ORACLE数据库安全之SCN漏洞检查
作者:互联网
概述
Oracle数据库在2019年6月份自动启动了SCN的新机制,即SCN rate 最大增长可达96kb,远超之前的32kb。当然,并不是说所有版本的Oracle数据库,都将自动启用这一特性(感觉Oracle埋了一个坑)。准确一点的说,时间点是2019年6月23号;
SCN的新机制启动时间点
通过以下sql可以发现具体时间点:
set serveroutput on
declare
v_autorollover_date date;
v_target_compat number;
v_is_enabled boolean;
begin
dbms_scn.getscnautorolloverparams(v_autorollover_date, v_target_compat, v_is_enabled);
dbms_output.put_line('auto rollover date : '||to_char(v_autorollover_date,'YYYY-MM-DD'));
dbms_output.put_line('target scheme : '||v_target_compat);
dbms_output.put_line('rollover enabled (1=yes): '||sys.diutil.bool_to_int(v_is_enabled));
end;
/
SCN影响范围
以下版本的库在2019年6月份自动启动了SCN新机制。
如何判断我的数据库是否受这个scn机制变化的影响?
- 如果你的所有Oracle数据库都是11.2.0.4或12.2等新版本,那么无需做任何处理;
- 如果所有数据库中,有部分低版本(如10205、11.1)需要通过dblink访问高版本的库(如11.2.0.4,12.2),那么可能有风险, 建议将低版本的库进行升级或者安装上面推荐的Patch;
- 如果数据库都是低版本的库,那么不受任何影响;
- 如果数据库之间,没有dblink相互访问,也不受影响!
SCN新机制
针对上述版本的数据库在6月23号自动自动新机制。这么这个新机制是什么呢?简单的讲就是以前老版本的scn机制我们可以理解为是scheme 1、新版本将自动改成scheme 3,每秒允许增长的阈值更大。
老版本中scn最大值为power(2,48);新机制后被成为Big Scn,可达power(2,64),相差了数万倍。
declare
v_rsl number;
v_headroom_in_scn number;
v_headroom_in_sec number;
v_cur_scn_compat number;
v_max_scn_compat number;
begin
dbms_scn.getcurrentscnparams(v_rsl, v_headroom_in_scn, v_headroom_in_sec, v_cur_scn_compat, v_max_scn_compat);
dbms_output.put_line('reasonable scn limit (soft limit):'||to_char(v_rsl,'999,999,999,999,999,999'));
dbms_output.put_line('headroom in scn : '||to_char(v_headroom_in_scn,'999,999,999,999,999,999'));
dbms_output.put_line('headroom in sec : '||v_headroom_in_sec);
dbms_output.put_line('current scn compatibility scheme : '||v_cur_scn_compat);
dbms_output.put_line('max scn compatibility scheme : '||v_max_scn_compat);
end;
/
如何判断一个数据库的scn是否异常,是否达到scheme 极限
通过以下脚本可判断:如果to RSL scheme 1 百分比高达90%,那么说明你的数据库scn增长异常,建议进行处理。
select dbms_flashback.get_system_change_number "current value",
((((to_number(to_char(sysdate, 'YYYY')) - 1988) * 12 * 31 * 24 * 60 * 60) +
((to_number(to_char(sysdate, 'MM')) - 1) * 31 * 24 * 60 * 60) +
(((to_number(to_char(sysdate, 'DD')) - 1)) * 24 * 60 * 60) +
(to_number(to_char(sysdate, 'HH24')) * 60 * 60) +
(to_number(to_char(sysdate, 'MI')) * 60) +
(to_number(to_char(sysdate, 'SS')))) * (16 * 1024)) "RSL scheme 1",
round(dbms_flashback.get_system_change_number /
((((to_number(to_char(sysdate, 'YYYY')) - 1988) * 12 * 31 * 24 * 60 * 60) +
((to_number(to_char(sysdate, 'MM')) - 1) * 31 * 24 * 60 * 60) +
(((to_number(to_char(sysdate, 'DD')) - 1)) * 24 * 60 * 60) +
(to_number(to_char(sysdate, 'HH24')) * 60 * 60) +
(to_number(to_char(sysdate, 'MI')) * 60) +
(to_number(to_char(sysdate, 'SS')))) * (16 * 1024)) * 100,
5) "% to RSL scheme 1"
from dual;
检查数据库中的SCN Headroom的健康状况
当indicator持续的下降的时候应该提高警惕,正常的情况下它会保持在一个水平上下浮动或者持续的增长。
select version,
date_time,
dbms_flashback.get_system_change_number current_scn,
indicator
from (select version,
to_char(SYSDATE, 'YYYY/MM/DD HH24:MI:SS') DATE_TIME,
((((((to_number(to_char(sysdate, 'YYYY')) - 1988) * 12 * 31 * 24 * 60 * 60) +
((to_number(to_char(sysdate, 'MM')) - 1) * 31 * 24 * 60 * 60) +
(((to_number(to_char(sysdate, 'DD')) - 1)) * 24 * 60 * 60) +
(to_number(to_char(sysdate, 'HH24')) * 60 * 60) +
(to_number(to_char(sysdate, 'MI')) * 60) +
(to_number(to_char(sysdate, 'SS')))) * (16 * 1024)) -
dbms_flashback.get_system_change_number) /
(16 * 1024 * 60 * 60 * 24)) indicator
from v$instance);
禁用SCN新机制
Oracle在这些版本中引入了一个dbms_scn包来控制这个机制。比如我们这里就可以直接用dbms_scn来disable这个机制。
exec dbms_Scn.DISABLEAUTOROLLOVER;
shutdown immediate
startup mount
alter database set scn compatibility 1;
alter database open;
declare
v_autorollover_date date;
v_target_compat number;
v_is_enabled boolean;
begin
dbms_scn.getscnautorolloverparams(v_autorollover_date, v_target_compat, v_is_enabled);
dbms_output.put_line('auto rollover date : '||to_char(v_autorollover_date,'YYYY-MM-DD'));
dbms_output.put_line('target scheme : '||v_target_compat);
dbms_output.put_line('rollover enabled (1=yes): '||sys.diutil.bool_to_int(v_is_enabled));
end;
/
标签:sysdate,char,dbms,SCN,number,60,scn,ORACLE,数据库安全 来源: https://blog.csdn.net/qq_28721869/article/details/118609976