雲資料庫oracle

1. Oracle資料庫的介紹

ORACLE資料庫系統是美國ORACLE公司（甲骨文）提供的以分布式資料庫為核心的一組軟體產品，是目前最流行的客戶/伺服器(CLIENT/SERVER)或B/S體系結構的資料庫之一。比如SilverStream就是基於資料庫的一種中間件。ORACLE資料庫是目前世界上使用最為廣泛的資料庫管理系統，作為一個通用的資料庫系統，它具有完整的數據管理功能；作為一個關系資料庫，它是一個完備關系的產品；作為分布式資料庫它實現了分布式處理功能。但它的所有知識，只要在一種機型上學習了ORACLE知識，便能在各種類型的機器上使用它。
Oracle資料庫最新版本為Oracle Database 12c。Oracle資料庫12c 引入了一個新的多承租方架構，使用該架構可輕松部署和管理資料庫雲。此外，一些創新特性可最大限度地提高資源使用率和靈活性，如Oracle Multitenant可快速整合多個資料庫，而Automatic Data Optimization和Heat Map能以更高的密度壓縮數據和對數據分層。這些獨一無二的技術進步再加上在可用性、安全性和大數據支持方面的主要增強，使得Oracle資料庫12c 成為私有雲和公有雲部署的理想平台。

2. Oracle資料庫基本知識

Oracle資料庫基本知識

Oracle Database，又名OracleRDBMS，或簡稱Oracle。是甲骨文公司的一款關系資料庫管理系統。本文為大家分享的是Oracle資料庫的基本知識，希望對大家有所幫助!

它是在資料庫領域一直處於領先地位的產品。可以說Oracle資料庫系統是目前世界上流行的關系資料庫管理系統，系統可移植性好、使用方便、功能強，適用於各類大、中、小、微機環境。它是一種高效率、可靠性好的適應高吞吐量的資料庫解決方案。

介紹

ORACLE資料庫系統是美國ORACLE公司(甲骨文)提供的以分布式資料庫為核心的一組軟體產品，是目前最流行的客戶/伺服器(CLIENT/SERVER)或B/S體系結構的資料庫之一。比如SilverStream就是基於資料庫的一種中間件。ORACLE資料庫是目前世界上使用最為廣泛的資料庫管理系統，作為一個通用的資料庫系統，它具有完整的數據管理功能;作為一個關系資料庫，它是一個完備關系的產品;作為分布式資料庫它實現了分布式處理功能。但它的所有知識，只要在一種機型上學習了ORACLE知識，便能在各種類型的機器上使用它。

Oracle資料庫最新版本為OracleDatabase 12c。Oracle資料庫12c引入了一個新的多承租方架構，使用該架構可輕松部署和管理資料庫雲。此外，一些創新特性可最大限度地提高資源使用率和靈活性，如Oracle Multitenant可快速整合多個資料庫，而Automatic Data Optimization和Heat Map能以更高的密度壓縮數據和對數據分層。這些獨一無二的技術進步再加上在可用性、安全性和大數據支持方面的主要增強，使得Oracle資料庫12c 成為私有雲和公有雲部署的理想平台。

就業前景

從就業與擇業的角度來講，計算機相關專業的大學生從事oracle方面的技術是職業發展中的最佳選擇。

其一、就業面廣：ORACLE幫助拓展技術人員擇業的廣度，全球前100強企業99家都在使用ORACLE相關技術，中國政府機構，大中型企事業單位都能有ORACLE技術的工程師崗位，大學生在校期間興趣廣泛，每個人興趣特長各異，不論你想進入金融行業還是電信行業或者政府機構，ORACLE都能夠在你的職業發展中給你最強有力的支撐，成為你最貼身的金飯碗。

其二、技術層次深：如果期望進入IT服務或者產品公司，Oracle技術能夠幫助提高就業的深度。Oracle技術已經成為全球每個IT公司必選的軟體技術之一，熟練掌握Oracle技術能夠為從業人員帶來技術應用上的優勢，同時為IT技術的深入應用起到非常關鍵的作用。掌握 Oracle技術，是IT從業人員了解全面信息化整體解決方案的基礎。

其三、職業方向多：Oracle資料庫管理方向、Oracle開發及系統架構方向、Oracle數據建模數據倉庫等方向。

Oracle資料庫漏洞分析：無需用戶名和密碼進入你的資料庫

一般性的資料庫漏洞，都是在成功連接或登錄資料庫後實現入侵;本文介紹兩個在2012年暴露的Oracle漏洞，通過這兩種漏洞的結合，可以在不掌握用戶名/密碼的情況下入侵Oracle，從而完成對數據的竊取或者破壞。這兩個漏洞就是CVE-2012-1675和CVE-2012-3137。

引言

國內外很多重要的系統都採用Oracle作為數據存儲的資料庫;在Oracle中存儲著企業或政府大量敏感的信息，在金錢或政治的誘導下，內外部黑客會想法利用管理、網路、主機或資料庫的自身漏洞嘗試入侵到資料庫中，以達到自身的目的。

本文的作者通過對Oracle倆種漏洞的組合研究，設計了一套在不掌握用戶名/密碼的方式入侵到Oracle中;這種方法，比傳統的需要登錄到資料庫中的入侵方法，具有更大的安全隱患和破壞性。

本文希望通過對這兩個漏洞和攻擊方法的介紹，能夠引起相關人員的重視，完善對資料庫安全的措施。

1、概要介紹

本文提供的方法是基於漏洞CVE-2012-1675和CVE-2012-3137對oracle資料庫的攻擊測試的方法。

CVE-2012-1675漏洞是Oracle允許攻擊者在不提供用戶名/密碼的'情況下，向遠程“TNS Listener”組件處理的數據投毒的漏洞。攻擊者可利用此漏洞將資料庫伺服器的合法“TNS Listener”組件中的數據轉向到攻擊者控制的系統，導致控制遠程組件的資料庫實例，造成組件和合法資料庫之間的中間人攻擊、會話劫持或拒絕服務攻擊。

CVE-2012-3137漏洞是Oracle Database 10g/11g身份驗證協議實現中存在一個設計缺陷，攻擊者無需認證即可遠程獲取資料庫用戶密碼哈希相關數據，從而可以離線暴力破解用戶密碼，進一步控制資料庫系統。

我們通過如下的步驟和過程可以實現對Oracle的入侵：

(1)利用CVE-2012-1675進行TNS劫持，在監聽下利用遠程注冊，注冊同名資料庫實例;

(2)新登陸的用戶，在TNS的負載均衡策略下，有可能流量登錄到偽造的監聽服務上;

(3)該監聽服務對用戶的登陸過程進行監控，並將相關數據流量轉發到真實的資料庫上;

(4)利用CVE-2012-3137獲得通訊過程中的認證相關信息;

(5)對認證相關信息進行離線的暴力破解，獲得登陸的密碼;

(6)試用破解的用戶名/密碼登陸Oracle，完成對Oracle中數據的訪問;

2、通過CVE-2012-1675進行TNS劫持

該漏洞存在於Oracle的所有版本，並且Oracle至今僅是發布了警告性通知，並未提供解決方案。

要想利用CVE-2012-1675漏洞做TNS劫持，首先需要了解TNS機制。如下圖所示oracle 通過在本地解析網路服務名到目標主機IP地址，服務埠號，目標資料庫名，把這些信息發送到oracle伺服器端監聽程序，最後再由監聽程序遞送DBMS。

其中關鍵點在於監聽會按照目標資料庫名遞送到名稱正確的資料庫。那麼如果一個監聽下有2個同名資料庫。監聽將自動按照負載均衡把這次訪問發送到負載低的資料庫上，進行連接訪問。資料庫注冊到監聽的方法就決定了，能否同時注冊同名資料庫在同一個監聽下。注冊方式分為本地注冊和遠程注冊，通過修改參數可以調整為遠程注冊。

下面是一段可用的TNS劫持的過程：

1.在劫持機上創建一個和目標資料庫實例同名的資料庫實例。

2.在劫持機上修改 tnsnames.ora 文件

添加

listener_name=

(DESCRIPTION=

(ADDRESS=(PROTOCOL=tcp)(HOST=目標機器IP)(PORT=目標機器埠)))

3.在劫持機上用sql*Plus 順序執行下面步驟。

1.$ sqlplus / as sysdba

2. SQL> ALTER SYSTEM SETREMOTE_LISTENER='LISTENER_NAME';

3. SQL> ALTER SYSTEM REGISTER;

4.多個客戶端，向資料庫發起登錄。會劫持到一部分客戶端的登錄信息。

最終達到效果如下圖所示：

按照猜想同一個監聽下有2個同名實例。客戶端訪問監聽，監聽按照客戶端中的資料庫名信息分配資料庫，由於監聽下有2個同名資料庫，客戶端鏈接很可能會被分配到劫持者的資料庫實例下，再通過配置劫持者的本地監聽把客戶端請求指回原資料庫。結構圖如下：

測試客戶端鏈接196次。目標資料庫實例獲得113次，劫持資料庫實例獲得83次基本滿足負載均衡的假設。(註上面實例是local server 下面實例是 remote server)

通過以上方式我們可以截獲約一半左右客戶端發送到伺服器的合法鏈接。其中獲得了伺服器IP、埠號、資料庫位置、實例名、登錄用戶名等一系列明文信息和4組密文信息(AUTH_SESSKEY，AUTH_SESSKEY_CLIENT，AUTH_PASSWORD，AUTH_VFR_DATA)。

3、通過CVE-2012-3137進行密碼破解

CVE-2012-3137受影響的資料庫版本有11.2.0.3，11.2.0.2，11.1.0.7,有使用了SHA-1加密演算法的10.2.0.5和10.2.0.4，還有使用了SHA-1的10.2.0.3(運行在z/OS下)版本。

雖然這個漏洞在11.2.0.3中已經解決，但是僅僅資料庫客戶端和伺服器都升級到11.2.0.3並且sqlnet.ora文件中增加SQLNET.ALLOWED_LOGON_VERSION=12才有效。

正如CVE-2012-3137所描述Oracle為了防止第三方通過網路獲取登錄信息包。而對密碼進行了加密處理。本部分只以oracle11.1密碼如何破解為例進行說明。

在發起連接之後(oracle牽手完成)，客戶端和伺服器經過協商確定要使用的驗證協議。要完成這個任務，客戶端首先向資料庫發送一個包。包中包含客戶端主要信息和所請求的加密方式。資料庫確認加密方式有效後，發送一個確認服務包如下圖所示：

在通過安全網路服務完成任何所要求的協議之後，資料庫用戶被O3logon(oracle驗證方式) 進行驗證，這個協議執行一個序列來向資料庫證明客戶端擁有密碼。為了避免網路第三方截獲到密碼。首先客戶端發送用戶名到資料庫來表明用戶身份。資料庫端根據加密協議，其中96位的作為資料庫端密鑰，20位的作為偏移量，它對每個連接都是不同的。一個典型的資料庫端發給客戶端的密鑰如下：

AUTH_SESSKEY.....COCDD89FIGODKWASDF……………………

客戶端根據加密演算法向伺服器端發送96位的客戶端密鑰和64位的密碼密鑰。伺服器端計算客戶端傳入的密碼密鑰。如果計算後密碼密文和資料庫中存儲的16位密碼密文一致則驗證通過。

根據這個過程可知上面TNS劫持包中取得的加密信息：AUTH_SESSKEY，AUTH_SESSKEY_CLIENT，AUTH_PASSWORD，AUTH_VFR_DATA這四個值是解密的關鍵。我們把他們按照SHA1,MD5，AES192進行一系列處理。最終通過數據字典碰撞得到密碼明文。

下面這段網上公布的一段示例代碼，這段代碼與筆者的思路不完全相同，但也能大概地說明這個漏洞的攻擊過程：

import hashlib

from Crypto.Cipher import AES

def decrypt(session,salt,password):

pass_hash= hashlib.sha1(password+salt)

key =pass_hash.digest() + 'x00x00x00x00'

decryptor= AES.new(key,AES.MODE_CBC)

plain =decryptor.decrypt(session)

returnplain

session_hex ='6EAAB5422553A7598143E78767'

salt_hex = 'A7193E546377EC56639E'

passwords = ['test','password',''oracle','demo']

for password in passwords:

session_id= decrypt(session_hex.decode('hex'),salt_hex.decode('hex'),password)

print'Decrypted session_id for password "%s" is %s' %(password,session_id.encode('hex'))

ifsession_id[40:] == 'x08x08x08x08x08x08x08x08':

print'PASSWORD IS "%s"' % password

break

4、建議的預防措施

根據以上兩段分析，我們可以有如下的預防措施：

(1)在條件許可的情況下，對Oracle進行補丁升級，對Oracle打cpuoct2012-1515893補丁;注意對於cpuoct2012-1515893補丁要求伺服器端和應用伺服器端同時升級，否則應用系統將無法訪問Oracle;

(2)若無法對Oracle升級，要購買或安裝具備虛擬補丁功能的資料庫安全產品，防止對CVE-2012-3137和CVE-2012-1675的利用;

(3)建立足夠強健的口令，不要使用8位以下密碼，或者字典庫中的口令。

;

3. 雲計算時代 對oracle資料庫DBA的影響,是否今後也不需要太多資料庫管理員

雲計算，理論上來說，資料庫也可以放在雲上，但是資料庫的管理還是需要有人來做的，
就是雲服務商可以幫你做一部分資料庫的備份工作，但是資料庫的調優，維護還是需要DBA來做，畢竟誰也不可能把自家數據讓別人去維護。
其次現在資料庫還是很少有放到公有雲上的，最多是放在企業的私有雲上，那麼DBA還是不會失業！

最後說一點現在雲計算一樣火的就會大數據，大數據時代最重要的是什麼--數據。
數據多了，必定需要更多的專業的人員來維護，來分析。

所有說對DBA來說，大數據和雲計算更多的是機遇而不是挑戰！

4. oracle11g和12c有什麼區別

一、功能不同

1、oracle11g：在DBA管理上有很多完善，大大提升了DBA對資料庫的管控能力，提供的很多自動特性，增強了調優，備份恢復，錯誤診斷等的功能。

2、oracle12c：實現雲資料庫的支持，提供雲平台管理，這是11所沒有的。

二、特點不同

1、oracle11g：合並和擴展oracle的功能以實現網格計算的優勢，將數據中心從分散的系統資源孤島轉換為包含伺服器和存儲的共享池。

2、oracle12c：racle12c增加了CDB和PDB的概念。CDB全稱為Container Database， 資料庫容器;PDB全稱為Pluggable Database，即可插拔資料庫。

三、優勢不同

1、oracle11g：合並和擴展oracle的功能以實現網格計算的優勢，將數據中心從分散的系統資源孤島轉換為包含伺服器和存儲的共享池。

2、oracle12c：實例與資料庫可以是一對多的關系。也就是說12c裡面會在CDB下創建多個PDB，每個PDB類似於11g裡面的實例，然後一個CDB下的各個PDB是相互隔離的。

5. 如何通過jdbc連接雲伺服器的oracle資料庫

先從安裝了Oracle的資料庫伺服器中，找到Oracle安裝目錄，然後將該目錄下的jdbc\lib\classes12.jar文件拷貝到WEB發布伺服器的某個目錄。假設就直接放在C:\根目錄下吧，然後把該路徑添加到系統--高級--環境變數中變數名為CLASSPATH?的值中，如：
D:\Program Files\SQLLIB\java\db2java.zip;D:\Program Files\SQLLIB\java\runtime.zip;c:classes12.jar; 也就是讓java能夠找到這個包。

1.注冊載入驅動：
驅動名：DRIVER="oracle.jdbc.driver.OracleDriver";
Class.forName("驅動類名");

2.獲得連接：
資料庫地址： URL="jdbc:oracle:thin:@127.0.0.1:1521:ORCL";
Connection conn = DriverManager.getConnection(資料庫地址,用戶名,密碼);
System.out.println("連接成功");

3.創建Statement對象：
Statement 類的主要是用於執行靜態 SQL 語句並返回它所生成結果的對象。通過Connection 對象的 createStatement()方法可以創建一個Statement對象。例如：Statement statament = connection.createStatement(); 具體示例創建Statement對象
Statement statamentMySQL =connectMySQL.createStatement();

6. 如何在雲存儲環境下部署oracle資料庫

oracle雲數據安裝完成後，雲端會分配給用戶一個IP地址，ip地址及資料庫信息如下圖所示

打開SecureFx，輸入上圖所示IP地址、用戶名（操作系統為Linux伺服器，請輸入授權賬戶即可）

信息填寫完整後、點擊連接，連接界面如下圖所示

FTP連接成功，選擇tomcat安裝文件，拖拽至授權賬戶指定可操作目錄（部分目錄非授權賬戶無法操作）

文件上傳完成後點擊連接至Securecrt終端模擬工具將tomcat轉移到指定目錄解壓後啟動tomcat,操作命令如下圖所示

6
在瀏覽器中輸入配置地址打開tomcat服務界面，支持tomcat已在oracle雲服務上部署完成

7. Oracle資料庫概述及特點

Oracle資料庫概述及特點

Oracle Database，又名Oracle RDBMS，或簡稱Oracle。是甲骨文公司的一款關系資料庫管理系統。到目前仍在資料庫市場上佔有主要份額。勞倫斯·埃里森和他的朋友，之前的同事Bob Miner和Ed Oates在1977年建立了軟體開發實驗室咨詢公司(SDL，Software Development Laboratories)。

ORACLE資料庫概論

ORACLE資料庫系統是美國ORACLE公司(甲骨文)提供的以分布式資料庫為核心的一組軟體產品，是目前最流行的客戶/伺服器(CLIENT/SERVER)或B/S體系結構的資料庫之一。比如SilverStream就是基於資料庫的`一種中間件。

ORACLE資料庫是目前世界上使用最為廣泛的資料庫管理系統，作為一個通用的資料庫系統，它具有完整的數據管理功能;作為一個關系資料庫，它是一個完備關系的產品;作為分布式資料庫它實現了分布式處理功能。但它的所有知識，只要在一種機型上學習了ORACLE知識，便能在各種類型的機器上使用它。

Oracle資料庫最新版本為Oracle Database 12c。Oracle資料庫12c 引入了一個新的多承租方架構，使用該架構可輕松部署和管理資料庫雲。此外，一些創新特性可最大限度地提高資源使用率和靈活性，如Oracle Multitenant可快速整合多個資料庫，而Automatic Data Optimization和Heat Map能以更高的密度壓縮數據和對數據分層。這些獨一無二的技術進步再加上在可用性、安全性和大數據支持方面的主要增強，使得Oracle資料庫12c 成為私有雲和公有雲部署的理想平台。

ORACLE資料庫特點

1、完整的數據管理功能：

1)數據的大量性

2)數據的保存的持久性

3)數據的共享性

4)數據的可靠性

2、完備關系的產品：

1)信息准則---關系型DBMS的所有信息都應在邏輯上用一種方法，即表中的值顯式地表示;

2)保證訪問的准則

3)視圖更新准則---只要形成視圖的表中的數據變化了，相應的視圖中的數據同時變化

4)數據物理性和邏輯性獨立准則

3、分布式處理功能：

ORACLE資料庫自第5版起就提供了分布式處理能力，到第7版就有比較完善的分布式資料庫功能了，一個ORACLE分布式資料庫由oraclerdbms、sql*Net、SQL*CONNECT和其他非ORACLE的關系型產品構成。

4、用ORACLE能輕松的實現數據倉庫的操作。

這是一個技術發展的趨勢，不在這里討論。

優點

■ 可用性強

■ 可擴展性強

■ 數據安全性強

■ 穩定性強

;