ORACLE数据库安全之SCN漏洞检查

概述

Oracle数据库在2019年6月份自动启动了SCN的新机制,即SCN rate 最大增长可达96kb,远超之前的32kb。当然,并不是说所有版本的Oracle数据库,都将自动启用这一特性(感觉Oracle埋了一个坑)。准确一点的说,时间点是2019年6月23号;

SCN的新机制启动时间点

通过以下sql可以发现具体时间点:

set serveroutput on

declare
  v_autorollover_date date;
  v_target_compat number;
  v_is_enabled boolean;
begin
  dbms_scn.getscnautorolloverparams(v_autorollover_date, v_target_compat, v_is_enabled);
  dbms_output.put_line('auto rollover date      : '||to_char(v_autorollover_date,'YYYY-MM-DD'));
  dbms_output.put_line('target scheme           : '||v_target_compat);
  dbms_output.put_line('rollover enabled (1=yes): '||sys.diutil.bool_to_int(v_is_enabled));
end;
/

ORACLE数据库安全之SCN漏洞检查

SCN影响范围

以下版本的库在2019年6月份自动启动了SCN新机制。
ORACLE数据库安全之SCN漏洞检查
如何判断我的数据库是否受这个scn机制变化的影响?

  • 如果你的所有Oracle数据库都是11.2.0.4或12.2等新版本,那么无需做任何处理;
  • 如果所有数据库中,有部分低版本(如10205、11.1)需要通过dblink访问高版本的库(如11.2.0.4,12.2),那么可能有风险, 建议将低版本的库进行升级或者安装上面推荐的Patch;
  • 如果数据库都是低版本的库,那么不受任何影响;
  • 如果数据库之间,没有dblink相互访问,也不受影响!

SCN新机制

针对上述版本的数据库在6月23号自动自动新机制。这么这个新机制是什么呢?简单的讲就是以前老版本的scn机制我们可以理解为是scheme 1、新版本将自动改成scheme 3,每秒允许增长的阈值更大。
老版本中scn最大值为power(2,48);新机制后被成为Big Scn,可达power(2,64),相差了数万倍。

declare
      v_rsl number;
      v_headroom_in_scn number;
      v_headroom_in_sec number;
      v_cur_scn_compat number;
      v_max_scn_compat number;
    begin
dbms_scn.getcurrentscnparams(v_rsl, v_headroom_in_scn, v_headroom_in_sec, v_cur_scn_compat, v_max_scn_compat);
dbms_output.put_line('reasonable scn limit (soft limit):'||to_char(v_rsl,'999,999,999,999,999,999'));
dbms_output.put_line('headroom in scn                   : '||to_char(v_headroom_in_scn,'999,999,999,999,999,999'));
dbms_output.put_line('headroom in sec                  : '||v_headroom_in_sec);
    dbms_output.put_line('current scn compatibility scheme : '||v_cur_scn_compat);
     dbms_output.put_line('max scn compatibility scheme     : '||v_max_scn_compat);
end;
/

ORACLE数据库安全之SCN漏洞检查

如何判断一个数据库的scn是否异常,是否达到scheme 极限

通过以下脚本可判断:如果to RSL scheme 1 百分比高达90%,那么说明你的数据库scn增长异常,建议进行处理。

select dbms_flashback.get_system_change_number "current value",
       ((((to_number(to_char(sysdate, 'YYYY')) - 1988) * 12 * 31 * 24 * 60 * 60) +
       ((to_number(to_char(sysdate, 'MM')) - 1) * 31 * 24 * 60 * 60) +
       (((to_number(to_char(sysdate, 'DD')) - 1)) * 24 * 60 * 60) +
       (to_number(to_char(sysdate, 'HH24')) * 60 * 60) +
       (to_number(to_char(sysdate, 'MI')) * 60) +
       (to_number(to_char(sysdate, 'SS')))) * (16 * 1024)) "RSL scheme 1",
       round(dbms_flashback.get_system_change_number /
             ((((to_number(to_char(sysdate, 'YYYY')) - 1988) * 12 * 31 * 24 * 60 * 60) +
             ((to_number(to_char(sysdate, 'MM')) - 1) * 31 * 24 * 60 * 60) +
             (((to_number(to_char(sysdate, 'DD')) - 1)) * 24 * 60 * 60) +
             (to_number(to_char(sysdate, 'HH24')) * 60 * 60) +
             (to_number(to_char(sysdate, 'MI')) * 60) +
             (to_number(to_char(sysdate, 'SS')))) * (16 * 1024)) * 100,
             5) "% to RSL scheme 1"
  from dual;

ORACLE数据库安全之SCN漏洞检查

检查数据库中的SCN Headroom的健康状况

当indicator持续的下降的时候应该提高警惕,正常的情况下它会保持在一个水平上下浮动或者持续的增长。

select version,
       date_time,
       dbms_flashback.get_system_change_number current_scn,
       indicator
  from (select version,
               to_char(SYSDATE, 'YYYY/MM/DD HH24:MI:SS') DATE_TIME,
               ((((((to_number(to_char(sysdate, 'YYYY')) - 1988) * 12 * 31 * 24 * 60 * 60) +
               ((to_number(to_char(sysdate, 'MM')) - 1) * 31 * 24 * 60 * 60) +
               (((to_number(to_char(sysdate, 'DD')) - 1)) * 24 * 60 * 60) +
               (to_number(to_char(sysdate, 'HH24')) * 60 * 60) +
               (to_number(to_char(sysdate, 'MI')) * 60) +
               (to_number(to_char(sysdate, 'SS')))) * (16 * 1024)) -
               dbms_flashback.get_system_change_number) /
               (16 * 1024 * 60 * 60 * 24)) indicator
          from v$instance);

ORACLE数据库安全之SCN漏洞检查

禁用SCN新机制

Oracle在这些版本中引入了一个dbms_scn包来控制这个机制。比如我们这里就可以直接用dbms_scn来disable这个机制。

exec dbms_Scn.DISABLEAUTOROLLOVER;
shutdown immediate
startup mount
alter database set scn compatibility 1;
alter database open;

declare
      v_autorollover_date date;
      v_target_compat number;
      v_is_enabled boolean;
    begin
      dbms_scn.getscnautorolloverparams(v_autorollover_date, v_target_compat, v_is_enabled);
      dbms_output.put_line('auto rollover date      : '||to_char(v_autorollover_date,'YYYY-MM-DD'));
      dbms_output.put_line('target scheme           : '||v_target_compat);
      dbms_output.put_line('rollover enabled (1=yes): '||sys.diutil.bool_to_int(v_is_enabled));
   end;
/
上一篇:Oracle 游标使用全解


下一篇:DBMS自带的查询优化