ SIZE 500M REUSE EXTENT MANAGEMENT LOCAL SEGMENT SPACE MANAGMENT AUTO ONLINE;
• SQL> SPOOL upgrade.log
• SQL> @catupgrd.sql
• SQL> STARTUP
• @utlu111s.sql; mal schauen ob alles OK ist
• SQL> catuppst.sql
• SQL> utlrp.sql
• SQL> exec DBMS_STATS.GATHER_DATABASE_STATS ( estimate_percent => 3, cascade  => true); Statistiken generieren könnte gut sein.

Das war es. catupgrd.sql ist dabei das Skript mit der längsten Laufzeit. Natürlich abhängig von der Datenbank Größe und der Rechner Geschwindigkeit.

Im Oracle Databse Upgrade Guide 11g Release 1 (11.1) steht es auch alles drin. Ich sollte mir dann beim nächsten mal auch die Mühe machen alles zu lesen, nicht nur den Teil mit dem Manually Upgrade

Viele Grüße

Michael Zimmer

Hallo,

nein nein, keine Sorge – ich fange jetzt hier nicht an meinen Lesern die Vorzüge von guter Programmierung zu predigen. Oder vielleicht doch?

Mir begegnet in der täglichen Arbeit eigentlich zu viel schlecht geschriebene Software.  Ich meine jetzt nicht all die Provisorien die, mal eben dahingerotzt, sich dann doch ewig halten. Sondern die eingekauften Programme deren schäbigen Datenbank Teil nicht schnell läuft und aufgrund dessen beim DBA zum Tuning landet. Ist natürlich die falsche Stelle und keiner versteht uns …

Aber das kann man ändern, indem man sich mal mit einem der Kernthemen der Informatik beschäftigt: Den Algorithmen.

Nicht die Kämpfe und Krämpfe um den schönsten Editor, die tollste Entwicklungsumgebung, den besten Compiler oder gar die beste Programmiersprache machen die Informatik aus. Sondern der Weg ein bestimmtes Problem möglichst effektiv, schnell und auch elegant zu lösen.

Und genau das kann man sich zur Zeit anschauen. Live und in Farbe per Podcast von der Universität Osnabrück. Die nämlich haben die Vorlesung von Herrn Professor Dr. Oliver Vornberger über Algorithmen inklusive Übungsmaterial und Skript der Vorlesung ins Netz gestellt.

Das sollten Sie sich nicht entgehen lassen!

Viele Grüße

Michael Zimmer

Eine kleine Serie über Cloud Computing:

Viel Spaß

Michael

Hallo,

heute gibt’s ne große Show von Oracle zur Übernahme von SUN.

Wer Spaß dran hat kann auch die Zwitscherreien online verfolgen. Hier die Twitterwal!

Viele Grüße

Michael

Hi,

und weiter geht der Spaß:

Allerdings glaube ich, das Oracle hier noch was ändern muß: “We didn’t have to buy more hardware”. Passt das noch nach dem Kauf von SUN? Ok, einmal kann man komprimieren – danach heißt es wieder: “Kauf mehr Blech”

Viel Spaß

Michael

PS: ja ja – ich hör jetzt auf ….

Hallo!

Haha die Videos von Oracle auf YouTube fangen an mir zu gefallen.  Hier noch eins:

Da fällt mir sofort der Kunde ein, der meint seine DBA’s können das alles auch per SSH / SQLPlus. Und was soll ich sagen: ja wir können es natürlich auch. Dauert nur ein bisschen länger ….

Scheiß auf Produktivität: Nieder mit den Maus – Schubsern!

Mehr davon gibt es hier!

Viel Spaß

Michael