DBA notes

自从 NGS 在 2004 年 8 月 31 日公布了关于Oracle多个安全漏洞的 Advisory 之后，Oracle 已经发布了著名的 Alert #68。应用补丁可以解决这一系列安全问题。不过 NGS 并没有及时公布具体进一步的信息，吊足了大家的胃口。今天看到 Oracle-L 中的这则讨论，才知道，现在大部分详情都已经公布了，虽然比预定的要晚一些。不管怎么样，NGS 可以说是一战成名了。

Oracle 10g/9i Multiple PL/SQL injection vulnerabilities

基本翻译一下：下面列出的 Procedure 都可被溢出并获得 DBA 权限。攻击者亦可以通过 Oracle Application Server 影响服务器。

Owner	Procedure
SYS	DBMS_EXPORT_EXTENSION
WKSYS	WK_ACL.GET_ACL
WKSYS	WK_ACL.STORE_ACL
WKSYS	WK_ADM.COMPLETE_ACL_SNAPSHOT
WKSYS	WK_ACL.DELETE_ACLS_WITH_STATEMENT
CTXSYS	DRILOAD.VALIDATE_STMT

SYSMAN(DBA)帐户的密码可以在 $ORACLE_HOME/hostname_sid/sysman/config/emoms.properties 文件中找到。该文件居然是可读的。而且，在安装中如果指定了 SYS, SYSTEM, DBSNMP 和 SYSMAN 的密码中带有惊叹号(exclamation mark 例如 f00bar!!)。则会有错误信息记录到 postDBCreation.log 文件中，密码赫然可见。真是个很糟糕的安全问题。

其他公布的信息包括：

• Oracle Trigger Abuse (#NISR2122004I)
• Oracle extproc buffer overflow (#NISR23122004A)
• Oracle Character Conversion Bugs (#NISR2122004G)
• Oracle ISQLPlus file access vulnerability (#NISR2122004E)
• Oracle extproc directory traversal (#NISR23122004B)
• Oracle wrapped procedure overflow (#NISR2122004J)
• Oracle extproc local command execution (#NISR23122004C)
• Oracle TNS Listener DoS (#NISR2122004F)

参考内容：

• Oracle 日前发布的 Alert 68
• Oracle 安全专家 Pete Finnigan 的总结： "Alert 68 vulnerabilities have been made public"
• 用 NGSSQuirreL 工具检查数据库的安全情况

Posted by Fenng at 1:28 PM | Permalink | Comments (0)

看到一份文档说:

NFS O_DIRECT ...Available in RHEL 3 Update 2

可是自己明明记得这个 O_DIRECT 在 RHEL 3 就有的阿?!搜索到一篇白皮书 Red Hat Enterprise Linux version 3 Technical Summary，发现 NFS 的 O_DIRECT 支持的确是 RHEL 3 就已经提供的(而不是 Update 2)，在另一白皮书上亦有提及:

当应用程序利用 O_DIRECT 标记打开文件时，RHEL 3.0 和 SuSE SLES 8 SP3 内核中的Linux NFS 客户端支持对 NFS 文件的直接 I/O 操作。直接 I/O 这一功能可以使管理自己数据缓存的数据库应用程序获益。启用该功能后，应用程序的读写系统调用会直接转换为 NFS 读写操作。在利用该标记打开文件时，Linux 内核不会对任何读写结果进行缓存，因此，应用程序总是可以准确获取服务器上的内容。

关于这个 O_DIRECT 有一些相关的 Bug 存在。Bug 1:Metalink 2448994:

#  Platform Patch for : Linux Intel
#  Product Version #  : 9.2.0.6
#  Product Patched    : RDBMS
#
#  Bugs fixed by this patch
#  ------------------------   
#  2448994: DIRECT IO SUPPORT OVER NFS

Bug 2:poor NFS performance when nfs_uncached_io set due to excessive FSSTAT messages

Platform: RHEL AS 2.1
Version : 2.1

Steps to reproduce:
1. enable NFS O_DIRECT (add "options nfs nfs_uncached_io=1" into
/etc/modules.conf)
2. mount NFS filesystem
3. execute cp/dd command for NFS filesystem

Actual Result
===========
A lot of FSSTAT/FSINFO requests are generated, then cp/dd perfomance
goes down.

Tip:Oracle 10g 内建支持 Direct IO 。但要注意上面提到的 RHEL AS 2.1 的Bug 。

参考信息：

• NFS client patches for Linux
• Note:225751.1
• NetApp TR3339

Posted by Fenng at 10:27 PM | Permalink | Comments (0)

早晨起来看 BLOG ，发现不少人已经开始年终盘点了。这一年太多的风花雪月的事情，太多的花边、八卦新闻，以至于我看到朋友推荐我看的一个 BLOG 上写着：小道消息，只有小道消息，才能救中国。我不由得笑出声来。Kamus 说，2004，开始融入你的互联网 Horse 说，从blog开始，享受我的互联网 ，我该怎么说呢？似乎是沉溺其中了......

P2P (BitTorrent,eMule)软件的大肆流行，使得分发大数据量的多媒体内容成为可能。所以，我们能以最好的品质下载音乐，我们能以最快的速度看到最新的大片，我们能以最可能高的速度下载软件，我们能以最隐秘的方式下载...嗯，毛片。今天，你 BT 了没有？技术万岁！

BLOG 的流行乃至泛滥，给了人们更自由的网络书写形式，一个木子美被关注，千千万万个木子美站起来。由木子美(南方周末不敢提木子美，称其真名李丽，南方周末也底气不足)做评委的什么博客之声给猛小蛇的狗日报颁发了个什么大奖，使得 BLOG 在年末再度被主流媒体花边了一把。年末了，Blogger 与"博客"之争终于没能闹大。我看这个事情是这个样子的:一方面注重技术，一方面注重内容，结果谁看谁都不顺眼，那就吵架吧。咱也顺着这股大潮，琢磨琢磨网络个人出版的可能，并在第四季度做了一点实验。结果不算成功，也不算失败。不过，咱也算个 Blogger 了。精明的商人们已经把眼光盯到这个 BLOG 上了，一些周边技术已经开始出现。

Oracle 发布了 10g 系列软件，折腾了一年多市场上没有什么大的反响，什么网格计算，看来又是拉里森搅混水而已。Oracle 公司 18 个月的纠缠总算买下了仁科，尽管仁科总裁乃至员工都不同意这事，但是最后还是资本说话。面对 10g 数据库种种鸡肋般的新特性，技术社区里这一年对 10g 的热情已经有所消减，看来还需要 Oracle 自己的推动力量。这一年，挂名参与编辑的图书出版了，据说卖得还不错，可惜当初没厚着脸皮多投几篇稿。三年前参与翻译的图书总算出来了，也不知道出版社还出这个古董干啥？现在看起来，当初的翻译不够过关，也好，出版社连我的名字都没给署上，以后坚决不和这样的合作。

这一年，Six degrees of separation 驱动下的社会软件开始出现在人们视野中。orkut，Wallop 等的邀请权成了好东西。当然，始作俑者是 Google 的 Gmail 。说起这个六度分割，不由得想起来高晓松的电影《那时花开》，夏雨扮演的那个学生，异想天开，对那个看上去很死板的教授说毕业论文的题目是，世界上每9(?)个人之间就有一定的联系。没想到那个教授说，那对婴儿来说应该是8(n-1)个人，因为婴儿刚出生谁也不认识。当时还以为是搞笑的情节呢，没想到几年后听到六度分割这个东西，真是愣了半天。

这一年，开源软件继续健康发展，个人开始有针对性的应用开源工具，效果尚佳。这一年，自己把技术的理解变成了对公司，对技术团体的不少建议，却鲜有被采纳。这一年，我成了一个标准的网虫。

这一年，Wiki, Grid, RAC, Solaris 10, 2.6 Kernel, Firefox, SNS, P2P, RSS, Gmail, Skype, 3G, FUD, War, Entropy, Money, Money, Money,Wish? %$_~)*@............my God!

Posted by Fenng at 12:45 PM | Permalink | Comments (0)

周星驰看来已经很难突破自己的路数了。影片中照例是那么几个近乎雷同的角色。形影不离的搭档总是个笨蛋，一个不是很丑就是有点缺陷最后丑小鸭变成天鹅的女主角(配角?)有着固定动作特点的一些小角色(《功夫》里这次是个喜欢半露臀部的理发师，口音还不是很正)，嗜血的反面角色，开头和结尾往往会出现的类似半仙的人物(比如《食神》里的那个算命婆子，《功夫》里有个卖武功秘籍的乞丐)......

变化都有什么呢？技术的盛宴！反正有大公司投资，作特技就是了，请来袁和平之后的特技动作的确不是洪金宝所能比的。但是量变不是都能引起质变。这些电脑之作的动作再精彩，还是不能给人以震撼和思索，一时惊奇过后怕是很难留下什么，当然，只要赚够票房。只要善于炒作。

剧本一直是周星驰的弱点，除了从别人影片中变形的“拷贝粘贴”，周很难有自己的创意在里头。最为人垢病的是那主人公从好变坏真是富有戏剧性和喜剧性阿，的确让人看不懂。周星星应该想想，这样的怪力乱神的题材怎么就能代表“功夫”这两个字呢？

那些周星驰迷们可以暂时休息一下了，周的确还不够“大师”的份。有笑声，够花哨，足够了。

想起周在东京被日本人捉弄的狼狈样子，以周的性格推断，可以想见《功夫II》的若干情节：大打日本人，或者是找个日本人作配角，然后大加侮辱......反正是自己做导演

Posted by Fenng at 11:52 PM | Permalink | Comments (2)