Diogo Fernandes

Escolhendo o DBID

Diogo Fernandes — Sun, 15 Feb 2026 20:16:03 GMT

Alguns ERP’s têm o seu licenciamento vinculado ao DBID do banco Oracle, até aí tudo bem, até o dia em que o banco precisa ser migrado. Se for via Data Guard, tranquilo, mas há meios de upgrade, por exemplo, que podem mudar o DBID, e depois da migração isso vira um “problema”, principalmente em ERP’s que têm dezenas de arquivos com esse número de DBID para vincular o licenciamento, então é melhor trocar o DBID. Não vou entrar no mérito se é certo ou não, mas às vezes é o que temos que fazer.

Recordo-me de que a primeira vez que vi esse procedimento foi há 12 anos no blog oraclehome.com.br, inclusive, se você está iniciando a carreira no Oracle, sugiro ler todos os artigos que têm lá. E nesse mesmo artigo fui encaminhado para um artigo da Pythian em 2009, ou seja, não espere encontrar uma nota aqui, isso aqui é literalmente pergaminho do Oracle rs.

Não faça isso em produção sem validar 500 vezes na sua base de homologação/testes.

Avisos dados, vamos lá.

Primeiro, você tem que colocar a sua base em estado MOUNT.

Connected to:
Oracle Database 23ai Free Release 23.0.0.0.0 - Develop, Learn, and Run for Free
Version 23.5.0.24.07

SQL> show pdbs

    CON_ID CON_NAME                       OPEN MODE  RESTRICTED
---------- ------------------------------ ---------- ----------
         2 PDB$SEED                       READ ONLY  NO
         3 FREEPDB1                       READ WRITE NO
SQL> select dbid from v$database ; 

      DBID
----------
1452480138

SQL> shut immediate ; 
Database closed.
Database dismounted.
ORACLE instance shut down.

O shutdown tem que ser immediate, não rode esse procedimento com shutdown abort.

Como podemos ver, o DBID até o momento é 1452480138.

Agora vamos iniciar o banco em MOUNT.

SQL> startup mount ; 
ORACLE instance started.

Total System Global Area 1603726640 bytes
Fixed Size                  5360944 bytes
Variable Size             436207616 bytes
Database Buffers         1157627904 bytes
Redo Buffers                4530176 bytes
Database mounted.
SQL> 
SQL> 
SQL> show pdbs

    CON_ID CON_NAME                       OPEN MODE  RESTRICTED
---------- ------------------------------ ---------- ----------
         2 PDB$SEED                       MOUNTED
         3 FREEPDB1                       MOUNTED

Pronto, startup feito em mount. Agora vamos para mágica.

O script abaixo que devemos executar:

set serveroutput on

declare
  v_chgdbid   binary_integer;
  v_chgdbname binary_integer;
  v_skipped   binary_integer;
  v_new_db_name varchar2(9);
  v_old_db_name varchar2(9);
  v_new_dbid    number;
  v_old_dbid    number;
  w_action      varchar2(255);


begin
     w_action:='Recuperando DBID Atual.' ;
     select dbid, name, name into v_old_dbid, v_new_db_name, v_old_db_name  from v$database;
     select TO_NUMBER('&NOVO_DBID') into v_new_dbid from dual;

     w_action:='Executando a Procedure (dbms_backup_restore.nidbegin).';
     dbms_output.put_line('New NAME='||V_NEW_DB_NAME);
     dbms_output.put_line('Old NAME='||V_OLD_DB_NAME);
     dbms_output.put_line('New DBID='||V_NEW_DBID);
     dbms_output.put_line('Old DBID='||V_OLD_DBID);

     dbms_backup_restore.nidbegin(V_NEW_DB_NAME,V_OLD_DB_NAME,V_NEW_DBID,V_OLD_DBID,0,0,10);

     w_action:='Executando a Procedure (dbms_backup_restore.nidprocesscf).';
     dbms_backup_restore.nidprocesscf( v_chgdbid,v_chgdbname);

     dbms_output.put_line('ControlFile.......: ');
     dbms_output.put_line('  => Change Name..: '  ||to_char(v_chgdbname));
     dbms_output.put_line('  => Change DBID..: '  ||to_char(v_chgdbid));

     w_action := 'Alterando os Datafiles, procedure (dbms_backup_restore.nidprocessdf).';
     for i in (select file#,name from v$datafile)
     loop
        dbms_output.put_line('DataFile..........: '  ||i.name);
        dbms_output.put_line('  => Skipped......: '  ||to_char(v_skipped));
        dbms_output.put_line('  => Change Name..: '  ||to_char(v_chgdbname));
        dbms_output.put_line('  => Change DBID..: '  ||to_char(v_chgdbid));
        dbms_backup_restore.nidprocessdf(i.file#,0, v_skipped,v_chgdbid,v_chgdbname);
     end loop;

     w_action := 'Alterando os Tempfiles, procedure (dbms_backup_restore.nidprocessdf).';
     for i in (select file#,name from v$tempfile)
     loop
        dbms_output.put_line('TempFile..........: '  ||i.name);
        dbms_output.put_line('  => Skipped......: '  ||to_char(v_skipped));
        dbms_output.put_line('  => Change Name..: '  ||to_char(v_chgdbname));
        dbms_output.put_line('  => Change DBID..: '  ||to_char(v_chgdbid));
        dbms_backup_restore.nidprocessdf(i.file#,1,v_skipped,v_chgdbid,v_chgdbname);
     end loop;
  dbms_backup_restore.nidend;
end;
/

Ao executar, ele vai pedir para digitar o DBID que você quer setar:

Terminal rodando o script:

SQL> set serveroutput on

declare
  v_chgdbid   binary_integer;
  v_chgdbname binary_integer;
  v_skipped   binary_integer;
  v_new_db_name varchar2(9);
  v_old_db_name varchar2(9);
  v_new_dbid    number;
  v_old_dbid    number;
  w_action      varchar2(255);


begin
     w_action:='Recuperando DBID Atual.' ;
     select dbid, name, name into v_old_dbid, v_new_db_name, v_old_db_name  from v$database;
     select TO_NUMBER('&NOVO_DBID') into v_new_dbid from dual;

     w_action:='Executando a Procedure (dbms_backup_restore.nidbegin).';
     dbms_output.put_line('New NAME='||V_NEW_DB_NAME);
     dbms_output.put_line('Old NAME='||V_OLD_DB_NAME);
     dbms_output.put_line('New DBID='||V_NEW_DBID);
     dbms_output.put_line('Old DBID='||V_OLD_DBID);

     dbms_backup_restore.nidbegin(V_NEW_DB_NAME,V_OLD_DB_NAME,V_NEW_DBID,V_OLD_DBID,0,0,10);

     w_action:='Executando a Procedure (dbms_backup_restore.nidprocesscf).';
     dbms_backup_restore.nidprocesscf( v_chgdbid,v_chgdbname);

     dbms_output.put_line('ControlFile.......: ');
     dbms_output.put_line('  => Change Name..: '  ||to_char(v_chgdbname));
     dbms_output.put_line('  => Change DBID..: '  ||to_char(v_chgdbid));

     w_action := 'Alterando os Datafiles, procedure (dbms_backup_restore.nidprocessdf).';
     for i in (select file#,name from v$datafile)
     loop
        dbms_output.put_line('DataFile..........: '  ||i.name);
        dbms_output.put_line('  => Skipped......: '  ||to_char(v_skipped));
        dbms_output.put_line('  => Change Name..: '  ||to_char(v_chgdbname));
        dbms_output.put_line('  => Change DBID..: '  ||to_char(v_chgdbid));
        dbms_backup_restore.nidprocessdf(i.file#,0, v_skipped,v_chgdbid,v_chgdbname);
     end loop;

     w_action := 'Alterando os Tempfiles, procedure (dbms_backup_restore.nidprocessdf).';
     for i in (select file#,name from v$tempfile)
     loop
        dbms_output.put_line('TempFile..........: '  ||i.name);
        dbms_output.put_line('  => Skipped......: '  ||to_char(v_skipped));
        dbms_output.put_line('  => Change Name..: '  ||to_char(v_chgdbname));
        dbms_output.put_line('  => Change DBID..: '  ||to_char(v_chgdbid));
        dbms_backup_restore.nidprocessdf(i.file#,1,v_skipped,v_chgdbid,v_chgdbname);
     end loop;
  dbms_backup_restore.nidend;
end;
/SQL> SQL>   2    3    4    5    6    7    8    9   10   11   12   13   14   15   16   17   18   19   20   21   22   23   24   25   26   27   28   29   30   31   32   33   34   35   36   37   38   39   40   41   42   43   44   45   46   47   48   49   50   51   52   53  
Enter value for novo_dbid: 777777
old  15:      select TO_NUMBER('&NOVO_DBID') into v_new_dbid from dual;
new  15:      select TO_NUMBER('777777') into v_new_dbid from dual;
New NAME=FREE
Old NAME=FREE
New DBID=777777
Old DBID=1452480138
ControlFile.......:
=> Change Name..: 0
=> Change DBID..: 1
DataFile..........: /opt/oracle/oradata/FREE/system01.dbf
=> Skipped......:
=> Change Name..: 0
=> Change DBID..: 1
DataFile..........: /opt/oracle/oradata/FREE/pdbseed/system01.dbf
=> Skipped......: 0
=> Change Name..: 0
=> Change DBID..: 1
DataFile..........: /opt/oracle/oradata/FREE/sysaux01.dbf
=> Skipped......: 0
=> Change Name..: 0
=> Change DBID..: 1
DataFile..........: /opt/oracle/oradata/FREE/pdbseed/sysaux01.dbf
=> Skipped......: 0
=> Change Name..: 0
=> Change DBID..: 1
DataFile..........: /opt/oracle/oradata/FREE/users01.dbf
=> Skipped......: 0
=> Change Name..: 0
=> Change DBID..: 1
DataFile..........: /opt/oracle/oradata/FREE/pdbseed/undotbs01.dbf
=> Skipped......: 0
=> Change Name..: 0
=> Change DBID..: 1
DataFile..........: /opt/oracle/oradata/FREE/undotbs01.dbf
=> Skipped......: 0
=> Change Name..: 0
=> Change DBID..: 1
DataFile..........: /opt/oracle/oradata/FREE/FREEPDB1/system01.dbf
=> Skipped......: 0
=> Change Name..: 0
=> Change DBID..: 1
DataFile..........: /opt/oracle/oradata/FREE/FREEPDB1/sysaux01.dbf
=> Skipped......: 0
=> Change Name..: 0
=> Change DBID..: 1
DataFile..........: /opt/oracle/oradata/FREE/FREEPDB1/undotbs01.dbf
=> Skipped......: 0
=> Change Name..: 0
=> Change DBID..: 1
DataFile..........: /opt/oracle/oradata/FREE/FREEPDB1/users01.dbf
=> Skipped......: 0
=> Change Name..: 0
=> Change DBID..: 1
TempFile..........: /opt/oracle/oradata/FREE/temp01.dbf
=> Skipped......: 0
=> Change Name..: 0
=> Change DBID..: 1
TempFile..........: /opt/oracle/oradata/FREE/pdbseed/temp01.dbf
=> Skipped......: 0
=> Change Name..: 0
=> Change DBID..: 1
TempFile..........: /opt/oracle/oradata/FREE/FREEPDB1/temp01.dbf
=> Skipped......: 0
=> Change Name..: 0
=> Change DBID..: 1

PL/SQL procedure successfully completed.

Após concluir, abra o banco com OPEN RESETLOGS.

SQL> alter database open resetlogs ; 

Database altered.

Status do banco:

SQL> alter database open resetlogs ; 

Database altered.

SQL> show pdbs

    CON_ID CON_NAME                       OPEN MODE  RESTRICTED
---------- ------------------------------ ---------- ----------
         2 PDB$SEED                       READ ONLY  NO
         3 FREEPDB1                       READ WRITE NO
SQL> select dbid from v$database ; 

      DBID
----------
    777777

Pronto, agora o banco esta com o DBID de sua escolha.

Espero que este artigo possa te ajudar em migrações futuras. Qualquer coisa, só chamar no linkedin 🙂

PS: Em caso de DB produção, faça backup full imediatamente após a alteração.

Créditos:

Artigo no oraclehome.com.br escrito por Anderson Graf. (2014)

Artigo da Pythian (2009)

Processo ASR consumindo 600% de CPU no ODA.

Diogo Fernandes — Mon, 22 Dec 2025 19:16:21 GMT

Esses dias, recebi um alerta no meu celular de um ODA de um cliente informando que o “load” estava mais alto do que o normal e, em seguida, outro alerta de “alta utilização de CPU”.

Meu primeiro pensamento foi: é algo no banco. Porém, ao abrir o oratop, não vi nada além do normal. Então, fui para o Linux e, ao executar o comando top, me deparei com a seguinte situação:

Peguei o pid e foi ver de que processo se tratava…

root      4023     1  0 Aug20 ?        1-04:30:36 /opt/oracle/dcs/java/1.8.0_261/bin/java -Xms512m -Xmx1536m -Dlog4j.configurationFile=/opt/asrmanager/configuration/log4j2.xml -Dasr.log.level=info -Dasr.log.filecount=5 -Dauditlog.days=30 -cp /opt/asrmanager/felix-framework/bin/felix.jar org.apache.felix.main.Main /opt/asrmanager/bundle-cache/ -b /opt/asrmanager/lib/asrstart

Ali! ASR Manager…

Para quem não sabe, o ASR Manager abre chamados automaticamente com a Oracle em caso de alguma falha de hardware e também notifica o e-mail do administrador sobre a falha.

Este é um problema antigo no ODA: esse processo causa alta utilização de CPU, mas, na verdade, isso é um efeito colateral de outros problemas. No início, eu achava que era alguma falha da Oracle no momento de configurar o ASR, e até pode ser, mas, em 90% das vezes, isso é apenas um sintoma de outra coisa, e podem ser duas situações.

1 - O seu ODA não está conseguindo sair para os endereços da Oracle para onde as informações são enviadas. O endereço é transport.oracle.com, e existem algumas portas que precisam ser liberadas, conforme o link abaixo recomenda.

Doc ASR

2 - A outra possibilidade é o cliente estar sem suporte, e o ASR ficar tentando o tempo todo fazer a comunicação com a Oracle, mas, como está sem suporte, o handshake não é concluído com sucesso.

Felizmente, após alguns testes, descobri que o problema do cliente era que haviam bloqueado a saída para o endereço transport.oracle.com vinda do ODA. Então, nesse caso, eu matei o PID e reiniciei os serviços do ASR após a liberação do endereço/portas no firewall, e tudo deu certo.

kill -9 4023
cd /opt/asrmanager/bin
./asr restart
ASR Manager is stopped.
ASR Manager (pid 37354) is RUNNING.

Mas e se o seu caso for o 2?

O caso 2 é mais comum do que imaginamos, pois estamos falando de um hardware que foi modernizado com NVMe ali por volta de 2016/2017 e que até hoje continua em funcionamento. Em cerca de 80% dos casos, não houve um único aviso de falha de hardware. Com o passar do tempo, e devido à idade do equipamento, os clientes foram renovando seus parques e realocando esses appliances para bases de teste, ambientes de DR, BI para leitura, etc. (Sabemos como funciona na vida real…).

E, se o seu caso for esse, temos uma única opção: deletar a configuração.

odacli delete-asr

Pronto, assim você encerra o processo do ASR e não terá mais aquele problema de ele entrar em loop e tentar se conectar com a Oracle o tempo todo. (Só faça isso se seu oda não tiver mais suporte!!!)

Espero ter ajudado e qualquer coisa só me chamar no linkedin :)

Como resolver o erro bash: fork: retry: Resource temporarily unavailable durante o I O Calibrate

Diogo Fernandes — Wed, 29 Oct 2025 17:17:45 GMT

Durante a execução do I/O Calibrate no Oracle 19.25 com Oracle Enterprise Linux 9 (OEL9), obtive a seguinte mensagem após o procedimento ter sido executado por 12 minutos.

SET SERVEROUTPUT ON
DECLARE
lat  INTEGER;
iops INTEGER;
mbps INTEGER;
BEGIN
DBMS_RESOURCE_MANAGER.CALIBRATE_IO (1, 10, iops, mbps, lat);
DBMS_OUTPUT.PUT_LINE ('max_iops = ' || iops);
DBMS_OUTPUT.PUT_LINE ('latency  = ' || lat);
DBMS_OUTPUT.PUT_LINE ('max_mbps = ' || mbps);
END;
/

Após aproximadamente 12 minutos, o erro abaixo passou a aparecer em qualquer comando executado no bash do Linux.

-bash: fork: retry: Resource temporarily unavailable
-bash: fork: retry: Resource temporarily unavailable
-bash: fork: retry: Resource temporarily unavailable
-bash: fork: retry: Resource temporarily unavailable

Inicialmente, considerei a hipótese de que a quantidade de processos tivesse excedido os limites configurados, porém, ao executar o comando:

[oracle@node1 limits.d]$ ps -ef | grep oracle | wc -l 
2413

Ok, em processos Oracle so tenho 2413 ativos, porque esta acontecendo isso…????

Mas outra coisa me chamou atenção no vmstat durante a execução/problema.

root@node1 ~]# vmstat 1 
procs -----------memory---------- ---swap-- -----io---- -system-- ------cpu-----
 r  b   swpd   free   buff  cache   si   so    bi    bo   in   cs us sy id wa st
 1 16449      0 418050816 226100 6115824    0    0  5457    16   58   56  1  1 60 37  0
 6 16446      0 418047904 226108 6116228    0    0 344089    89 132928 425784  3  2  0 95  0
 3 16454      0 418043136 226108 6116152    0    0 346177   634 119197 404523  2  2  0 95  0
 2 16455      0 418041888 226116 6116144    0    0 347153   236 82672 351030  0  2  0 98  0
 0 16442      0 418049952 226116 6116172    0    0 347193     2 82877 350616  0  2  0 98  0
 0 1293      0 418054656 226116 6116176    0    0 113793    13 64679 255913  0  2  0 98  0
 7 16440      0 417885696 226124 6116204    0    0 483856   622 149115 526313 11  4  2 83  0
 5 16443      0 417884416 226124 6116204    0    0 351673   633 140787 529131  6  3  0 91  0
 9 16441      0 417879456 226132 6116248    0    0 353833   322 141966 534006  6  3  0 91  0
 6 16448      0 417879200 226132 6116260    0    0 355265     2 142702 534330  6  3  0 90  0
 1 16451      0 417878208 226132 6116264    0    0 364186     2 147385 547224  7  3  0 90  0

Na saída do comando vmstat, o campo b, localizado sob a seção procs, representa o número de processos ou threads bloqueados que estão aguardando a conclusão de operações de I/O. No caso em análise, esse comportamento foi observado durante a execução do I/O Calibrate do Oracle, que realiza testes intensivos de leitura e escrita no storage para medir desempenho.

Em determinado momento, o valor do campo b atingiu 16.451 threads bloqueadas, indicando que milhares de threads do Oracle estavam simultaneamente em espera por I/O. Após ultrapassar a marca de 16.000, o ambiente começou a apresentar falhas, evidenciando um possível gargalo no subsistema de I/O. Depois de uma análise detalhada, identifiquei a causa raiz do problema…

 cat /etc/security/limits.d/oracle-database-preinstall-19c.conf

# oracle-database-preinstall-19c setting for nproc soft limit is 16384
oracle   soft   nproc    16384

# oracle-database-preinstall-19c setting for nproc hard limit is 16384
oracle   hard   nproc    16384

Pronto, aí estava o problema. No arquivo oracle-database-preinstall-19c.conf, o valor padrão é 16384, e durante o processo foram alocados 16451, ocasionando o erro de “fork”.

Diante disso, alterei os limites soft e hard para 32384, e o problema não voltou a ocorrer durante a execução do I/O Calibrate.

# refer orabug15971421 for more info.
oracle   soft   nproc    32384

# oracle-database-preinstall-19c setting for nproc hard limit is 16384
oracle   hard   nproc    32384

Pra garantir a aplicação eu reiniciei os hosts em modo rolling, apois o incremento dos valores o erro -bash: fork: retry: Resource temporarily unavailable nao ocorreu mais.

É isso pessoal, qualquer coisa só me chamar no LinkedIn 🙂

Erro ao criar volume ACFS no Oracle linux 9.5

Diogo Fernandes — Tue, 21 Oct 2025 18:39:41 GMT

Durante a configuração de um ACFS (Oracle ASM Cluster File System) em um ambiente com Oracle Linux 9.5 com grid 19c, me deparei com um erro ao tentar formatar o volume ASM. O comando executado foi:

/sbin/mkfs -t acfs /dev/asm/volume-157

E o erro retornado foi o seguinte:

mkfs.acfs: CLSU-00107: operating system function: read; failed with error data: 5; at location: ORF_0
mkfs.acfs: CLSU-00101: operating system error message: Input/output error
mkfs.acfs: ACFS-00526: read of volume disk header failed
mkfs.acfs: ACFS-01004: /dev/asm/volume-157 was not formatted.

Esse erro impedia a criação do sistema de arquivos e, inicialmente, parecia estar relacionado a permissões ou configuração incorreta do ASM. No entanto, após uma análise mais detalhada, identifiquei que se tratava de um bug conhecido documentado pela Oracle na nota ACFS Incompatibility With OEL8/9 UEK7 Kernel And ASMlib v3 (Doc ID 3076268.1).

E qual era a causa disso?

O problema está relacionado a uma incompatibilidade entre o kernel UEK7 (usado nas versões mais recentes do Oracle Linux 8 e 9) e o driver ASMlib v3.

Essa incompatibilidade afeta diretamente o processo de leitura do cabeçalho do volume durante o mkfs.acfs.

De acordo com a nota 3076268.1, as versões afetadas do Oracle Database RU (DBRU) incluem:

19.23.0.0.0 DBRU
19.24.0.0.0 DBRU
19.25.0.0.0 DBRU
19.26.0.0.0 DBRU
19.27.0.0.0 DBRU

Ou seja, todas essas versões exigem a aplicação do patch para garantir compatibilidade plena do ACFS com o kernel mais recente do Oracle Linux.

Solução

A Oracle disponibilizou um patch corretivo (Patch 37405185) que resolve a incompatibilidade entre o ACFS, o kernel UEK7 e o ASMlib v3.

Antes da aplicação, é altamente recomendado realizar uma análise com o OPatchAuto:

$ORACLE_HOME/OPatch/opatchauto apply /tmp/37405185/  -oh /u01/app/19.0.0/grid -analyze
$ORACLE_HOME/OPatch/opatchauto apply /tmp/37405185/  -oh /u01/app/19.0.0/db -analyze

Se não houver conflitos, prossiga com a aplicação do patch. (Faça a análise para o grid_home e db_home.)

Em caso de RAC apliquem em todos os nós….

Aplicação do patch no Grid Infrastructure

[root@node1 tmp]# $ORACLE_HOME/OPatch/opatchauto apply /tmp/37405185/ -oh /u01/app/19.0.0/grid

Aplicação do patch no Oracle Database Home

[root@node1 tmp]# $ORACLE_HOME/OPatch/opatchauto apply /tmp/37405185/ -oh /u01/app/19.0.0/db

Apos a aplicação dos patches, a criação e montagem do ACFS foram concluídas normalmente no Oracle Linux 9.5, comprovando que o bug foi resolvido com a aplicação do patch 37405185.

/dev/asm/volume-157   30G  559M   30G   2% /VOLUME

Conclusão

Esse caso reforça a importância de consultar a base de conhecimento da Oracle (MOS) sempre que um erro aparentemente genérico ocorre, principalmente em ambientes novos ou atualizados (como Oracle Linux 9.5 com UEK7).

Após aplicar o patch 37405185, o ACFS voltou a funcionar normalmente em ambiente Oracle 19.25.0.0.0 DBRU + Oracle Linux 9.5 (UEK7).

É isso pessoal, qualquer coisa só me chamar no LinkedIn 🙂

Hot Backup de Máquinas Virtuais no ODA com KVM

Diogo Fernandes — Fri, 12 Sep 2025 13:00:53 GMT

(Safe Harbor) Antes de iniciarmos, informo que este procedimento não está documentado em nenhuma nota oficial da Oracle (MOS), embora eu mencione algumas referências ao longo do texto. Cheguei a este procedimento após conversar com vários profissionais de KVM e após extensa leitura em fóruns; ele foi testado diversas vezes antes da publicação deste artigo. Ainda assim, recomendo cautela: valide primeiro em ambiente de testes/homologação e só então aplique no ambiente de produção, após testes exaustivos. Já que o Safe Harbor foi pronunciado, bora colocar a mão na massa!!!

Hoje trago para vocês uma forma diferente de realizar backups no Oracle Database Appliance (ODA). Este artigo será dividido em duas partes: uma destinada às VMs Linux e outra às VMs Windows.

Normalmente, as notas de backup sugerem duas abordagens:

Parar a máquina e copiar os discos.
Congelar a maquina, criar um snapshot do volume ACFS e copiar os arquivos para outro disco, conforme descrito na nota 2779329.1.

A primeira opção é, sem dúvida, a mais rápida e segura. Sempre que possível, escolha essa abordagem. Porém, na prática, raramente temos a chance de parar a máquina, e quase sempre precisamos realizar o backup das VMs em modo hot (a quente).

De acordo com a nota 2779329.1, para esse cenário é necessário criar snapshots do ACFS, e mesmo assim os discos são colocados em modo “Freeze". E aí surgem dois problemas:

• Discos em locais diferentes: no ODA, caso exista um segundo disco anexado à VM, ele é armazenado em uma área distinta do disco de boot. Isso significa que será necessário criar dois snapshots em momentos diferentes, gerando inconsistências de data e hora, o que pode se tornar uma verdadeira dor de cabeça.

• Gestão dos snapshots: após o backup, é preciso excluir os snapshots do ACFS. Essa atividade, além de repetitiva, aumenta bastante a carga de trabalho administrativo.

E, ao realizar os backups pelas formas mencionadas acima, em determinado momento me surgiu a seguinte pergunta:

Existe alguma forma de os utilitários do KVM realizarem o backup em vez de depender apenas de procedimentos via storage?

Uma vez que a pergunta ficou ‘instalada’ na minha cabeça, comecei a conversar com alguns mestres em KVM e encontrei a seguinte solução.

virsh snapshot-create-as --domain linux_vm --name FILE_STAGE_BACKUP.TEMP --disk-only --atomic --quiesce

Mas calma, não vá executando o comando logo de cara (rs). Ainda temos um longo caminho de explicação e é preciso cautela quanto ao comando que será utilizado.

Agora vamos começar a analisar as estruturas da VM no KVM/ODA. Os comandos apresentados aqui podem ser executados tanto em um ODA quanto em um ambiente de KVM Server.

O primeiro passo é compreender quantos discos a VM possui. Para verificar isso, vamos executar o seguinte comando:

root@kvm-001:/kvm# virsh domblklist linux_vm
 Target   Source
---------------------------------
 vda      /kvm/linux_boot
 vdb      /kvm/disco_secundario

Como podemos ver, temos 2 discos: o disco de boot e o disco secundário. Neste caso, o ambiente que estou utilizando é um KVM Server, mas a mesma regra se aplica ao ODA.

A outra verificação necessária é confirmar se o KVM guest agent está instalado na máquina virtual. Para isso, utilizamos o seguinte comando:

[root@guestvm ~]# rpm -qa | grep guest
qemu-guest-agent-9.0.0-10.el9_5.x86_64

Agora que já verificamos as informações sobre a quantidade de discos e a presença do guest agent, vamos de fato falar sobre o hot-backup.

Chegou o momento de executar o comando para iniciarmos o backup a quente. Esse comando, na prática, faz com que o próprio KVM crie o snapshot dos discos — e não o ACFS. Dessa forma, a máquina continuará online e todas as operações passarão a ser gravadas em um novo arquivo.

root@kvm-001:/kvm# virsh snapshot-create-as --domain linux_vm --name FILE_STAGE_BACKUP.TEMP --disk-only --atomic --quiesce
Domain snapshot FILE_STAGE_BACKUP.TEMP created

Como dito anteriormente, esse comando colocará todos os discos em modo snapshot, criando novos apontamentos para eles. Assim, o disco boot_linux será transformado em boot_linux.FILE_STAGE_BACKUP.TEMP e o disco_secundario em disco_secundario.FILE_STAGE_BACKUP.TEMP, como demonstrado na saída abaixo:

root@kvm-001:/kvm# virsh snapshot-create-as --domain linux_vm --name FILE_STAGE_BACKUP.TEMP --disk-only --atomic --quiesce
Domain snapshot FILE_STAGE_BACKUP.TEMP created
root@kvm-001:/kvm# ls -lrt
total 6488960
drwxr-xr-x 2 root         root       4096 Sep 10 13:54 outras_maquinas
-rw------- 1 libvirt-qemu kvm    35651584 Sep 10 19:07 disco_secundario
-rw------- 1 libvirt-qemu kvm  6605111296 Sep 10 19:07 linux_boot
-rw------- 1 libvirt-qemu kvm     1835008 Sep 10 19:10 linux_boot.FILE_STAGE_BACKUP.TEMP
-rw------- 1 libvirt-qemu kvm     2031616 Sep 10 19:10 disco_secundario.FILE_STAGE_BACKUP.TEMP

Dessa forma, as escritas passam a ser direcionadas para um novo ponto, encerrando as operações no linux_boot e iniciando em linux_boot.FILE_STAGE_BACKUP.TEMP e disco_secundario.FILE_STAGE_BACKUP.TEMP.

A partir desse momento, podemos copiar o disco para o diretório de nossa preferência.

root@kvm-001:/kvm# scp linux_boot disco_secundario root@serverbackup:/backup

Agora vamos resumir o que aconteceu:

Primeiro, criamos um snapshot online da VM, forçando-a a escrever tudo em novos arquivos, com o sufixo .FILE_STAGE_BACKUP.TEMP.

Ao executar o comando de backup, os arquivos da VM (linux_boot e disco_secundario) ficaram em um ponto consistente, permitindo que fossem copiados de forma segura para outro local.
Por fim, copiamos os arquivos para outro servidor.

Pronto! Até aqui realizamos o backup, mas agora precisamos executar alguns passos para que as escritas voltem a ser direcionadas inteiramente para o disco linux_boot, e não mais para o linux_boot.FILE_STAGE_BACKUP.TEMP.

Como criamos o snap, vamos agora verificar e deletar apenas os metadados do mesmo.

root@kvm-001:/kvm# virsh snapshot-list linux_vm
 Name                     Creation Time               State
---------------------------------------------------------------------
 FILE_STAGE_BACKUP.TEMP   2025-09-10 19:07:30 -0300   disk-snapshot

Caminho atual de onde o VM estava escrevendo:

root@kvm-001:/kvm# virsh domblklist linux_vm
 Target   Source
--------------------------------------------------------
 vda      /kvm/linux_boot.FILE_STAGE_BACKUP.TEMP
 vdb      /kvm/disco_secundario.FILE_STAGE_BACKUP.TEMP

Agora chegamos a um ponto importante: neste momento vamos deletar apenas os METADADOS do snapshot, de forma que os arquivos ainda permanecerão no local.(sempre verifique e o sintaxe --metadata esta no final do comando)

root@kvm-001:/kvm# virsh snapshot-delete --domain linux_vm FILE_STAGE_BACKUP.TEMP --metadata
Domain snapshot FILE_STAGE_BACKUP.TEMP deleted

Podemos ver agora que não existe mais snapshot:

root@kvm-001:/kvm# virsh snapshot-list linux_vm
 Name   Creation Time   State
-------------------------------

Podemos observar que a máquina ainda continua apontando para os discos do snapshot, mesmo após a exclusão:

root@kvm-001:/kvm# virsh domblklist linux_vm
 Target   Source
--------------------------------------------------------
 vda      /kvm/linux_boot.FILE_STAGE_BACKUP.TEMP
 vdb      /kvm/disco_secundario.FILE_STAGE_BACKUP.TEMP

Nesse momento a VM esta nessa situação:

Agora temos um impasse: o metadata do snapshot foi deletado, mas a máquina ainda está apontando para o arquivo gerado. Como fazer para voltar ao disco original sem perder as transações que ocorreram nesse período?

Para resolver isso, precisamos realizar um merge dos discos. No nosso caso, a VM possui dois discos: vda e vdb.

Nesse momento, precisamos realizar o merge do disco /kvm/linux_boot.FILE_STAGE_BACKUP.TEMP para o disco /kvm/linux_boot, e do disco /kvm/disco_secundario.FILE_STAGE_BACKUP.TEMP para /kvm/disco_secundario.

O merge deve ser feito disco por disco. No nosso caso, a VM possui 2 discos, mas se a sua VM tiver 5 discos, será necessário executar o merge em cada um deles. Como aqui são apenas 2 discos, vamos ao comando:

Primeiro do VDA:

root@kvm-001:/kvm# virsh blockcommit linux_vm vda --active --verbose --pivot
Block commit: [100.00 %]
Successfully pivoted

Depois do VDB:

root@kvm-001:/kvm# virsh blockcommit linux_vm vdb --active --verbose --pivot
Block commit: [100.00 %]
Successfully pivoted

Pronto, agora vamos ver onde o KVM esta escrevendo as operações das VMs:

root@kvm-001:/kvm# virsh domblklist linux_vm
 Target   Source
---------------------------------
 vda      /kvm/linux_boot
 vdb      /kvm/disco_secundario

Pronto, ao executar os comando de merge, ele sai dessa situação:

E retorna para essa situação:

Podemos ver agora, que as escritas de fatos voltaram para os arquivos “originais”:

Mas, como podemos observar, os arquivos do snapshot ainda continuam no diretório. Nesse caso, por segurança, recomendo movê-los para um diretório temporário e, após algum tempo de validação, deletá-los.

root@kvm-001:/kvm# ls -lrt
total 7177096
drwxr-xr-x 2 root         root       4096 Sep 10 13:54 outras_maquinas
-rw------- 1 libvirt-qemu kvm   575406080 Sep 11 11:16 linux_boot.FILE_STAGE_BACKUP.TEMP
-rw------- 1 libvirt-qemu kvm    68747264 Sep 11 11:16 disco_secundario.FILE_STAGE_BACKUP.TEMP
-rw------- 1 libvirt-qemu kvm  6631194624 Sep 11 11:22 linux_boot
-rw------- 1 libvirt-qemu kvm    73924608 Sep 11 11:22 disco_secundario
root@kvm-001:/kvm# mkdir retencao
root@kvm-001:/kvm# mv linux_boot.FILE_STAGE_BACKUP.TEMP retencao/
root@kvm-001:/kvm# mv disco_secundario.FILE_STAGE_BACKUP.TEMP retencao/
root@kvm-001:/kvm# ls -lrt
total 6548156
drwxr-xr-x 2 root         root       4096 Sep 10 13:54 outras_maquinas
drwxr-xr-x 2 root         root       4096 Sep 11 11:25 retencao
-rw------- 1 libvirt-qemu kvm  6631194624 Sep 11 11:25 linux_boot
-rw------- 1 libvirt-qemu kvm    73924608 Sep 11 11:25 disco_secundario

Pronto, pessoal! Neste artigo descrevi os procedimentos para realizar o backup online de uma VM Linux. No próximo artigo, irei abordar o backup online de máquinas Windows.

Problemas conhecidos:

Existe um bug na estrutura do KVM (em guest VMs Linux). Ao criar um snapshot em máquinas que possuem mais de um disco, pode ocorrer o seguinte erro:

root@kvm-001:/kvm# virsh snapshot-create-as --domain linux_vm --name FILE_STAGE_BACKUP.TEMP --disk-only --atomic --quiesce
error: internal error: unable to execute QEMU agent command 'guest-fsfreeze-freeze': failed to open /disco_secundario: Permission denied

Esse erro pode ser contornado conforme a nota Doc ID 3087488.1 com seguinte comando (Comando dentro das guest VMs Linux):

[root@guestvm ~]# setsebool -P virt_qemu_ga_read_nonsecurity_files 1
[root@guestvm ~]# sestatus -b |grep qemu

OLVM: internal error: unable to execute QEMU agent command 'guest-fsfreeze-freeze': failed to open /: Permission denied (Doc ID 3087488.1)

Após a implementação da solução descrita na nota, o comando para criar o snapshot será concluído com sucesso.

Observação: todos esses procedimentos foram testados em ambientes de guest VMs com partições dos tipos XFS e EXT4. Caso a sua guest VM utilize outro sistema de arquivos, recomendo realizar testes exaustivos antes de aplicar em produção.

É isso pessoal, qualquer coisa só me chamar no linkedin 🙂

Ksplice: Configuração e Instalação em Ambientes Oracle Linux

Diogo Fernandes — Tue, 02 Sep 2025 19:41:27 GMT

Em um artigo anterior (link aqui), escrevi sobre como atualizar o Ksplice em um Exadata. Mas e quando falamos de máquinas “comuns”, como Dell, HP etc.? Em uma instalação simples, os pacotes do Ksplice não vêm configurados da mesma forma que nos Exadatas. Por isso, precisamos instalar tudo do zero e realizar o registro no ULN (Unbreakable Linux Network) para aplicar as correções das últimas CVEs.

Nos passos abaixo, vou mostrar como fazer todo o processo do zero: quais pacotes devem ser selecionados, tanto na parte do terminal quanto no site linux.oracle.com, para concluir o procedimento.

Vamos instalar agora o rhn-setup para registrarmos o sistema operacional e configurarmos o Ksplice.

[root@Oracle02 ~]# yum install rhn-setup -y 
Loaded plugins: langpacks, ulninfo
ol7_UEKR6                                                                                                                                                                                                                                                                                             | 3.0 kB  00:00:00     
ol7_latest                                                                                                                                                                                                                                                                                            | 3.6 kB  00:00:00     
(1/4): ol7_UEKR6/x86_64/updateinfo                                                                                                                                                                                                                                                                    | 1.3 MB  00:00:02     
(2/4): ol7_latest/x86_64/updateinfo                                                                                                                                                                                                                                                                   | 3.7 MB  00:00:04     
(3/4): ol7_latest/x86_64/primary_db                                                                                                                                                                                                                                                                   |  54 MB  00:00:41     
(4/4): ol7_UEKR6/x86_64/primary_db                                                                                                                                                                                                                                                                    |  83 MB  00:01:04     
Resolving Dependencies
--> Running transaction check
---> Package rhn-setup.x86_64 0:2.0.2-24.0.7.el7 will be updated
--> Processing Dependency: rhn-setup = 2.0.2-24.0.7.el7 for package: rhn-setup-gnome-2.0.2-24.0.7.el7.x86_64
---> Package rhn-setup.x86_64 0:2.0.2-24.0.11.el7 will be an update
--> Processing Dependency: rhn-client-tools = 2.0.2-24.0.11.el7 for package: rhn-setup-2.0.2-24.0.11.el7.x86_64
--> Running transaction check
---> Package rhn-client-tools.x86_64 0:2.0.2-24.0.7.el7 will be updated
--> Processing Dependency: rhn-client-tools = 2.0.2-24.0.7.el7 for package: rhn-check-2.0.2-24.0.7.el7.x86_64
---> Package rhn-client-tools.x86_64 0:2.0.2-24.0.11.el7 will be an update
---> Package rhn-setup-gnome.x86_64 0:2.0.2-24.0.7.el7 will be updated
---> Package rhn-setup-gnome.x86_64 0:2.0.2-24.0.11.el7 will be an update
--> Running transaction check
---> Package rhn-check.x86_64 0:2.0.2-24.0.7.el7 will be updated
---> Package rhn-check.x86_64 0:2.0.2-24.0.11.el7 will be an update
--> Finished Dependency Resolution

Dependencies Resolved

=============================================================================================================================================================================================================================================================================================================================
 Package                                                                          Arch                                                                   Version                                                                            Repository                                                                  Size
=============================================================================================================================================================================================================================================================================================================================
Updating:
 rhn-setup                                                                        x86_64                                                                 2.0.2-24.0.11.el7                                                                  ol7_latest                                                                  94 k
Updating for dependencies:
 rhn-check                                                                        x86_64                                                                 2.0.2-24.0.11.el7                                                                  ol7_latest                                                                  58 k
 rhn-client-tools                                                                 x86_64                                                                 2.0.2-24.0.11.el7                                                                  ol7_latest                                                                 422 k
 rhn-setup-gnome                                                                  x86_64                                                                 2.0.2-24.0.11.el7                                                                  ol7_latest                                                                 160 k

Transaction Summary
=============================================================================================================================================================================================================================================================================================================================
Upgrade  1 Package (+3 Dependent packages)

Total size: 734 k
Downloading packages:
Running transaction check
Running transaction test
Transaction test succeeded
Running transaction
Warning: RPMDB altered outside of yum.
  Updating   : rhn-client-tools-2.0.2-24.0.11.el7.x86_64                                                                                                                                                                                                                                                                 1/8 
  Updating   : rhn-setup-2.0.2-24.0.11.el7.x86_64                                                                                                                                                                                                                                                                        2/8 
  Updating   : rhn-setup-gnome-2.0.2-24.0.11.el7.x86_64                                                                                                                                                                                                                                                                  3/8 
  Updating   : rhn-check-2.0.2-24.0.11.el7.x86_64                                                                                                                                                                                                                                                                        4/8 
  Cleanup    : rhn-setup-gnome-2.0.2-24.0.7.el7.x86_64                                                                                                                                                                                                                                                                   5/8 
  Cleanup    : rhn-setup-2.0.2-24.0.7.el7.x86_64                                                                                                                                                                                                                                                                         6/8 
  Cleanup    : rhn-check-2.0.2-24.0.7.el7.x86_64                                                                                                                                                                                                                                                                         7/8 
  Cleanup    : rhn-client-tools-2.0.2-24.0.7.el7.x86_64                                                                                                                                                                                                                                                                  8/8 
  Verifying  : rhn-setup-gnome-2.0.2-24.0.11.el7.x86_64                                                                                                                                                                                                                                                                  1/8 
  Verifying  : rhn-check-2.0.2-24.0.11.el7.x86_64                                                                                                                                                                                                                                                                        2/8 
  Verifying  : rhn-setup-2.0.2-24.0.11.el7.x86_64                                                                                                                                                                                                                                                                        3/8 
  Verifying  : rhn-client-tools-2.0.2-24.0.11.el7.x86_64                                                                                                                                                                                                                                                                 4/8 
  Verifying  : rhn-setup-gnome-2.0.2-24.0.7.el7.x86_64                                                                                                                                                                                                                                                                   5/8 
  Verifying  : rhn-check-2.0.2-24.0.7.el7.x86_64                                                                                                                                                                                                                                                                         6/8 
  Verifying  : rhn-client-tools-2.0.2-24.0.7.el7.x86_64                                                                                                                                                                                                                                                                  7/8 
  Verifying  : rhn-setup-2.0.2-24.0.7.el7.x86_64                                                                                                                                                                                                                                                                         8/8 

Updated:
  rhn-setup.x86_64 0:2.0.2-24.0.11.el7                                                                                                                                                                                                                                                                                       

Dependency Updated:
  rhn-check.x86_64 0:2.0.2-24.0.11.el7                                                                 rhn-client-tools.x86_64 0:2.0.2-24.0.11.el7                                                                 rhn-setup-gnome.x86_64 0:2.0.2-24.0.11.el7                                                                

Complete!
[root@Oracle02 ~]#

Após instalar o rhn-setup, acesse o site linux.oracle.com, gere a chave de registro (Auth token) e guarde o codigo, pois ele irá parecer somente uma vez, essa chave vamos usar ela no campo senha, do proximo step.

Agora, vamos chamar o comando uln_register

[root@Oracle02 ~]# uln_register

e vai aparecendo outras telas…

e vai selecionando next até chegar nessa tela:

next…

next….

Agora vamos acessar o site linux.oracle.com

A lista de hosts cadastrados estarão logo a abaixo. Acabamos de registrar o host O Oracle02 e vamos clicar nele:

Assim que clicar no host ela tera irá abrir:

clique em Manage Subscritptions

Essa tela irá aparecer:

assim que arrastar o ksplice aware pra direita clique em save subscription.

Chega de print, vamos agora para o terminal novamente.

Registro e gerenciamento de atualizações finalizado vamos instalar o ksplice.

[root@Oracle02 ~]# yum install ksplice uptrack

[root@Oracle02 ~]# yum install ksplice uptrack 
Loaded plugins: langpacks, rhnplugin, ulninfo
This system is receiving updates from ULN.
ol7_x86_64_ksplice                                                                                                                                                                                                                                                                                    | 3.0 kB  00:00:00     
ol7_x86_64_ksplice/updateinfo                                                                                                                                                                                                                                                                         | 9.6 kB  00:00:00     
ol7_x86_64_ksplice/primary_db                                                                                                                                                                                                                                                                         | 5.8 MB  00:00:03     
ol7_x86_64_userspace_ksplice                                                                                                                                                                                                                                                                          | 3.0 kB  00:00:00     
ol7_x86_64_userspace_ksplice/updateinfo                                                                                                                                                                                                                                                               |  90 kB  00:00:00     
ol7_x86_64_userspace_ksplice/primary_db                                                                                                                                                                                                                                                               | 328 kB  00:00:00     
Resolving Dependencies
--> Running transaction check
---> Package ksplice.x86_64 0:1.0.62-1.el7 will be installed
--> Processing Dependency: ksplice-core0 = 1.0.62-1.el7 for package: ksplice-1.0.62-1.el7.x86_64
--> Processing Dependency: ksplice-tools = 1.0.62-1.el7 for package: ksplice-1.0.62-1.el7.x86_64
---> Package uptrack.noarch 0:1.2.84-0.el7 will be installed
--> Processing Dependency: perl(Fatal) for package: uptrack-1.2.84-0.el7.noarch
--> Processing Dependency: perl-autodie for package: uptrack-1.2.84-0.el7.noarch
--> Running transaction check
---> Package ksplice-core0.x86_64 0:1.0.62-1.el7 will be installed
--> Processing Dependency: libboost_filesystem-mt.so.1.53.0()(64bit) for package: ksplice-core0-1.0.62-1.el7.x86_64
--> Processing Dependency: libboost_python-mt.so.1.53.0()(64bit) for package: ksplice-core0-1.0.62-1.el7.x86_64
--> Processing Dependency: libboost_regex-mt.so.1.53.0()(64bit) for package: ksplice-core0-1.0.62-1.el7.x86_64
---> Package ksplice-tools.x86_64 0:1.0.62-1.el7 will be installed
--> Processing Dependency: python-requests for package: ksplice-tools-1.0.62-1.el7.x86_64
---> Package perl-autodie.noarch 0:2.16-2.el7 will be installed
--> Running transaction check
---> Package boost-filesystem.x86_64 0:1.53.0-28.el7 will be installed
---> Package boost-python.x86_64 0:1.53.0-28.el7 will be installed
---> Package boost-regex.x86_64 0:1.53.0-28.el7 will be installed
---> Package python-requests.noarch 0:2.6.0-10.el7 will be installed
--> Processing Dependency: python-urllib3 >= 1.10.2-1 for package: python-requests-2.6.0-10.el7.noarch
--> Running transaction check
---> Package python-urllib3.noarch 0:1.10.2-7.0.1.el7 will be installed
--> Finished Dependency Resolution
Dependencies Resolved
=============================================================================================================================================================================================================================================================================================================================
 Package                                                                        Arch                                                                 Version                                                                          Repository                                                                        Size
=============================================================================================================================================================================================================================================================================================================================
Installing:
 ksplice                                                                        x86_64                                                               1.0.62-1.el7                                                                     ol7_x86_64_ksplice                                                                11 k
 uptrack                                                                        noarch                                                               1.2.84-0.el7                                                                     ol7_x86_64_ksplice                                                               157 k
Installing for dependencies:
 boost-filesystem                                                               x86_64                                                               1.53.0-28.el7                                                                    ol7_x86_64_latest                                                                 68 k
 boost-python                                                                   x86_64                                                               1.53.0-28.el7                                                                    ol7_x86_64_latest                                                                132 k
 boost-regex                                                                    x86_64                                                               1.53.0-28.el7                                                                    ol7_x86_64_latest                                                                295 k
 ksplice-core0                                                                  x86_64                                                               1.0.62-1.el7                                                                     ol7_x86_64_ksplice                                                               305 k
 ksplice-tools                                                                  x86_64                                                               1.0.62-1.el7                                                                     ol7_x86_64_ksplice                                                                94 k
 perl-autodie                                                                   noarch                                                               2.16-2.el7                                                                       ol7_x86_64_latest                                                                 77 k
 python-requests                                                                noarch                                                               2.6.0-10.el7                                                                     ol7_x86_64_latest                                                                 95 k
 python-urllib3                                                                 noarch                                                               1.10.2-7.0.1.el7                                                                 ol7_x86_64_latest                                                                102 k
Transaction Summary
=============================================================================================================================================================================================================================================================================================================================
Install  2 Packages (+8 Dependent packages)
Total download size: 1.3 M
Installed size: 5.6 M
Is this ok [y/d/N]: y
Downloading packages:
(1/10): boost-filesystem-1.53.0-28.el7.x86_64.rpm                                                                                                                                                                                                                                                     |  68 kB  00:00:00     
(2/10): boost-python-1.53.0-28.el7.x86_64.rpm                                                                                                                                                                                                                                                         | 132 kB  00:00:00     
(3/10): boost-regex-1.53.0-28.el7.x86_64.rpm                                                                                                                                                                                                                                                          | 295 kB  00:00:00     
(4/10): ksplice-1.0.62-1.el7.x86_64.rpm                                                                                                                                                                                                                                                               |  11 kB  00:00:00     
(5/10): ksplice-core0-1.0.62-1.el7.x86_64.rpm                                                                                                                                                                                                                                                         | 305 kB  00:00:00     
(6/10): ksplice-tools-1.0.62-1.el7.x86_64.rpm                                                                                                                                                                                                                                                         |  94 kB  00:00:00     
(7/10): perl-autodie-2.16-2.el7.noarch.rpm                                                                                                                                                                                                                                                            |  77 kB  00:00:00     
(8/10): python-requests-2.6.0-10.el7.noarch.rpm                                                                                                                                                                                                                                                       |  95 kB  00:00:00     
(9/10): python-urllib3-1.10.2-7.0.1.el7.noarch.rpm                                                                                                                                                                                                                                                    | 102 kB  00:00:00     
(10/10): uptrack-1.2.84-0.el7.noarch.rpm                                                                                                                                                                                                                                                              | 157 kB  00:00:00     
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Total                                                                                                                                                                                                                                                                                        794 kB/s | 1.3 MB  00:00:01     
Running transaction check
Running transaction test
Transaction test succeeded
Running transaction
  Installing : boost-filesystem-1.53.0-28.el7.x86_64                                                                                                                                                                                                                                                                    1/10 
  Installing : boost-python-1.53.0-28.el7.x86_64                                                                                                                                                                                                                                                                        2/10 
  Installing : boost-regex-1.53.0-28.el7.x86_64                                                                                                                                                                                                                                                                         3/10 
  Installing : ksplice-core0-1.0.62-1.el7.x86_64                                                                                                                                                                                                                                                                        4/10 
  Installing : python-urllib3-1.10.2-7.0.1.el7.noarch                                                                                                                                                                                                                                                                   5/10 
  Installing : python-requests-2.6.0-10.el7.noarch                                                                                                                                                                                                                                                                      6/10 
  Installing : perl-autodie-2.16-2.el7.noarch                                                                                                                                                                                                                                                                           7/10 
  Installing : uptrack-1.2.84-0.el7.noarch                                                                                                                                                                                                                                                                              8/10 
  Installing : ksplice-tools-1.0.62-1.el7.x86_64                                                                                                                                                                                                                                                                        9/10 
  Installing : ksplice-1.0.62-1.el7.x86_64                                                                                                                                                                                                                                                                             10/10 
There are no existing modules on disk that need basename migration.
  Verifying  : python-requests-2.6.0-10.el7.noarch                                                                                                                                                                                                                                                                      1/10 
  Verifying  : perl-autodie-2.16-2.el7.noarch                                                                                                                                                                                                                                                                           2/10 
  Verifying  : ksplice-core0-1.0.62-1.el7.x86_64                                                                                                                                                                                                                                                                        3/10 
  Verifying  : ksplice-1.0.62-1.el7.x86_64                                                                                                                                                                                                                                                                              4/10 
  Verifying  : ksplice-tools-1.0.62-1.el7.x86_64                                                                                                                                                                                                                                                                        5/10 
  Verifying  : python-urllib3-1.10.2-7.0.1.el7.noarch                                                                                                                                                                                                                                                                   6/10 
  Verifying  : uptrack-1.2.84-0.el7.noarch                                                                                                                                                                                                                                                                              7/10 
  Verifying  : boost-regex-1.53.0-28.el7.x86_64                                                                                                                                                                                                                                                                         8/10 
  Verifying  : boost-python-1.53.0-28.el7.x86_64                                                                                                                                                                                                                                                                        9/10 
  Verifying  : boost-filesystem-1.53.0-28.el7.x86_64                                                                                                                                                                                                                                                                   10/10 
Installed:
  ksplice.x86_64 0:1.0.62-1.el7                                                                                                                                 uptrack.noarch 0:1.2.84-0.el7                                                                                                                                
Dependency Installed:
  boost-filesystem.x86_64 0:1.53.0-28.el7   boost-python.x86_64 0:1.53.0-28.el7   boost-regex.x86_64 0:1.53.0-28.el7   ksplice-core0.x86_64 0:1.0.62-1.el7   ksplice-tools.x86_64 0:1.0.62-1.el7   perl-autodie.noarch 0:2.16-2.el7   python-requests.noarch 0:2.6.0-10.el7   python-urllib3.noarch 0:1.10.2-7.0.1.el7  
Complete!

vamos atualizar as libs necessarias para o ksplice:

[root@Oracle02 ~]# yum --disablerepo=* --enablerepo=ol7_x86_64_userspace_ksplice update

Na parte de cima se atente a versao do seu O.S….
OEL8= yum --disablerepo=* --enablerepo=ol8_x86_64_userspace_ksplice update
OEL9 = yum --disablerepo=* --enablerepo=ol9_x86_64_userspace_ksplice update

[root@Oracle02 ~]# yum --disablerepo=* --enablerepo=ol7_x86_64_userspace_ksplice update
Loaded plugins: langpacks, rhnplugin, ulninfo
This system is receiving updates from ULN.
Resolving Dependencies
--> Running transaction check
---> Package glibc.x86_64 0:2.17-326.0.9.el7_9 will be updated
---> Package glibc.x86_64 2:2.17-326.0.9.ksplice1.el7_9.3 will be an update
--> Processing Dependency: ksplice-helper >= 1.0.51 for package: 2:glibc-2.17-326.0.9.ksplice1.el7_9.3.x86_64
--> Processing Dependency: ksplice-helper for package: 2:glibc-2.17-326.0.9.ksplice1.el7_9.3.x86_64
--> Processing Dependency: libksplice_helper.so()(64bit) for package: 2:glibc-2.17-326.0.9.ksplice1.el7_9.3.x86_64
---> Package glibc-common.x86_64 0:2.17-326.0.9.el7_9 will be updated
---> Package glibc-common.x86_64 2:2.17-326.0.9.ksplice1.el7_9.3 will be an update
---> Package glibc-devel.x86_64 0:2.17-326.0.9.el7_9 will be updated
---> Package glibc-devel.x86_64 2:2.17-326.0.9.ksplice1.el7_9.3 will be an update
---> Package glibc-headers.x86_64 0:2.17-326.0.9.el7_9 will be updated
---> Package glibc-headers.x86_64 2:2.17-326.0.9.ksplice1.el7_9.3 will be an update
---> Package openssl.x86_64 1:1.0.2k-19.0.1.el7 will be updated
---> Package openssl.x86_64 2:1.0.2k-26.ksplice1.el7_9 will be an update
---> Package openssl-libs.x86_64 1:1.0.2k-19.0.1.el7 will be updated
---> Package openssl-libs.x86_64 2:1.0.2k-26.ksplice1.el7_9 will be an update
--> Running transaction check
---> Package ksplice-helper.x86_64 0:1.0.62-1.el7 will be installed
--> Finished Dependency Resolution
Dependencies Resolved
=============================================================================================================================================================================================================================================================================================================================
 Package                                                                Arch                                                           Version                                                                                    Repository                                                                            Size
=============================================================================================================================================================================================================================================================================================================================
Updating:
 glibc                                                                  x86_64                                                         2:2.17-326.0.9.ksplice1.el7_9.3                                                            ol7_x86_64_userspace_ksplice                                                         3.7 M
 glibc-common                                                           x86_64                                                         2:2.17-326.0.9.ksplice1.el7_9.3                                                            ol7_x86_64_userspace_ksplice                                                          12 M
 glibc-devel                                                            x86_64                                                         2:2.17-326.0.9.ksplice1.el7_9.3                                                            ol7_x86_64_userspace_ksplice                                                         1.1 M
 glibc-headers                                                          x86_64                                                         2:2.17-326.0.9.ksplice1.el7_9.3                                                            ol7_x86_64_userspace_ksplice                                                         695 k
 openssl                                                                x86_64                                                         2:1.0.2k-26.ksplice1.el7_9                                                                 ol7_x86_64_userspace_ksplice                                                         494 k
 openssl-libs                                                           x86_64                                                         2:1.0.2k-26.ksplice1.el7_9                                                                 ol7_x86_64_userspace_ksplice                                                         1.2 M
Installing for dependencies:
 ksplice-helper                                                         x86_64                                                         1.0.62-1.el7                                                                               ol7_x86_64_userspace_ksplice                                                          21 k
Transaction Summary
=============================================================================================================================================================================================================================================================================================================================
Install             ( 1 Dependent package)
Upgrade  6 Packages
Total download size: 19 M
Is this ok [y/d/N]: y
Downloading packages:
No Presto metadata available for ol7_x86_64_userspace_ksplice
(1/7): glibc-2.17-326.0.9.ksplice1.el7_9.3.x86_64.rpm                                                                                                                                                                                                                                                 | 3.7 MB  00:00:02     
(2/7): glibc-common-2.17-326.0.9.ksplice1.el7_9.3.x86_64.rpm                                                                                                                                                                                                                                          |  12 MB  00:00:08     
(3/7): glibc-devel-2.17-326.0.9.ksplice1.el7_9.3.x86_64.rpm                                                                                                                                                                                                                                           | 1.1 MB  00:00:01     
(4/7): glibc-headers-2.17-326.0.9.ksplice1.el7_9.3.x86_64.rpm                                                                                                                                                                                                                                         | 695 kB  00:00:00     
(5/7): ksplice-helper-1.0.62-1.el7.x86_64.rpm                                                                                                                                                                                                                                                         |  21 kB  00:00:00     
(6/7): openssl-1.0.2k-26.ksplice1.el7_9.x86_64.rpm                                                                                                                                                                                                                                                    | 494 kB  00:00:00     
(7/7): openssl-libs-1.0.2k-26.ksplice1.el7_9.x86_64.rpm                                                                                                                                                                                                                                               | 1.2 MB  00:00:01     
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Total                                                                                                                                                                                                                                                                                        1.2 MB/s |  19 MB  00:00:15     
Running transaction check
Running transaction test
Transaction test succeeded
Running transaction
  Installing : ksplice-helper-1.0.62-1.el7.x86_64                                                                                                                                                                                                                                                                       1/13 
  Updating   : 2:glibc-common-2.17-326.0.9.ksplice1.el7_9.3.x86_64                                                                                                                                                                                                                                                      2/13 
  Updating   : 2:glibc-2.17-326.0.9.ksplice1.el7_9.3.x86_64                                                                                                                                                                                                                                                             3/13 
  Updating   : 2:openssl-libs-1.0.2k-26.ksplice1.el7_9.x86_64                                                                                                                                                                                                                                                           4/13 
  Updating   : 2:glibc-headers-2.17-326.0.9.ksplice1.el7_9.3.x86_64                                                                                                                                                                                                                                                     5/13 
  Updating   : 2:glibc-devel-2.17-326.0.9.ksplice1.el7_9.3.x86_64                                                                                                                                                                                                                                                       6/13 
  Updating   : 2:openssl-1.0.2k-26.ksplice1.el7_9.x86_64                                                                                                                                                                                                                                                                7/13 
  Cleanup    : glibc-devel-2.17-326.0.9.el7_9.x86_64                                                                                                                                                                                                                                                                    8/13 
  Cleanup    : 1:openssl-1.0.2k-19.0.1.el7.x86_64                                                                                                                                                                                                                                                                       9/13 
  Cleanup    : glibc-headers-2.17-326.0.9.el7_9.x86_64                                                                                                                                                                                                                                                                 10/13 
  Cleanup    : 1:openssl-libs-1.0.2k-19.0.1.el7.x86_64                                                                                                                                                                                                                                                                 11/13 
  Cleanup    : glibc-common-2.17-326.0.9.el7_9.x86_64                                                                                                                                                                                                                                                                  12/13 
  Cleanup    : glibc-2.17-326.0.9.el7_9.x86_64                                                                                                                                                                                                                                                                         13/13 
  Verifying  : 2:glibc-2.17-326.0.9.ksplice1.el7_9.3.x86_64                                                                                                                                                                                                                                                             1/13 
  Verifying  : 2:glibc-devel-2.17-326.0.9.ksplice1.el7_9.3.x86_64                                                                                                                                                                                                                                                       2/13 
  Verifying  : 2:glibc-common-2.17-326.0.9.ksplice1.el7_9.3.x86_64                                                                                                                                                                                                                                                      3/13 
  Verifying  : 2:openssl-libs-1.0.2k-26.ksplice1.el7_9.x86_64                                                                                                                                                                                                                                                           4/13 
  Verifying  : ksplice-helper-1.0.62-1.el7.x86_64                                                                                                                                                                                                                                                                       5/13 
  Verifying  : 2:glibc-headers-2.17-326.0.9.ksplice1.el7_9.3.x86_64                                                                                                                                                                                                                                                     6/13 
  Verifying  : 2:openssl-1.0.2k-26.ksplice1.el7_9.x86_64                                                                                                                                                                                                                                                                7/13 
  Verifying  : glibc-headers-2.17-326.0.9.el7_9.x86_64                                                                                                                                                                                                                                                                  8/13 
  Verifying  : glibc-devel-2.17-326.0.9.el7_9.x86_64                                                                                                                                                                                                                                                                    9/13 
  Verifying  : glibc-common-2.17-326.0.9.el7_9.x86_64                                                                                                                                                                                                                                                                  10/13 
  Verifying  : glibc-2.17-326.0.9.el7_9.x86_64                                                                                                                                                                                                                                                                         11/13 
  Verifying  : 1:openssl-libs-1.0.2k-19.0.1.el7.x86_64                                                                                                                                                                                                                                                                 12/13 
  Verifying  : 1:openssl-1.0.2k-19.0.1.el7.x86_64                                                                                                                                                                                                                                                                      13/13 
Dependency Installed:
  ksplice-helper.x86_64 0:1.0.62-1.el7                                                                                                                                                                                                                                                                                       
Updated:
  glibc.x86_64 2:2.17-326.0.9.ksplice1.el7_9.3     glibc-common.x86_64 2:2.17-326.0.9.ksplice1.el7_9.3     glibc-devel.x86_64 2:2.17-326.0.9.ksplice1.el7_9.3     glibc-headers.x86_64 2:2.17-326.0.9.ksplice1.el7_9.3     openssl.x86_64 2:1.0.2k-26.ksplice1.el7_9     openssl-libs.x86_64 2:1.0.2k-26.ksplice1.el7_9    
Complete!

E agora vamos para o grand finale: aplicar as correções de segurança (CVEs) com o Ksplice.

yum install uptrack-updates-$(uname -r)

[49jdhygv] CVE-2021-20239: Information leak via cgroup BPF filter.
[36ap11tk] CVE-2021-3178: Path traversal vulnerability in NFSv3 filesystem.
[j5snfa4g] CVE-2020-27825: Race condition in kernel tracing buffers causes DoS.
[tlekvfju] CVE-2021-29154: Code execution in eBPF JIT compiler.
[oy5v22yn] Bad return value when adding an element to RAR Correctable Errors Collector.
[7108zh9o] CVE-2020-36310: Denial-of-service in KVM support due to a nested page fault.
[r8zov234] CVE-2021-31916: Information disclosure due to out-of-bounds writes in the Multi-device driver.
[i1vv7a8s] Improved update to CVE-2020-28374: Access control bypass when reading or writing TCM devices.
[j7hp93tv] CVE-2021-23133: Multiple vulnerabilities due to a race condition in SCTP

Pode acontecer durante a instalação dá esse aviso:


  Installing : uptrack-updates-5.4.17-2102.201.3.el7uek.x86_64-20241022-0.noarch                                                                                                                                                                                                                                         1/1 
It appears that another Uptrack process is currently running on this
system. Please wait a minute and try again.  If you are unable to
resolve this issue, please contact Oracle support.
  Verifying  : uptrack-updates-5.4.17-2102.201.3.el7uek.x86_64-20241022-0.noarch

Caso aconteça isso, espere 5 minutos e execute esse comando:

/usr/bin/python2 /usr/sbin/uptrack-upgrade -y --all

É isso, pessoal! Espero que este artigo ajude você a configurar o Ksplice no Oracle Linux.

E por último, mas não menos importante: para utilizar o Ksplice no Oracle Linux é necessário ter suporte ativo. Verifique se o seu CSI possui cobertura para o Ksplice no Oracle Linux.

GUOB TECH DAY 2025 Slide: "Verificando a integridade da sua replicação com COMPARE"

Diogo Fernandes — Thu, 28 Aug 2025 21:43:08 GMT

Primeiramente, gostaria de agradecer a todos que estiveram presentes no GUOB. Tenho certeza de que ninguém saiu do evento da mesma forma que entrou rs.

Como prometido durante minha apresentação, estou compartilhando os slides da ferramenta COMPARE, apresentados no GUOB Tech Day 2025.

Logo abaixo, você também encontrará o link da documentação completa, onde poderá acessar todos os passos de instalação e configuração da ferramenta.

Link da documentação:

https://compare.hashnode.space/default-guide/compare

Vídeo de como fazer o deploy e configurar o COMPARE:

https://www.youtube.com/watch?v=XrOZ5aPCi3E

Qualquer duvida pessoal segue meus contatos:

📧 E-mail: diogo.fernandes@godata.com.br
💼 LinkedIn: linkedin.com/in/diogo-fernandess

ExaCC – Discos Offline após Aplicação de Patch

Diogo Fernandes — Mon, 21 Apr 2025 02:14:23 GMT

Caso ainda não esteja familiarizado com o ExaCC, segue abaixo uma explicação rápida sobre como funciona o gerenciamento e aplicação de patches.

O ExaCC, por ser uma solução virtualizada, possui duas camadas principais:

Dom0: camada base (bare metal), responsável pelo gerenciamento físico dos recursos.
DomU: camada virtual onde, de fato, os bancos de dados residem e operam.

A aplicação de patches no Dom0 é de responsabilidade exclusiva da Oracle, enquanto os patches no DomU são de responsabilidade do cliente (nossa).

Sabendo disso, em uma das janelas de manutenção programadas pela Oracle para aplicação de patch no Dom0 — que sempre haviam sido concluídas com sucesso — ocorreu um incidente em que seis discos ficaram offline no ASM ao final do processo.

Assim que concluiu o patch, seis discos do grupo RECO ficaram offline e ficavam oscilando entre seis discos offline e um disco. Achei esse comportamento estranho. Minha primeira ação foi verificar os discos presencialmente para ver se havia algum aviso, e chegando lá, tudo estava "verde", ou seja, tudo ok.

ASMCMD> lsdg
State    Type  Rebal  Sector  Logical_Sector  Block       AU   Total_MB    Free_MB  Req_mir_free_MB  Usable_file_MB  Offline_disks  Voting_files  Name
MOUNTED  HIGH  N         512             512   4096  4194304  000000000  000000000                0        000000000              0             Y  DATAC1/
MOUNTED  HIGH  N         512             512   4096  4194304  000000000   000000000               0        000000000              6             N  RECOC1/

Analisando o log do ASM encontrei o seguinte aviso:

ORA-15025: could not open disk "/dev/exadata_quorum/QD_RECOC1_XXXXXXXXXXX"
ORA-27041: unable to open file
Linux-x86_64 Error: 2: No such file or directory
Additional information: 3
WARNING: Read Failed. group:2 disk:18 AU:0 offset:0 size:4096

Sem delongas abri um chamado na Oracle informando todos os logs e o contexto do incidente e eles pediram pra executar esse comando:

asmcmd lsdsk |grep exadata_quorum|xargs ls -l

Ao executar tive a seguinte saída em 1 dos nós:


[grid@sv-xxxxxxxxxx ~]$ asmcmd lsdsk |grep exadata_quorum|xargs ls -l
ls: cannot access /dev/exadata_quorum/QD_RECOC1_XXXXXXXXXXX01: No such file or directory
lrwxrwxrwx 1 root root 8 Mar 25 12:25 /dev/exadata_quorum/QD_DATAC1_XXXXXXXXXXX02 -> …/dm-18
lrwxrwxrwx 1 root root 8 Mar 25 12:25 /dev/exadata_quorum/QD_DATAC1_XXXXXXXXXXX03 -> …/dm-16
lrwxrwxrwx 1 root root 8 Mar 25 12:25 /dev/exadata_quorum/QD_RECOC1_XXXXXXXXXXX04 -> …/dm-17

No nó 2, todos os discos do quorum estavam visíveis; já no nó 1, um dos membros não era exibido.

Ja com bastantes informações coletadas, nossos amigos indianos nos passaram a seguinte nota:

Infrastructure Maintenance Fails During Cell Update Due to Missing Quorum Disk Device Links in a VM (Doc ID 2978693.1)

A nota pede a execução dos seguintes comandos para os quorum discos serem “reapresentados ao O.S”

#udevadm control --reload-rules
#udevadm trigger

Após a execução do comando o diskgroup ja “flegou” o Rebal = Y e ja baixou os discos offline para 1

ASMCMD> lsdg
State    Type  Rebal  Sector  Logical_Sector  Block       AU   Total_MB    Free_MB  Req_mir_free_MB  Usable_file_MB  Offline_disks  Voting_files  Name
MOUNTED  HIGH  N         512             512   4096  4194304  000000000  000000000                0        000000000              0             Y  DATAC1/
MOUNTED  HIGH  Y         512             512   4096  4194304  000000000   000000000               0        000000000              1             N  RECOC1/

Depois de 2 horas, todos os discos estavam online novamente.

ASMCMD> lsdg
State    Type  Rebal  Sector  Logical_Sector  Block       AU   Total_MB    Free_MB  Req_mir_free_MB  Usable_file_MB  Offline_disks  Voting_files  Name
MOUNTED  HIGH  N         512             512   4096  4194304  000000000  000000000                0        000000000              0             Y  DATAC1/
MOUNTED  HIGH  N         512             512   4096  4194304  000000000   000000000               0        000000000              0             N  RECOC1/

Assim como a nota menciona, infelizmente o ambiente estava em uma das versões causadas pelo bug:

Exadata image version is 22.1.10.0.0, 22.1.13.0.0, 22.1.14.0.0, or 22.1.15.0.0.

O procedimento, como a nota reforça, pode ser executado “online” sem impacto a produção.

Espero que este artigo seja útil em situações futuras 🙂.

Múltiplos EXTTRAILs (DIRDAT) no mesmo Extract.

Diogo Fernandes — Tue, 18 Feb 2025 22:38:24 GMT

Muitas vezes, ao configurar o extract, assumimos, de forma equivocada, que ele pode ter apenas um único EXTTRAIL (dirdat). Eu mesmo já tive essa impressão, pois muitos exemplos na documentação e em artigos seguem essa abordagem. Com isso, por hábito, acabamos incluindo vários owners dentro do mesmo extract, utilizando um único trail.

E foi assim até o dia em que me deparei com uma base que gerava, sabe-se lá quantos dirdat por minuto. O problema é que, por causa disso, os outros owners, que tinham poucas transações, começaram a apresentar um grande volume de lag nos seus replicats. No entanto, o lag não era causado pela quantidade de transações, e sim pelo grande volume de dirdat que o replicat precisava percorrer. Cada um desses dirdat continha poucas transações dos owners que geravam menos atividade, mas, devido ao alto volume geral, o processamento ficava atrasado.

A questão é: como resolver isso? Como separar os dirdat de forma que cada owner tenha suas operações registradas separadamente?

Primeiro, vou mostrar como o "padrão" é implementado e, em seguida, demonstrarei como realizar essa separação,

Criando o arquivo de parâmetro e_prod.prm

GGSCI (777bca39a994) 2> dblogin USERIDALIAS ORIGEM19C
Successfully logged into database CDB$ROOT.

GGSCI (777bca39a994 as C##OGG@SRC19EE/CDB$ROOT) 5> edit param e_prod

EXTRACT E_PROD
USERIDALIAS ORIGEM19C



EXTTRAIL ./dirdat/aa

TABLE SRC19EEPDB1.OWNER1.*;
TABLE SRC19EEPDB1.OWNER2.*;
TABLE SRC19EEPDB1.OWNER3.*;

Vamos registrar e adicionar o Extract:

GGSCI (777bca39a994 as C##OGG@SRC19EE/CDB$ROOT) 10> REGISTER EXTRACT E_PROD DATABASE CONTAINER (SRC19EEPDB1) ;

2025-02-18 19:36:19  INFO    OGG-02003  Extract E_PROD successfully registered with database at SCN 21184522.

GGSCI (777bca39a994 as C##OGG@SRC19EE/CDB$ROOT) 11> ADD EXTRACT E_PROD, INTEGRATED TRANLOG, BEGIN NOW
EXTRACT (Integrated) added.

GGSCI (777bca39a994 as C##OGG@SRC19EE/CDB$ROOT) 12> ADD EXTTRAIL ./dirdat/aa, EXTRACT E_PROD
EXTTRAIL added.

Obtendo informações do Extract:

GGSCI (777bca39a994 as C##OGG@SRC19EE/CDB$ROOT) 13> info e_prod

EXTRACT    E_PROD    Initialized   2025-02-18 19:36   Status STOPPED
Checkpoint Lag       00:00:00 (updated 00:01:44 ago)
Log Read Checkpoint  Oracle Integrated Redo Logs
                     2025-02-18 19:36:52
                     SCN 0.0 (0)

Iniciando Extract:

GGSCI (777bca39a994 as C##OGG@SRC19EE/CDB$ROOT) 14> start e_prod

Sending START request to MANAGER ...
EXTRACT E_PROD starting

GGSCI (777bca39a994) 3> info e_prod, detail

EXTRACT    E_PROD    Last Started 2025-02-18 19:45   Status RUNNING
Checkpoint Lag       00:00:00 (updated 00:00:09 ago)
Process ID           78817
Log Read Checkpoint  Oracle Integrated Redo Logs
                     2025-02-18 19:46:14
                     SCN 0.21225987 (21225987)

  Target Extract Trails:

  Trail Name                                       Seqno        RBA     Max MB Trail Type

  ./dirdat/aa                                          0     409753        500 EXTTRAIL

Vamos popular as tabelas dos respectivos owners e acompanhar a gravação:

SQL> BEGIN
    FOR i IN 1001..2000 LOOP
        INSERT INTO OWNER1.TABELA_EXEMPLO (ID, NOME, DATA_CRIACAO)
        VALUES (i, 'Registro ' || i, SYSDATE - DBMS_RANDOM.VALUE(1, 365));

        INSERT INTO OWNER2.TABELA_EXEMPLO (ID, NOME, DATA_CRIACAO)
        VALUES (i, 'Registro ' || i, SYSDATE - DBMS_RANDOM.VALUE(1, 365));
         2   
        INSERT INTO OWNER3.TABELA_EXEMPLO (ID, NOME, DATA_CRIACAO)
        VALUES (i, 'Registro ' || i, SYSDATE - DBMS_RANDOM.VALUE(1, 365));

        -- Faz o commit a cada 100 registros para evitar consumo excessivo de UNDO
        IF MOD(i, 100) = 0 THEN
  3              COMMIT;
        END IF;
    END LOOP;

    COMMIT;
END;
/  4    5    6    7    8    9   10   11   12   13   14   15   16   17   18   19   20  

PL/SQL procedure successfully completed.

Podemos ver que todos os registros foram para um único dirdat, o “aa”.

[oracle@777bca39a994 dirdat]$ ls -lrt
total 808
-rw-r----- 1 oracle oinstall 824151 Feb 18 19:50 aa000000000

Nesse momento, o Extract está operando dessa forma:

Como podemos ver acima, o extract está escrevendo a captura dos 3 owners em um único arquivo ./dirdat/aa. A seguir, vamos ver como separar para que cada owner escreva em um dirdat separado.

Agora vamos adicionar o Extract de maneira que cada owner “escreva“ no seu próprio dirdat.

GGSCI (777bca39a994) 2> edit param e_prod

EXTRACT E_PROD
USERIDALIAS ORIGEM19C



EXTTRAIL ./dirdat/aa
TABLE SRC19EEPDB1.OWNER1.*;

EXTTRAIL ./dirdat/ab
TABLE SRC19EEPDB1.OWNER2.*;

EXTTRAIL ./dirdat/ac
TABLE SRC19EEPDB1.OWNER3.*;

Agora vamos adicionar o Extract

GGSCI (777bca39a994 as C##OGG@SRC19EE/CDB$ROOT) 4> REGISTER EXTRACT E_PROD DATABASE CONTAINER (SRC19EEPDB1) ;

2025-02-18 20:09:24  INFO    OGG-02003  Extract E_PROD successfully registered with database at SCN 21234029.


GGSCI (777bca39a994 as C##OGG@SRC19EE/CDB$ROOT) 5> ADD EXTRACT E_PROD, INTEGRATED TRANLOG, BEGIN NOW
EXTRACT (Integrated) added.

Agora, assim como separamos os exttrail no arquivo de parâmetros, devemos adicionar os 3 ao extract também.

GGSCI (777bca39a994 as C##OGG@SRC19EE/CDB$ROOT) 6> ADD EXTTRAIL ./dirdat/aa, EXTRACT E_PROD
EXTTRAIL added.

GGSCI (777bca39a994 as C##OGG@SRC19EE/CDB$ROOT) 7> ADD EXTTRAIL ./dirdat/ab, EXTRACT E_PROD
EXTTRAIL added.

GGSCI (777bca39a994 as C##OGG@SRC19EE/CDB$ROOT) 8> ADD EXTTRAIL ./dirdat/ac, EXTRACT E_PROD

Pronto, agora vamos iniciar o Extract.

GGSCI (777bca39a994 as C##OGG@SRC19EE/CDB$ROOT) 9> start e_prod

Sending START request to MANAGER ...
EXTRACT E_PROD starting

GGSCI (777bca39a994 as C##OGG@SRC19EE/CDB$ROOT) 10> info e_prod

EXTRACT    E_PROD    Last Started 2025-02-18 20:12   Status RUNNING
Checkpoint Lag       00:03:22 (updated 00:00:01 ago)
Process ID           78851
Log Read Checkpoint  Oracle Integrated Redo Logs
                     2025-02-18 20:09:34
                     SCN 0.0 (0)


GGSCI (777bca39a994 as C##OGG@SRC19EE/CDB$ROOT) 11> info e_prod, detail

EXTRACT    E_PROD    Last Started 2025-02-18 20:12   Status RUNNING
Checkpoint Lag       00:03:22 (updated 00:00:06 ago)
Process ID           78851
Log Read Checkpoint  Oracle Integrated Redo Logs
                     2025-02-18 20:09:34
                     SCN 0.0 (0)

  Target Extract Trails:

  Trail Name                                       Seqno        RBA     Max MB Trail Type

  ./dirdat/aa                                          0       1289        500 EXTTRAIL  
  ./dirdat/ab                                          0       1289        500 EXTTRAIL  
  ./dirdat/ac                                          0       1289        500 EXTTRAIL

Pronto, agora vamos popular as tabelas de origem novamente para vermos como serão gerados os dirdats:

SQL> BEGIN
    FOR i IN 2001..3000 LOOP
        INSERT INTO OWNER1.TABELA_EXEMPLO (ID, NOME, DATA_CRIACAO)
        VALUES (i, 'Registro ' || i, SYSDATE - DBMS_RANDOM.VALUE(1, 365));

        INSERT INTO OWNER2.TABELA_EXEMPLO (ID, NOME, DATA_CRI  2  ACAO)
        VALUES (i, 'Registro ' || i, SYSDATE - DBMS_RANDOM.VALUE(1, 365));

        INSERT INTO OWNER3.TABELA_EXEMPLO (ID, NOME, DATA_CRIACAO)
        VALUES (i, 'Registro ' || i, SYSDATE - DBMS_RANDOM.VALUE(1, 365));

        -- Faz o commit a cada 100 registros para evitar consumo excessivo de UNDO
  3          IF MOD(i, 100) = 0 THEN
            COMMIT;
        END IF;
    END LOOP;

    COMMIT;
END;
/  4    5    6    7    8    9   10   11   12   13   14   15   16   17   18   19   20  

PL/SQL procedure successfully

Verificando os dirdats gerados:

GGSCI (777bca39a994 as C##OGG@SRC19EE/CDB$ROOT) 12> exit
[oracle@777bca39a994 dirdat]$ ls -lrt
total 420
-rw-r----- 1 oracle oinstall 140230 Feb 18 20:21 ac000000000
-rw-r----- 1 oracle oinstall 140230 Feb 18 20:21 ab000000000
-rw-r----- 1 oracle oinstall 140230 Feb 18 20:21 aa000000000

Pronto, agora nosso Extract está operando dessa forma:

Na imagem acima, agora podemos ver que o OWNER1 está “escrevendo” no ./dirdat/aa o OWNER2 no ./dirdat/ab e o OWNER3 no ./dirdat/ac

É isso, pessoal, espero que este artigo tenha contribuído de alguma forma para o seu projeto atual de OGG ou nos próximos 🙂.

Expandindo Storage no ODA X8M

Diogo Fernandes — Sun, 29 Dec 2024 18:15:30 GMT

Expandir o storage em alguns appliances pode ser um pouco complicado. Mas esse não é o caso do ODA (isso, é claro, desde que você não se depare com um bug no caminho rs).

No artigo de hoje, vamos expandir um ODA que já estava com 8 discos e que agora será expandido para 12 discos, atingindo assim sua capacidade total.

Sem mais delongas, vamos para a prática!

Acima está o mapa das posições dos discos do ODA X8M. A contagem das posições começa na parte inferior, da esquerda para a direita. No meu caso, apenas as duas primeiras fileiras estavam preenchidas com discos, e ficaram totalmente preenchidas após a adição dos outros quatro.

Adicione um disco por vez, espere de 2 até 5 minutos até aparecer dentro de /dev/nvme*

Podemos ver que, do disco 8 ao disco 11, ainda não temos as partições p1 e p2 presentes nos outros discos já configurados. Ótimo! Isso indica que os discos estão "limpos".

Ativando os discos.

[root@odaxxxx01 ~]# odaadmcli power disk on pd_08
Disk 'pd_08' already powered on
[root@odaxxxx01 ~]# odaadmcli power disk on pd_09
Disk 'pd_09' already powered on
[root@odaxxxx01 ~]# odaadmcli power disk on pd_10
Disk 'pd_10' already powered on
[root@odaxxxx01 ~]# odaadmcli power disk on pd_11
Disk 'pd_11' already powered on

Após adicionar todos os discos, aguarde cerca de 20 minutos antes de iniciar a expansão. Esse tempo é necessário para que o OAK processe todas as informações sobre os discos.

Antes de expandir vamos olhar a posição atual dos discos.

[root@odaxxxx01 ~]# odaadmcli show disk
        NAME            PATH            TYPE            STATE           STATE_DETAILS

        pd_00           /dev/nvme0n1    NVD             ONLINE          Good
        pd_01           /dev/nvme2n1    NVD             ONLINE          Good
        pd_02           /dev/nvme6n1    NVD             ONLINE          Good
        pd_03           /dev/nvme4n1    NVD             ONLINE          Good
        pd_04           /dev/nvme1n1    NVD             ONLINE          Good
        pd_05           /dev/nvme3n1    NVD             ONLINE          Good
        pd_06           /dev/nvme7n1    NVD             ONLINE          Good
        pd_07           /dev/nvme5n1    NVD             ONLINE          Good

Sim, os discos pd_08, pd_09, pd_10 e pd_11 não estão aparecendo aqui. Nada de pânico! Eles só vão aparecer após o comando "expand storage". Então, vamos lá!

 [root@odaxxxx01 bin]# odaadmcli expand storage -ndisk 4
Precheck passed.
Check the progress of expansion of storage by executing 'odaadmcli show disk'
Waiting for expansion to finish ...

Durante o acompanhamento, veremos vários estágios dos discos, incluindo, algumas vezes, o status INVALID. Não entre em pânico! Apenas aguarde a tela de expansão ser concluída.

Durante o procedimento:

Assim que o procedimento conclui:

Agora podemos ver que todos os discos estão aparecendo no comando odaadmcli show disk. Isso indica que todos os discos foram configurados com sucesso.

O comando odaadmcli expand storage -ndisk 4, que foi utilizado para a expansão, será concluído automaticamente. Não feche até a finalização.

PS:(A parte do comando -ndisk 4, indica a quantidade de disco que vai expandir, se for apenas 2 discos, alterar o valor de 4 para 2, por exemplo.)

Uma vez concluído, o ASM iniciará o rebalance, e a expansão estará concluída.

Antes de iniciar, recomendo seguir estas três etapas:

Rode o comando ./orachk -nordbms (como root) para verificar se está tudo certo com o appliance.
Execute o comando odaadmcli show server e certifique-se de que o status está healthy (saudável).
Por último, mas não menos importante, antes de iniciar a expansão(10 dias antes ou até mais), abra um proactive SR no Oracle Support e explique todo o seu plano de expansão. Os engenheiros podem aprovar ou identificar alguma possível "falha" no seu procedimento.

Modo Simulação

Diogo Fernandes — Sun, 29 Dec 2024 18:06:56 GMT

Ok, você foi lá, fez toda a captura de privilégios usando o DBMS_PRIVILEGE_CAPTURE e outros métodos, mas mesmo assim fica aquela dúvida: E se aparecer algo novo?

Ao implementar regras com o Database Vault, essa é uma das principais preocupações. Porém, essa inquietação desaparece quando se descobre o modo simulation.

O modo simulation permite implementar uma security rule e colocar as command rule pertencente a ela em modo de simulação. Assim, se algum aplicativo violar a regra que você implementou, ele ainda conseguirá acessar os dados normalmente, mas você poderá identificar a violação por meio dos logs de auditoria. Esses logs mostram quem "violou" a regra que você mapeou anteriormente. Como você fez um longo trabalho de mapeamento, em teoria, apenas as exceções devem aparecer.

Com o modo simulation, você pode deixar a regra rodando durante uma semana, por exemplo, e depois verificar na view de auditoria as possíveis violações. Após esse período de testes, será possível ativar a regra de forma definitiva, sem o risco de interromper a produção.

Agora, vamos ver como isso funciona na prática.

No artigo anterior, João não podia modificar a tabela salário. Então, o que faremos será alterar a command rule para que fique em modo simulation. Dessa forma, ela não impedirá o usuário João de modificar os dados, mas notificará o evento na view DBA_DV_SIMULATION_LOG.

Uma informação importante é que é a command rule que fica em modo simulation, e não a security rule.

Verificando se tem algum registro na DBA_DV_SIMULATION_LOG

SQL> show user
USER is "DBV_ADMIN"
SQL> select * from dba_dv_simulation_log order by timestamp desc ; 

no rows selected

Confirmando que o usuário João não tem acesso de alteração a tabela salario.

SQL> show user
USER is "JOAO"

SQL> select * from app.salario ;

        ID NOME                                                  SALARIO
---------- -------------------------------------------------- --------------
         1 João Silva                                              3000
         2 Maria Oliveira                                          4500
         3 Carlos Santos                                           5000
         5 Diogo                                                   2700
         6 Luiza Ferreira                                          6100
         7 Fernanda Lima                                           3800
         8 Roberto Faria                                           2900
         9 Claudia Mendes                                          5300
        10 Tiago Barbosa                                           4700

SQL> update app.salario set salario=10000 where id=5 ; 
update app.salario set salario=10000 where id=5
           *
ERROR at line 1:
ORA-47306: 20002: Access denied: You do not have DML privileges.

Aqui está claro que não temos acesso: ORA-47306: 20002: Access denied: You do not have DML privileges.

Agora vou colocar a command rule de update em modo simulation, caso queria entender melhor como eu as criei o link do artigo anterior está aqui.

SQL> BEGIN
  DVSYS.DBMS_MACADM.UPDATE_COMMAND_RULE(
    command         => 'UPDATE',
    rule_set_name   => 'RULE_SET_DML',
    object_owner    => 'APP',
    object_name     => 'SALARIO',
    enabled         => DBMS_MACUTL.G_SIMULATION -- <<< aqui esta a flag de simutaion.
  );
END;
/  2    3    4    5    6    7    8    9   10  

PL/SQL procedure successfully completed.

Verificando Status da command rule:

SQL> col command for a13
col RULE_SET_NAME for a20
col object_owner for a10
col object_name for a20
col enable for a4
select COMMAND, RULE_SET_NAME,OBJECT_OWNER,OBJECT_NAME,ENABLED 
from DBA_DV_COMMAND_RULE 
where object_owner='APP';

Podemos ver que o campo enable esta com o valor do Simulation.

Agora, tentaremos realizar o update na tabela APP.SALARIO utilizando o usuário João.

SQL> show user
USER is "JOAO"
SQL> update app.salario set salario=10000 where id=5 ; 

1 row updated.

SQL> commit ; 

Commit complete.

Agora que o update foi realizado com sucesso, vamos dar uma olhada na view de auditoria do DBV.

SELECT 
    USERNAME,
    COMMAND,
    VIOLATION_TYPE,
    OBJECT_OWNER,
    OBJECT_NAME,
    SQLTEXT,
    DATABASE_IP,
    MACHINE
FROM DBA_DV_SIMULATION_LOG;

Como podemos ver, o DBV registrou com sucesso o acesso do usuário João à tabela APP.SALARIO. Esse modo de simulação, como falado antes, é muito útil para mapear e identificar acessos que não foram previstos no mapeamento inicial das permissões, sendo que somente os usuários que não têm permissão(que violaram a regra do DBV) serão registrados na view de auditoria.

Como sempre, recomendo validar as regras de forma exaustiva nos ambientes de homologação.

Criando Rules SET no Oracle Database Vault

Diogo Fernandes — Sun, 29 Dec 2024 18:01:53 GMT

Nos artigos anteriores (artigo 1 e artigo 2), mostrei como configurar e, em alguns casos, até como instalar o Oracle Database Vault.

Neste artigo, abordaremos os Rule Sets do DBV e veremos como eles podem proteger seus dados contra acessos não autorizados.

Mas antes, mostrarei a hierarquia dos Rule Sets no DBV, que é estruturada da seguinte forma:

Rule Set (Conjunto de Regras): É um agrupamento de condições ou regras que podem ser aplicadas em diferentes contextos no Database Vault. Ele define critérios que devem ser atendidos para permitir ou negar uma ação, como acessar um dado ou executar um comando.
Command Rule (Regra de Comando): São regras aplicadas a comandos específicos do banco de dados, como SELECT, UPDATE, ou GRANT. Elas permitem restringir o uso desses comandos com base em condições configuradas no Rule Set.
Rule (Regra): É a condição individual que compõe um Rule Set. Pode ser uma verificação simples, como confirmar se um usuário pertence a um grupo específico ou se uma conexão vem de um IP autorizado.

Obs.: Existem os Factors, mas estes serão tema de outro artigo. :)

Para demonstrar as permissões, temos o seguinte cenário:

O Owner APP, que possui a tabela salario.
Os usuários Maria e João, que têm permissão de leitura e escrita na tabela.

SQL> conn maria
Enter password: 
Connected.
SQL> show user
USER is "MARIA"
SQL> select * from app.salario ; 

        ID NOME                                                  SALARIO
---------- ----------------------------------------- ----------------------------- 
         1 João Silva                                               3000
         2 Maria Oliveira                                           4500
         3 Carlos Santos                                            5000
         4 Ana Costa                                                3200
         5 Pedro Almeida                                            2700
         6 Luiza Ferreira                                           6100
         7 Fernanda Lima                                            3800
         8 Roberto Faria                                            2900
         9 Cláudia Mendes                                           5300
        10 Tiago Barbosa                                            4700

10 rows selected.

SQL> delete app.salario where id=1 ; 

1 row deleted.

SQL> rollback ; 

Rollback complete.

SQL> conn joao
Enter password: 
Connected.
SQL> show user
USER is "JOAO"
SQL> select * from app.salario ; 

        ID NOME                                                  SALARIO
---------- ------------------------------------------- -------------------------- 
         1 João Silva                                               3000
         2 Maria Oliveira                                           4500
         3 Carlos Santos                                            5000
         4 Ana Costa                                                3200
         5 Pedro Almeida                                            2700
         6 Luiza Ferreira                                           6100
         7 Fernanda Lima                                            3800
         8 Roberto Faria                                            2900
         9 Cláudia Mendes                                           5300
        10 Tiago Barbosa                                            4700

10 rows selected.

SQL> delete app.salario where id=1 ; 

1 row deleted.

SQL> rollback ;

Rollback complete.

Como podemos ver acima, ambos têm permissão de "leitura e escrita" na tabela.

Agora, vamos criar uma regra no DBV que limita João a ter apenas acesso de SELECT, enquanto Maria poderá realizar as demais alterações.

Criando as roles "vazias":

SQL> conn / as sysdba 
Connected.
SQL> show user
USER is "SYS"
SQL> CREATE ROLE DBV_SELECT;

Role created.

SQL> CREATE ROLE DBV_DML;

Role created.

Obs.: As roles acima não possuem nenhuma permissão; elas serão utilizadas apenas como uma FLAG.

Criando a regra de Select:

SQL> show user
USER is "DBV_ADMIN"

SQL> BEGIN
  DVSYS.DBMS_MACADM.CREATE_RULE_SET(
    rule_set_name    => 'RULE_SET_SELECT',
    description      => 'Rule Set enabled for SELECT operations',
    enabled          => DVSYS.DBMS_MACUTL.G_YES,
    eval_options     => DBMS_MACUTL.G_RULESET_EVAL_ALL,
    audit_options    => DBMS_MACUTL.G_RULESET_AUDIT_FAIL,
    fail_options     => DBMS_MACUTL.G_RULESET_FAIL_SHOW,
    fail_message     => 'Access denied: You do not have SELECT privileges',
    fail_code        => -20001,
    handler_options  => DBMS_MACUTL.G_RULESET_HANDLER_OFF,
    handler          => NULL
  );
END;
/  2    3    4    5    6    7    8    9   10   11   12   13   14   15  

PL/SQL procedure successfully completed.

Adicionando "command rule" a Rule SET :

BEGIN
  DVSYS.DBMS_MACADM.CREATE_COMMAND_RULE(
    command         => 'SELECT',
    rule_set_name   => 'RULE_SET_SELECT',
    object_owner    => 'APP',
    object_name     => 'SALARIO',
    enabled         => DVSYS.DBMS_MACUTL.G_YES
  );
END;
/

Criando a rule:

QL> BEGIN
  DVSYS.DBMS_MACADM.CREATE_RULE(
    rule_name => 'RULE_SELECT',
    rule_expr => 'DVSYS.DBMS_MACUTL.USER_HAS_ROLE_VARCHAR(''DBV_SELECT'',''"''||dvsys.dv_login_user||''"'') = ''Y'''
  );
END;
/  2    3    4    5    6    7  

PL/SQL procedure successfully completed.

Agora, vamos fechar o "ciclo". Precisamos adicionar a Rule a Rule_Set, pois é dessa forma que o DBV "entenderá" que criamos uma condição específica para permitir que o usuário execute SELECT na tabela salario.

No nosso caso, configuramos o DBV para o seguinte:

O usuário precisa ter a role DBV_SELECT para poder executar SELECT na tabela.

A role, por si só, não concede nenhum privilégio; ela foi criada como uma role "vazia" para ser usada como condição para realizar o SELECT na tabela.

No entanto, no DBV, você pode criar outras condições, como:

Permitir acesso somente a partir de um IP específico.
Restringir o acesso a determinados horários.
Outros

Adicionando a rule a rule_set:

SQL> BEGIN
  DVSYS.DBMS_MACADM.ADD_RULE_TO_RULE_SET(
    rule_set_name => 'RULE_SET_SELECT',
    rule_name     => 'RULE_SELECT'
  );
END;
/  2    3    4    5    6    7  

PL/SQL procedure successfully completed.

Ainda não atribuímos a role DBV_SELECT nem para João, nem para Maria. Antes disso, eles conseguiam executar SELECT na tabela. Vamos testar agora para ver o que acontece...

SQL> show user 
USER is "JOAO"
SQL> select * from app.salario ;
select * from app.salario
                  *
ERROR at line 1:
ORA-47306: 20001: Access denied: You do not have SELECT privileges


SQL> conn maria 
Enter password: 
Connected.
SQL> show user
USER is "MARIA"
SQL> select * from app.salario ;
select * from app.salario
                  *
ERROR at line 1:
ORA-47306: 20001: Access denied: You do not have SELECT privileges

Agora vamos atribuir a role aos usuários:

SQL> conn / as sysdba 
Connected.
SQL> grant DBV_SELECT to joao ;

Grant succeeded.

SQL> grant DBV_SELECT to maria ; 

Grant succeeded.

"Mas Diogo, você concedeu o acesso da role pelo usuário SYS. Qualquer pessoa com acesso ao usuário SYS poderia conceder a role e obter acesso não autorizado."

Sim, isso é verdade. No entanto, no DBV, você pode limitar quem pode conceder grants e até configurar REALMs para isolar o ambiente. Para não deixar este artigo muito extenso, estou mantendo o usuário SYS ainda com essa "permissão". Porém, em um próximo artigo, mostrarei como configurar o DBV para restringir a concessão de grants a usuários específicos e como criar e gerenciar REALMs.

Agora vamos ver se os usuários voltaram acessar os dados:

SQL> 
SQL> 
SQL> conn maria 
Enter password: 
Connected.
SQL> select * from app.salario ;

        ID NOME                                                  SALARIO
---------- --------------------------------------------------  ------------
         1 João Silva                                              3000
         2 Maria Oliveira                                          4500
         3 Carlos Santos                                           5000
         4 Ana Costa                                               3200
         5 Pedro Almeida                                           2700
         6 Luiza Ferreira                                          6100
         7 Fernanda Lima                                           3800
         8 Roberto Faria                                           2900
         9 Cláudia Mendes                                          5300
        10 Tiago Barbosa                                           4700

10 rows selected.

SQL> conn joao
Enter password: 
Connected.
SQL> select * from app.salario ;

        ID NOME                                                  SALARIO
---------- -------------------------------------------------- --------------
         1 João Silva                                               3000
         2 Maria Oliveira                                           4500
         3 Carlos Santos                                            5000
         4 Ana Costa                                                3200
         5 Pedro Almeida                                            2700
         6 Luiza Ferreira                                           6100
         7 Fernanda Lima                                            3800
         8 Roberto Faria                                            2900
         9 Cláudia Mendes                                           5300
        10 Tiago Barbosa                                            4700

10 rows selected.

Agora vamos implementar a regra DML e deixar somente a Maria com permissões de alterar os dados.

SQL> show user
USER is "DBV_ADMIN"
SQL> 
SQL> 
SQL> 
SQL> BEGIN
  DVSYS.DBMS_MACADM.CREATE_RULE_SET(
    rule_set_name    => 'RULE_SET_DML',
    description      => 'Rule Set enabled for DML operations',
    enabled          => DVSYS.DBMS_MACUTL.G_YES,
    eval_options     => DBMS_MACUTL.G_RULESET_EVAL_ALL,
    audit_options    => DBMS_MACUTL.G_RULESET_AUDIT_FAIL,
    fail_options     => DBMS_MACUTL.G_RULESET_FAIL_SHOW,
    fail_message     => 'Access denied: You do not have DML privileges.',
    fail_code        => -20002,
    handler_options  => DBMS_MACUTL.G_RULESET_HANDLER_OFF,
    handler          => NULL
  );
END;
/  2    3    4    5    6    7    8    9   10   11   12   13   14   15  

PL/SQL procedure successfully completed.

SQL> BEGIN
  DVSYS.DBMS_MACADM.CREATE_COMMAND_RULE(
    command         => 'INSERT',
    rule_set_name   => 'RULE_SET_DML',
    object_owner    => 'APP',
    object_name     => 'SALARIO',
    enabled         => DVSYS.DBMS_MACUTL.G_YES
  );
END;
/  2    3    4    5    6    7    8    9   10  

PL/SQL procedure successfully completed.

SQL> BEGIN
  DVSYS.DBMS_MACADM.CREATE_COMMAND_RULE(
    command         => 'UPDATE',
    rule_set_name   => 'RULE_SET_DML',
    object_owner    => 'APP',
    object_name     => 'SALARIO',
    enabled         => DVSYS.DBMS_MACUTL.G_YES
  );
END;
/  2    3    4    5    6    7    8    9   10  

PL/SQL procedure successfully completed.

SQL> BEGIN
  DVSYS.DBMS_MACADM.CREATE_COMMAND_RULE(
    command         => 'DELETE',
    rule_set_name   => 'RULE_SET_DML',
    object_owner    => 'APP',
    object_name     => 'SALARIO',
    enabled         => DVSYS.DBMS_MACUTL.G_YES
  );
END;
/  2    3    4    5    6    7    8    9   10  

PL/SQL procedure successfully completed.

SQL> BEGIN
  DVSYS.DBMS_MACADM.CREATE_RULE(
    rule_name => 'RULE_DML',
    rule_expr => 'DVSYS.DBMS_MACUTL.USER_HAS_ROLE_VARCHAR(''DBV_DML'',''"''||dvsys.dv_login_user||''"'') = ''Y'''
  );
END;
/  2    3    4    5    6    7  

PL/SQL procedure successfully completed.

SQL> 
SQL> BEGIN
  DVSYS.DBMS_MACADM.ADD_RULE_TO_RULE_SET(
    rule_set_name => 'RULE_SET_DML',
    rule_name     => 'RULE_DML'
  );
END;
/  2    3    4    5    6    7  

PL/SQL procedure successfully completed.

Concedendo a permissão apenas para Maria:

SQL> grant DBV_DML to maria ; 

Grant succeeded.

SQL> conn joao 
Enter password: 
Connected.

SQL> show user
USER is "JOAO"

SQL> delete from app.salario where id=4 ; 
delete from app.salario where id=4
                *
ERROR at line 1:
ORA-47306: 20002: Access denied: You do not have DML privileges.


SQL> update app.salario set nome='Diogo' where id=4 ; 
update app.salario set nome='Diogo' where id=4
           *
ERROR at line 1:
ORA-47306: 20002: Access denied: You do not have DML privileges.


SQL> insert into app.salario values (11,'Diogo',1000) ; 
insert into app.salario values (11,'Diogo',1000)
                *
ERROR at line 1:
ORA-47306: 20002: Access denied: You do not have DML privileges.

SQL> conn maria
Enter password: 
Connected.
SQL> show user
USER is "MARIA"
SQL> delete from app.salario where id=4 ; 

1 row deleted.

SQL> update app.salario set nome='Diogo' where id=5 ; 

1 row updated.

SQL>  insert into app.salario values (11,'Diogo',1000) ; 

1 row created.

SQL> commit ;

Commit complete.

O Database Vault é ótimo em "delimitar" espaço, uma vez que as regras de acesso aos dados são bem desenhadas com a equipe de compliance e segurança. As restrições podem ser implementadas com sucesso no seu ambiente. Esta é uma pequena demonstração de como o DBV atua. Como sempre, recomendo que, valide exaustivamente no seu ambiente de homologação antes de aplicar em produção.

Instalando Database Vault

Diogo Fernandes — Sun, 29 Dec 2024 16:59:58 GMT

No artigo anterior, demonstrei como configurar o Database Vault em um ambiente.

No entanto, em alguns ambientes 19c que foram migrados da versão 11g, o Database Vault pode não estar instalado. Mas como posso verificar isso?

sqlplus / as sysdba 

SQL*Plus: Release 19.0.0.0.0 - Production on Tue Oct 29 20:58:51 2024
Version 19.19.0.0.0

Copyright (c) 1982, 2022, Oracle.  All rights reserved.


Connected to:
Oracle Database 19c Enterprise Edition Release 19.0.0.0.0 - Production
Version 19.19.0.0.0

SQL> set pages 50
SQL> set line 200
SQL> col comp_name for a50
SQL> SELECT  comp_name, version, status FROM dba_registry WHERE comp_name in( 'Oracle Database Vault', 'Oracle Label Security');

no rows selected

SQL> SELECT  comp_name, version FROM dba_registry  ;

COMP_NAME                                                                   VERSION       
-------------------------------------------------- --------------
Oracle Database Catalog Views                                   19.0.0.0.0    
Oracle Database Packages and Types                        19.0.0.0.0    
JServer JAVA Virtual Machine                                      19.0.0.0.0    
Oracle XDK                                                                     19.0.0.0.0    
Oracle Database Java Packages                                  19.0.0.0.0    
OLAP Analytic Workspace                                            19.0.0.0.0    
Oracle Real Application Clusters                                 19.0.0.0.0    
Oracle Workspace Manager                                         19.0.0.0.0    
Oracle Text                                                                     19.0.0.0.0    
Oracle XML Database                                                   19.0.0.0.0    
Oracle Multimedia                                                         19.0.0.0.0    
Spatial                                                                             19.0.0.0.0    
Oracle OLAP API                                                            19.0.0.0.0    
Oracle Application Express                                           5.0.4.00.12   

14 rows selected.

Como podemos ver acima, este é um banco 19C e não temos o DBV instalado.

O Database vault é dependente do Oracle Label Security, então vamos "instalar" ele primeiro e depois o Database Vault.

Preparação para instalar o Oracle Label Security

Criação de Tablespace's exclusivas para esses itens:

CREATE TABLESPACE TBS_DBV DATAFILE SIZE 1G AUTOEXTEND ON NEXT 1G ;

CREATE TEMPORARY TABLESPACE TBS_DBV_TEMP TEMPFILE SIZE 1G AUTOEXTEND ON NEXT 1G ;

Verificando....

SQL> select TABLESPACE_NAME from dba_tablespaces where TABLESPACE_NAME in ('TBS_DBV','TBS_DBV_TEMP') ;

TABLESPACE_NAME
------------------------------
TBS_DBV
TBS_DBV_TEMP

Criando um restore point que nunca é demais....

create restore point PRE_DBV guarantee flashback database;

Agora vamos iniciar o procedimento de instalação do DBV, este procedimento está na nota: How To Enable/Install/Uninstall Database Vault in oracle database? (Doc ID 2112167.1)

Instalando o Label Security (Este procedimento demora em torno de 10 a 20 min)

@$ORACLE_HOME/rdbms/admin/catols.sql

Depois da execução do script acima, saia no sqlplus e logue novamente para executar os seguintes comandos:

exec lbacsys.configure_ols
exec lbacsys.ols_enforcement.enable_ols

SQL> exec lbacsys.configure_ols

PL/SQL procedure successfully completed.

SQL> exec lbacsys.ols_enforcement.enable_ols

PL/SQL procedure successfully completed.

Vamos verificar agora se o label secury foi instalado com sucesso:

set line 200
set pages 45
col comp_name for a50
SELECT  comp_name, version, status FROM dba_registry WHERE comp_name in( 'Oracle Database Vault', 'Oracle Label Security');

COMP_NAME                                          VERSION                        STATUS
-------------------------------------------------- ------------------------ 
Oracle Label Security                              19.0.0.0.0                     VALID

Agora vamos instalar o Database Vault, o primeiro parâmetro é a Tablespace permanente e a segunda temporária que criamos no início do artigo.

@$ORACLE_HOME/rdbms/admin/catmac.sql TBS_DBV TBS_DBV_TEMP

sqlplus / as sysdba 

SQL*Plus: Release 19.0.0.0.0 - Production on Tue Oct 29 22:36:23 2024
Version 19.19.0.0.0

Copyright (c) 1982, 2022, Oracle.  All rights reserved.


Connected to:
Oracle Database 19c Enterprise Edition Release 19.0.0.0.0 - Production
Version 19.19.0.0.0

SQL> select TABLESPACE_NAME from dba_tablespaces where TABLESPACE_NAME in ('TBS_DBV','TBS_DBV_TEMP') ;

TABLESPACE_NAME
------------------------------
TBS_DBV
TBS_DBV_TEMP

SQL> show user 
USER is "SYS"
-- A execução deste script demora por volta de 10 min.

SQL> @$ORACLE_HOME/rdbms/admin/catmac.sql TBS_DBV TBS_DBV_TEMP

Ultimas linhas do spool:

Commit complete.

SQL> 
SQL> @?/rdbms/admin/sqlsessend.sql
SQL> Rem
SQL> Rem $Header: rdbms/admin/sqlsessend.sql /main/3 2018/07/25 13:50:02 surman Exp $
SQL> Rem
SQL> Rem sqlsessend.sql
SQL> Rem
SQL> Rem Copyright (c) 2013, 2018, Oracle and/or its affiliates.
SQL> Rem All rights reserved.
SQL> Rem
SQL> Rem    NAME
SQL> Rem      sqlsessend.sql - SQL session end
SQL> Rem
SQL> Rem    DESCRIPTION
SQL> Rem      Any commands which should be run at the end of all oracle
SQL> Rem      supplied scripts.
SQL> Rem
SQL> Rem    NOTES
SQL> Rem      See sqlsessstart.sql for the corresponding start script.
SQL> Rem
SQL> Rem    BEGIN SQL_FILE_METADATA
SQL> Rem    SQL_SOURCE_FILE: rdbms/admin/sqlsessend.sql
SQL> Rem    SQL_SHIPPED_FILE: rdbms/admin/sqlsessend.sql
SQL> Rem    SQL_PHASE: MISC
SQL> Rem    SQL_STARTUP_MODE: NORMAL
SQL> Rem    SQL_IGNORABLE_ERRORS: NONE
SQL> Rem    END SQL_FILE_METADATA
SQL> Rem
SQL> Rem    MODIFIED   (MM/DD/YY)
SQL> Rem    surman      05/04/18 - 27464252: Update SQL_PHASE
SQL> Rem    surman      03/08/13 - 16462837: Common start and end scripts
SQL> Rem    surman      03/08/13 - Created
SQL> Rem
SQL> 
SQL> alter session set "_ORACLE_SCRIPT" = false;

Instalação concluída vamos verificar os status do database vault:

set line 200
set pages 45
col comp_name for a50
SELECT  comp_name, version, status FROM dba_registry WHERE comp_name in( 'Oracle Database Vault', 'Oracle Label Security');


COMP_NAME                                          VERSION                        STATUS
-------------------------------------------------- -----------------------------
Oracle Label Security                              19.0.0.0.0                     VALID
Oracle Database Vault                             19.0.0.0.0                     VALID

Pronto! Caso você queira habilitar/configurar o Database Vault no seu banco de dados, dá uma olhada nesse link:

Algumas observações:

1 - A instalação do Label Security em instâncias que estão em RAC e com PDB pode causar um "stuck" na segunda instância. Tive esse problema em versões abaixo da 19.20, mas, até onde verifiquei, ele foi resolvido a partir da versão 19.20.

2 - Caso algum objeto fique inválido, execute o UTLRP. Recomendo fazer um backup da tabela DBA_OBJECTS com a condição WHERE STATUS='INVALID' para verificar posteriormente se todos os objetos permanecem "estáveis" após a instalação do DBV.

Como sempre, recomendo realizar validações rigorosas em homologações e nunca executar nada diretamente em produção.

Oracle Database Vault: Uma verdadeira "Muralha" para seu banco de dados

Diogo Fernandes — Sun, 29 Dec 2024 16:56:39 GMT

Até aqui, tínhamos liberdade para fazer qualquer coisa com o usuário SYS, com certeza podíamos dizer que ele era o 'Zeus' do banco de dados Oracle. Só que, no momento em que ativamos o Database Vault, algumas regras mudam. Vamos habilitar o Database Vault e observar na prática como ele se comporta no banco de dados.

Primeiro vamos verificar se o Database Vault e o Label Security estão "instalados" no banco de dados.

 SQL> SELECT  comp_name, version, status FROM dba_registry WHERE comp_name in( 'Oracle Database Vault', 'Oracle Label Security');

Component                                    Version           Status
-------------------------------------------- ----------------- -----------------
Oracle Label Security                        19.0.0.0.0        VALID
Oracle Database Vault                        19.0.0.0.0        VALID

Já que os componentes estão instalados podemos prosseguir...

Mas antes gostaria de colocar uma observação, nem todo o banco tem o DBV e Label security instalados, principalmente aqueles bancos que foram migrados do 11G para o 19C. Em breve disponibilizarei um link nesse artigo demonstrando como instalar esses componentes "do zero".

Sem delongas, vamos para a parte boa.

O Database Vault precisa de 2 usuários, de forma macro, esses usuários são o de administração e o de gerenciamento. "NAO PERCA A SENHA DESSES USUÁRIOS, ISSO PODE TE DAR UMA GRANDE DOR DE CABEÇA".

Vamos la:

CREATE PROFILE PRF_DATABASE_VAULT LIMIT password_life_time UNLIMITED;

CREATE USER DBV_ADMIN IDENTIFIED BY WElcome1#_ PROFILE PRF_DATABASE_VAULT;

CREATE USER DBV_ADMIN_BACKUP IDENTIFIED BY WElcome1#_ PROFILE PRF_DATABASE_VAULT;

CREATE USER DBV_MGR IDENTIFIED BY WElcome1#_ PROFILE PRF_DATABASE_VAULT;

CREATE USER DBV_MGR_BACKUP IDENTIFIED BY WElcome1#_ PROFILE PRF_DATABASE_VAULT;

GRANT DV_OWNER TO DBV_ADMIN;
GRANT DV_ADMIN TO DBV_ADMIN;
GRANT CONNECT TO DBV_ADMIN;
GRANT CREATE SESSION TO DBV_ADMIN;

GRANT DV_ACCTMGR TO DBV_MGR;
GRANT CONNECT TO DBV_MGR;
GRANT CREATE SESSION TO DBV_MGR;


GRANT DV_OWNER TO DBV_ADMIN_BACKUP;
GRANT DV_ADMIN TO DBV_ADMIN_BACKUP;
GRANT CONNECT TO DBV_ADMIN_BACKUP;
GRANT CREATE SESSION TO DBV_ADMIN_BACKUP;

GRANT DV_ACCTMGR TO DBV_MGR_BACKUP;
GRANT CONNECT TO DBV_MGR_BACKUP;
GRANT CREATE SESSION TO DBV_MGR_BACKUP;

Anteriormente disse que são 2 usuários para o Database Vault, um admin e outro de MGR, por precaução criamos um usuário backup, para caso algo ocorra com os principais usuários.

SQL> CREATE PROFILE PRF_DATABASE_VAULT LIMIT password_life_time UNLIMITED;

Profile created.

SQL> 
SQL> CREATE USER DBV_ADMIN IDENTIFIED BY WElcome1#_ PROFILE PRF_DATABASE_VAULT;

User created.

SQL> 
SQL> CREATE USER DBV_ADMIN_BACKUP IDENTIFIED BY WElcome1#_ PROFILE PRF_DATABASE_VAULT;

User created.

SQL> 
SQL> CREATE USER DBV_MGR IDENTIFIED BY WElcome1#_ PROFILE PRF_DATABASE_VAULT;

User created.

SQL> 
SQL> CREATE USER DBV_MGR_BACKUP IDENTIFIED BY WElcome1#_ PROFILE PRF_DATABASE_VAULT;

User created.

SQL> GRANT DV_OWNER TO DBV_ADMIN;

Grant succeeded.

SQL> GRANT DV_ADMIN TO DBV_ADMIN;

Grant succeeded.

SQL> GRANT CONNECT TO DBV_ADMIN;

Grant succeeded.

SQL> GRANT CREATE SESSION TO DBV_ADMIN;

Grant succeeded.

SQL> 
SQL> GRANT DV_ACCTMGR TO DBV_MGR;

Grant succeeded.

SQL> GRANT CONNECT TO DBV_MGR;

Grant succeeded.

SQL> GRANT CREATE SESSION TO DBV_MGR;

Grant succeeded.

SQL> 
SQL> 
SQL> GRANT DV_OWNER TO DBV_ADMIN_BACKUP;

Grant succeeded.

SQL> GRANT DV_ADMIN TO DBV_ADMIN_BACKUP;

Grant succeeded.

SQL> GRANT CONNECT TO DBV_ADMIN_BACKUP;

Grant succeeded.

SQL> GRANT CREATE SESSION TO DBV_ADMIN_BACKUP;

Grant succeeded.

SQL> 
SQL> GRANT DV_ACCTMGR TO DBV_MGR_BACKUP;

Grant succeeded.

SQL> GRANT CONNECT TO DBV_MGR_BACKUP;

Grant succeeded.

SQL> GRANT CREATE SESSION TO DBV_MGR_BACKUP;

Grant succeeded.

Agora vamos ativar o DBV, como eu disse no início desse artigo o Database Vault vai mudar completando as permissões no banco, um exemplo que o SYS vai se tornar "um usuário mortal apenas", nenhum usuário terá mais super poderes, então homologue bastante o Database Vault

Antes de ativar em produção. Avisos feitos. Vamos la!

verificando status atual:


select * from cdb_dv_status where name in ('DV_CONFIGURE_STATUS','DV_ENABLE_STATUS') ; 
NAME                Status                CON_ID
------------------- ----------------- ----------
DV_CONFIGURE_STATUS FALSE                      0
DV_ENABLE_STATUS    FALSE                      0

Criando um restore point que nunca é demais:

SQL> create restore point PRE_DBV guarantee flashback database;

Restore point created.

configurando DBV:

BEGIN
 DVSYS.CONFIGURE_DV (
   dvowner_uname         => 'DBV_ADMIN',
   dvacctmgr_uname       => 'DBV_MGR');
 END;
/

 SQL> select * from cdb_dv_status where name in ('DV_CONFIGURE_STATUS','DV_ENABLE_STATUS') ; 

NAME                                            STATUS        
-------------------                  --------------
DV_CONFIGURE_STATUS            TRUE          
DV_ENABLE_STATUS                    FALSE

O configure esta como true, vamos ativar o dbv.

ativando dbv:

conn dbv_admin/WElcome1#_

EXEC DBMS_MACADM.ENABLE_DV;

SQL> conn dbv_admin/WElcome1#_
Connected.
SQL> 
SQL> 
SQL> 
SQL> show user
USER is "DBV_ADMIN"
SQL> EXEC DBMS_MACADM.ENABLE_DV;

PL/SQL procedure successfully completed.

SQL>  select * from cdb_dv_status where name in ('DV_CONFIGURE_STATUS','DV_ENABLE_STATUS') ; 

NAME                STATUS          CON_ID
------------------- ----------- ------------------
DV_CONFIGURE_STATUS TRUE              0
DV_ENABLE_STATUS    FALSE             0

Mesmo depois do "activate" DBV status está como FALSE, para ativarmos precisamos reiniciar a instância...

Estamos vamos la:

SQL> shut immediate ; 
startup ; 
Database closed.
Database dismounted.
ORACLE instance shut down.
SQL> ORACLE instance started.

Total System Global Area 2365584096 bytes
Fixed Size                  8942304 bytes
Variable Size             520093696 bytes
Database Buffers         1828716544 bytes
Redo Buffers                7831552 bytes
Database mounted.
Database opened.

SQL> select * from cdb_dv_status where name in ('DV_CONFIGURE_STATUS','DV_ENABLE_STATUS') ; 

NAME                STATUS                   CON_ID
------------------- -------------------- ----------
DV_CONFIGURE_STATUS TRUE                          0
DV_ENABLE_STATUS    TRUE                          0

Pronto, DBV ativado.

Antes, podíamos criar usuários normalmente:

SQL> show user      
USER is "SYS"
SQL> create user dbv_teste_sys identified by WElcome1#_ ; 

User created.

SQL> drop user dbv_teste_sys ;

User dropped.

Agora vamos tentar criar um usuário com o DBV ativado:

SQL> show user
USER is "SYS"
SQL> create user dbv_teste_sys identified by WElcome1#_ ;      
create user dbv_teste_sys identified by WElcome1#_
*
ERROR at line 1:
ORA-01031: insufficient privileges

para criar usuários agora apenas com o usuário DBV_MGR

conn DBV_MGR/WElcome1#_

SQL> show user
USER is "DBV_MGR"
SQL>  create user dbv_teste_sys identified by WElcome1#_ ; 

User created.

Antes de ativar o DBV, homologue profundamente no seu ambiente e fique atento as permissões que serão revogadas das roles. Nesse link você conseguirá ver todas as roles e as melhores praticas para o mesmo.

Como autenticar vários usuários de aplicações utilizando o A.D

Diogo Fernandes — Sun, 29 Dec 2024 15:19:01 GMT

No post anterior fiz uma breve introdução de como conectar no Oracle autenticando pelo Windows A.D.

Mas de fato o que são tokens? Como carregar vários tokens manualmente na estação? É isso que vamos ver neste post.

De forma macro, como tudo isso funciona? Vamos la!

Assim como descrito no artigo anterior, nos geramos um arquivo chamado databasenode1.keytab com o comando ktpass, do qual foi executado no A.D.

Posteriormente, transferimos esse arquivo para o servidor de banco de dados e referenciamos esse arquivo la no sqlnet.ora com o arquivo krb5.conf que contém as informações do A.D, ou seja, neste momento criamos uma ponte entre o Oracle e o A.D para se comunicarem através do protocolo kerberos.

SQLNET.KERBEROS5_CONF=/u01/app/oracle/product/19.0/dbhome_1/network/admin/krb5.conf
SQLNET.KERBEROS5_KEYTAB=/u01/app/oracle/product/19.0/dbhome_1/network/admin/databasenode1.keytab

Uma vez isso pronto, agora vamos para a parte de como a maquina cliente carregar o token.

Como a imagem acima demostra, a maquina client vai fazer uma requisição de "Credential Cache" essa credential cache é uma autorização que o A.D concederá a máquina client depois que o comando okinit for executado com sucesso, vamos ver como isso funciona na prática.

Acima, executamos o comando okinit para o usuário prodapp01, podemos ver que logo abaixo foi requisitado a senha do usuário, ou seja, nesse momento ele foi até o A.D para validar o usuário, uma vez a senha correta digitada, ele retorna para você uma Credential Cache.

O comando "oklist" sempre será utilizado para verificar o status da credential cache, na imagem acima podemos ver o local onde ela esta "armazenada" na linha "Ticket cache: File", a quem pertence "prodapp01@DATACOSMOS.COM.BR" e a validade "07/24/23 15:58:04". O local de armazenamento pode ser definido pelo sintaxe "-c" no comando "okinit" ou definir um local padrão no sqlnet.ora.

PS: O arquivo é criptografado.

SQLNET.KERBEROS5_CC_NAME=C:\temp\cc_name

Agora que a credential cache está na nossa máquina client, vamos fazer a conexão com o Oracle, esse passo, como funciona? Vamos la!!!

A maquina client, se apresenta ao Oracle com a seguinte apresentação:

- E ai Oracle! Blz? Tenho uma Credential Cache aqui, e gostaria de conectar.

Oracle:

- E ai jovem! blz? Espera aí que vou verificar com o AD...

- A.D, blz? Tem uma máquina client aqui com a credential cache do usuário "prodapp01" posso liberar a conexão?

A.D:

- Oracle, essa credencial que você me informou é valida, pode liberar o acesso.

Oracle:

- Blz! Vou liberar o acesso

Acabamos de ver a parte "gráfica", agora vamos para o "bash".

Na prática, é isso que acontece:

PS: Não façam isso em PRODUÇÃO hehe.

No banco:

[oracle@databasenode1 admin]$ sqlplus / as sysdba 


SQL*Plus: Release 19.0.0.0.0 - Production on Tue Jul 25 15:08:03 2023
Version 19.17.0.0.0


Copyright (c) 1982, 2022, Oracle.  All rights reserved.




Connected to:
Oracle Database 19c Enterprise Edition Release 19.0.0.0.0 - Production
Version 19.17.0.0.0


SQL> alter user prodapp01 identified externally as 'prodapp01@DATACOSMOS.COM.BR' ; 


User altered.

PS: Esse alter user só precisa ser feito na primeira vez.

Na máquina de aplicação:

Agora que compreendemos como acontece a negociação com a credential cache adquirida pelo A.D vamos para a parte de como conectar mais de um usuário de aplicação.

Mas antes vamos a uma breve história, até na versão 19.9, não era possível utilizar mais de uma conexão partindo da mesma sessão, mas qual era a limitação?

Não existia a possibilidade do tnsnames ler várias credential cache ao mesmo tempo, porém, a partir da versão 19.10 do Oracle Client, possibilitou carregar mais de um token/credential cache e apontá-los diretamente no tnsnames para a conexão correta. Mas de fato como isso funciona na prática e como fazer?

Utilizaremos como exemplo o usuário prodapp01 e prodapp02.

Antes de carregar os tokens dos usuários, vamos destruir o que está no caminho "default"

Agora vamos carregar o token o usuário prodapp01 e prodapp02.

Verificando o status dos 2 tokens:

Pronto, uma vez os tokens devidamente carregados, vamos montar um novo tnsnames, mas porque fazer isso?

Quando temos que acessar via "strong authentication" com um tnsnames normal, ele sempre vai procurar a credential default e não é esse nosso objetivo, para realizarmos a conexão com as credential's que carregamos anteriormente vamos montar o seguinte tnsnames.ora.

PRODAPP01_KERB =
  (DESCRIPTION=(ADDRESS=(PROTOCOL=tcp)(HOST=databaseno1.host)(PORT=1521)) 
    (CONNECT_DATA=
    (SERVICE_NAME=KERB)) 
      (SECURITY=(KERBEROS5_CC_NAME = c:\temp\cc_prodapp01) 
      (KERBEROS5_PRINCIPAL = prodapp01@DATACOSMOS.COM.BR)
    )
  )


PRODAPP02_KERB = 
  (DESCRIPTION=(ADDRESS=(PROTOCOL=tcp)(HOST=databaseno1.host)(PORT=1521)) 
    (CONNECT_DATA=
    (SERVICE_NAME=KERB)) 
      (SECURITY=(KERBEROS5_CC_NAME = c:\temp\cc_prodapp02) 
      (KERBEROS5_PRINCIPAL = prodapp02@DATACOSMOS.COM.BR)
    )
  )

Neste novo tnsnames temos 2 campos adicionais:

SECURITY=(KERBEROS5_CC_NAME = c:\temp\cc_prodapp02)
      (KERBEROS5_PRINCIPAL = prodapp02@DATACOSMOS.COM.BR)

Esses 2 parâmetros permite que utilizemos a credential cache correta que nos carregamos anteriormente:

Agora vamos fazer a conexão com os 2 usuários para ver se tudo está ok.

Podemos ver que agora as aplicações podem utilizar vários usuários "strong authentication" oriundo da mesma sessão do windows.

Sqlnet utilizado nesta configuração:

NAMES.DIRECTORY_PATH= (TNSNAMES, EZCONNECT
SQLNET.AUTHENTICATION_SERVICES= (KERBEROS5,KERBEROS5PRE,BEQ)
SQLNET.FALLBACK_AUTHENTICATION=TRUE
SQLNET.AUTHENTICATION_KERBEROS5_SERVICE=ORACLE
SQLNET.KERBEROS5_CONF=C:\Oracle\CLIENT19C\network\admin\krb5.conf
SQLNET.KERBEROS5_CLOCKSKEW=6000
SQLNET.KERBEROS5_CONF_MIT=TRUE
SQLNET.KERBEROS5_CC_NAME=C:\temp\cc_name)

Espero que este artigo contribua para aumentar a segurança do seu banco de dados e de suas aplicações.

Grande abraço!

Oracle autenticando no Windows AD

Diogo Fernandes — Sun, 29 Dec 2024 14:46:58 GMT

Neste artigo abordaremos uma forma das "Strong Authentications" Oracle.

Ao decorrer deste, utilizaremos o Oracle/Kerberos para se autenticar no AD e então realizar a conexão com a base de dados Oracle.

A utilização deste procedimento remove a utilização de senha na conexão do usuário Oracle, ou seja, aquele velho padrão usuário/senha não existirá mais. Daqui pra frente só conecta no usuário quem tiver o token carregador na maquina cliente, só pra dar uma prévia do que vai acontecer o usuário no banco de dados ficará assim:

ALTER USER DIOGO IDENTIFIED EXTERNALLY AS 'DIOGO.FERNANDES@DATACOSMOS.COM.BR' ;

Vamos lá...

No AD, vamos criar um usuário para o HOST/NODE chamado DATABASENODE1. Em caso de RAC criar um usuário para cada nó, sugiro criar o usuário no grupo de "serviços" para um melhor gerenciamento no futuro.

Uma vez criado vamos executar o comando KTPASS para gerar uma keytab, em resumo este arquivo ficará no sqlnet do Oracle e será responsável por verificar se aquela autenticação é valida ou não. Caso queria saber mais sobre o processo procure por TGT na tecnologia Kerberos que entenderá todo o processo.

Com permissão de ADMIN no power shell execute o comando:

ktpass.exe -princ ORACLE/databasenode1.datacosmos.com.br@DATACOSMOS.COM.BR -mapuser databasenode1 -crypto all -pass "Senha_do_usuario_aqui" -out c:\temp\databasenode1.keytab

Explicando o comando: Parte 1

ktpass.exe -princ ORACLE/databasenode1.datacosmos.com.br@DATACOSMOS.COM.BR

"ORACLE" é o Serviço que criamos no AD com o comando ktpass e iremos vincular no sqlnet do banco posteriormente, depois do "/" vem o nome do host, este nome deve ser o FQDN, com o comando hostname -f você o obtém, depois do "@" vem o seu domínio.

Apos a execução do comando ktpass o nome do usuario deve ficar como ORACLE/NOME_DO_HOST.

Explicando o comando: Parte 2

-mapuser databasenode1 -crypto all -pass "Senha_do_usuario_aqui" -out c:\temp\databasenode1.keytab

Map user é o usuário que criamos anteriormente, crypto é o tipo de criptografia que neste caso está adicionando todas no arquivo de keytab e o cominho out é o arquivo chamado "keytab", este arquivo iremos transferi-lo para o host de banco de dados é fazer o apontamento no sqlnet.ora.

Pronto, com esse comando executado podemos pegar o arquivo c:\temp\DATABASENODE1.keytab do AD e iniciar nossa configuração de Strong Authentication que se autenticará no Windows.

No sqlnet no banco de dados que receberá as conexões via Strong Authentication vamos fazer a seguinte configuração:

[oracle@databasenode1 ~]$ cd $ORACLE_HOME
[oracle@databasenode1 dbhome_1]$ cd network/admin/
[oracle@databasenode1 admin]$ vi sqlnet.ora
[oracle@databasenode1 admin]$ cat sqlnet.ora

# Kerberos Parameters 
SQLNET.AUTHENTICATION_SERVICES=(beq,kerberos5pre,kerberos5)
SQLNET.FALLBACK_AUTHENTICATION=TRUE
SQLNET.AUTHENTICATION_KERBEROS5_SERVICE=ORACLE
SQLNET.KERBEROS5_CONF=/u01/app/oracle/product/19.0/dbhome_1/network/admin/krb5.conf
SQLNET.KERBEROS5_CLOCKSKEW=6000
SQLNET.KERBEROS5_CONF_MIT=TRUE
# Server side only
SQLNET.KERBEROS5_KEYTAB=/u01/app/oracle/product/19.0/dbhome_1/network/admin/databasenode1.keytab

Apos isso vamos colocar as configurações do AD no arquivo krb5.conf que está no sqlnet acima.

[oracle@databasenode1 admin]$ vi /u01/app/oracle/product/19.0/dbhome_1/network/admin/krb5.conf
[oracle@databasenode1 admin]$ cat /u01/app/oracle/product/19.0/dbhome_1/network/admin/krb5.conf
[libdefaults]
default_realm = DATACOSMOS.COM.BR
clockskew = 6000
passwd_check_s_address = false
noaddresses = true
forwardable = yes
[realms]
DATACOSMOS.COM.BR = {
kdc = DATACOSMOS.COM.BR:88
}
[domain_realm]
DATACOSMOS.COM.BR = DATACOSMOS.COM.BR
.DATACOSMOS.COM.BR = DATACOSMOS.COM.BR
datacosmos.com.br = DATACOSMOS.COM.BR
.datacosmos.com.br = DATACOSMOS.COM.BR
domainsecundario.com.com=DATACOSMOS.COM.BR
.domainsecundario.com.com=DATACOSMOS.COM.BR
domainsecundario.com.COM=DATACOSMOS.COM.BR
.domainsecundario.com.COM=DATACOSMOS.COM.BR

OBS: Caso o domínio tenha correlação de confiança entre outros domínios, colocar todos como no exemplo acima. O Master é o DATACOMOS.COM.BR então criarei outros apontamentos do domainsecundario para o DATACOMOS.COM.BR, como no exemplo acima.

Uma vez essas configurações feitas vamos para o banco de dados:

[oracle@databasenode1 ~]$ sqlplus diogo@kerb


SQL*Plus: Release 19.0.0.0.0 - Production on Mon Jul 17 22:33:39 2023
Version 19.17.0.0.0


Copyright (c) 1982, 2022, Oracle.  All rights reserved.


Enter password: 
Last Successful login time: Mon Jul 17 2023 15:21:23 -03:00


Connected to:
Oracle Database 19c Enterprise Edition Release 19.0.0.0.0 - Production
Version 19.17.0.0.0


SQL> show user 
USER is "DIOGO"

Podemos ver que o usuário "DIOGO" ainda esta autenticando pela forma padrão do Oracle, ou seja, usuário e senha.

Agora vamos fazer uma alteração no usuário para ele autenticar "externamente" ou seja, ele irá verificar se existe o token do usuário diogo.fernandes carregado na maquina Windows, caso sim, ele fechará conexão com o Oracle.

[oracle@databasenode1 ~]$ sqlplus / as sysdba


SQL*Plus: Release 19.0.0.0.0 - Production on Mon Jul 17 22:38:10 2023
Version 19.17.0.0.0


Copyright (c) 1982, 2022, Oracle.  All rights reserved.




Connected to:
Oracle Database 19c Enterprise Edition Release 19.0.0.0.0 - Production
Version 19.17.0.0.0


SQL> ALTER USER DIOGO IDENTIFIED  EXTERNALLY  AS 'DIOGO.FERNANDES@DATACOSMOS.COM.BR' ;


User altered.

Pronto, agora vamos pra maquina Windows "Client".

Vamos fazer uma instalação rápida do Client 19C:

Sempre selecionar a opção Administrador neste caso.

Na pasta $ORACLE_HOME/network/admin temos os seguintes arquivos:

krb5.conf
sqlnet.ora
tnsnames.ora

O arquivo krb5.conf tem as informações necessárias para obter as informações do AD, ele será mencionado no sqlnet.ora e é assim que o Oracle vai saber em qual AD buscar e validar as informações de token, segue o arquivo de configuração do krb5.conf

[libdefaults]
default_realm = DATACOSMOS.COM.BR
clockskew = 6000
passwd_check_s_address = false
noaddresses = true
forwardable = yes
[realms]
DATACOSMOS.COM.BR = {
kdc = DATACOSMOS.COM.BR:88
}
[domain_realm]
DATACOSMOS.COM.BR = DATACOSMOS.COM.BR
.DATACOSMOS.COM.BR = DATACOSMOS.COM.BR
datacosmos.com.br = DATACOSMOS.COM.BR
.datacosmos.com.br = DATACOSMOS.COM.BR
domainsecundario.com.com=DATACOSMOS.COM.BR
.domainsecundario.com.com=DATACOSMOS.COM.BR
domainsecundario.com.COM=DATACOSMOS.COM.BR
.domainsecundario.com.COM=DATACOSMOS.COM.BR

Agora vamos pro sqlnet.ora

NAMES.DIRECTORY_PATH= (TNSNAMES, EZCONNECT)


SQLNET.AUTHENTICATION_SERVICES= (KERBEROS5PRE,BEQ)
SQLNET.FALLBACK_AUTHENTICATION=TRUE
SQLNET.AUTHENTICATION_KERBEROS5_SERVICE=ORACLE
SQLNET.KERBEROS5_CONF=C:\Oracle\CLIENT19C\network\admin\krb5.conf
SQLNET.KERBEROS5_CLOCKSKEW=6000
SQLNET.KERBEROS5_CONF_MIT=TRUE


SQLNET.KERBEROS5_CC_NAME=OSMSFT://

Podemos perceber que a ultima linha do sqlnet.ora esta com o parâmetro "OSMSFT://" setado, isso significa que nesse caso, ele irá utilizar o token previamente carregado pelo AD, mas na pratica o que isso significa ?

No powerShell da maquina cliente...

Assim que conectamos em qualquer "estação" vinculada ao AD, de imediato o AD já fornece token kerberos para aquele usuário, ou seja, no momento que loguei com o meu usuário diogo.fernandes ele já carregou os token's devidos para eu poder autenticar não somente no Oracle mas em qualquer outro serviço que o kerberos também esteja configurado, isso permite que todos os acessos de usuário se limite apenas ao AD, assim, não precisando criar 20 senhas para um usuário.

Como dito anteriormente, não é mais necessário utilizar usuário/senha para conectar no usuário "DIOGO", no momento que passo a informação "/" no sqlplus, ele já entender que é uma autenticação "forte" e inicia a procura por tokens para realizar o handshake entre o servidor de AD e Banco de dados.

No proximo artigo, abordarei sobre usuários de "produção" utilizando strong authentication, como carregar vários tokens nas mesmas maquina, e como configurar o tnsnames propriamente dito para estes usuários.

Artigo baseado na nota Doc ID 1304004.1

Ksplice no Exadata

Diogo Fernandes — Sat, 28 Dec 2024 23:27:23 GMT

Normalmente quando precisamos corrigir qualquer problema no Kernel/OS do Exadata aplicamos o bundle patch de OS do exadata para corrigir o problema, mas você pode encontrar um bug/problema específico que já foi reconhecido pelo ksplice ou que a equipe de suporte da Oracle acabou de solucionar e já publicou no ksplice para resolver o “seu” problema.

Alguns alertas:

Ksplice offline updates may be installed on database nodes only.
Ksplice offline updates are supported for Exadata images 12.1.1.1.2 and later.
Ksplice offline updates are supported only for kernel updates. Exadata does not support ksplice updates for user space packages.

Este é um procedimento que o próprio suporte da Oracle (Doc ID 2207063.1) vai pedir para executá-lo, então execute-o apenas quando for requisitado pelo Suporte Oracle. A razão mais comum pela qual a instalação do ksplice falha é que um ou mais módulos do kernel proprietários são carregados por um produto de segurança de terceiros que modificou o kernel de uma forma que entra em conflito com uma correção do ksplice recebida. O seguinte comando mostra módulos de kernel proprietários carregados:

[root@dbm0db02 ~]#  grep -l P /sys/module/*/taint | cut -f4 -d/ | egrep -v 'oracle(acfs|advm|oks)'
[root@dbm0db02 ~]#

Se não retornar nada podemos iniciar, caso retorne, favor consulte a nota 2207063.1.

Considerando que o procedimento anterior foi executado com sucesso, vamos iniciar o procedimento.

1º vamos acessar o site: https://linux.oracle.com (Logue com a conta da sua organização).

2º Vá em Channels

3 º Selecione a arquitetura:

4 º Procure pelo pacote “Ksplice for Oracle Linux (x86_64)”

5º Depois de clicar em Ksplice for Oracle Linux 7 (x86_64), clique em Channel packages.

6º Agora vamos baixar o pacote exato do seu kernel atual:

[root@dbm0db02 ~]# uname -r

4.14.35-1902.303.5.3.el7uek.x86_64

Vamos dar um CTRL+F e baixar exatamente o package que contem o resultado do “uname -r”

Transfira para o dbnodes e vamos iniciar o procedimento:

[root@dbm0db02 ~]# ll -rths
total 50M
 50M -rw-r--r-- 1 root    root     50M May 22 18:09 uptrack-updates-4.14.35-1902.303.5.3.el7uek.x86_64-20210512-0.noarch.rpm

Como a nota 2207063.1 recomenda, antes de iniciarmos a instalação do ksplice precisamos remover o pacote “exadata-sun.*computenode-exact”.

[root@dbm0db02 ~]#  yum list installed | grep 'exadata-sun.*computenode-exact'
exadata-sun-computenode-exact.noarch       20.1.0.0.0.200616-1         installed

[root@dbm0db02 ~]# yum erase exadata-sun-computenode-exact.noarch
Resolving Dependencies
--> Running transaction check
---> Package exadata-sun-computenode-exact.noarch 0:20.1.0.0.0.200616-1 will be erased
--> Finished Dependency Resolution

Dependencies Resolved

=========================================================================================================================================================================================================== Package                                                       Arch                                   Version                                              Repository                                 Size
===========================================================================================================================================================================================================Removing:
 exadata-sun-computenode-exact                                 noarch                                 20.1.0.0.0.200616-1                                  installed                                 0.0  

Transaction Summary
===========================================================================================================================================================================================================Remove  1 Package

Installed size: 0  
Is this ok [y/N]: y
Downloading packages:
Running transaction check
Running transaction test
Transaction test succeeded
Running transaction
  Erasing    : exadata-sun-computenode-exact-20.1.0.0.0.200616-1.noarch                                                                                                                                1/1 
  Verifying  : exadata-sun-computenode-exact-20.1.0.0.0.200616-1.noarch                                                                                                                                1/1 

Removed:
  exadata-sun-computenode-exact.noarch 0:20.1.0.0.0.200616-1                                                                                                                                               

Complete!

Pacote removido! Vamos a instalação…

[root@dbm0db02 ~]# ll -rths
total 50M
50M -rw-r--r-- 1 root    root     50M May 22 18:09 uptrack-updates-4.14.35-1902.303.5.3.el7uek.x86_64-20210512-0.noarch.rpm

[root@dbm0db02 ~]# yum install /root/uptrack-updates-4.14.35-1902.303.5.3.el7uek.x86_64-20210512-0.noarch.rpm
Examining /root/uptrack-updates-4.14.35-1902.303.5.3.el7uek.x86_64-20210512-0.noarch.rpm: uptrack-updates-4.14.35-1902.303.5.3.el7uek.x86_64-20210512-0.noarch
Marking /root/uptrack-updates-4.14.35-1902.303.5.3.el7uek.x86_64-20210512-0.noarch.rpm to be installed
Resolving Dependencies
--> Running transaction check
---> Package uptrack-updates-4.14.35-1902.303.5.3.el7uek.x86_64.noarch 0:20210512-0 will be installed
--> Finished Dependency Resolution

Dependencies Resolved

=========================================================================================================================================================================================================== Package                                                          Arch                 Version                   Repository                                                                           Size
===========================================================================================================================================================================================================Installing:
 uptrack-updates-4.14.35-1902.303.5.3.el7uek.x86_64               noarch               20210512-0                /uptrack-updates-4.14.35-1902.303.5.3.el7uek.x86_64-20210512-0.noarch                51 M

Transaction Summary
===========================================================================================================================================================================================================Install  1 Package

Total size: 51 M
Installed size: 51 M
Is this ok [y/d/N]: y
Downloading packages:
Running transaction check
Running transaction test
Transaction test succeeded
Running transaction
  Installing : uptrack-updates-4.14.35-1902.303.5.3.el7uek.x86_64-20210512-0.noarch                                                                                                                    1/1 
The following steps will be taken:
Install [edt48ylb] Add ftrace safety guard for existing Ksplice updates.
Install [bipgvpw6] Known exploit detection.
Install [lylzl1sj] Known exploit detection for CVE-2017-7308.
Install [snvyltlq] Known exploit detection for CVE-2018-14634.
Install [e2hf1ats] KPTI enablement for Ksplice.
Install [1teh5owg] Known exploit detection for CVE-2018-18445.
Install [44121bvv] Double free with SCSI LSI MPT Fusion SAS attach error.
Install [trh9jthq] CVE-2019-3846: Heap overflow when parsing BSS descriptor in Marvell WiFi-Ex driver.
Install [3cqjhtx3] CVE-2019-19054: Denial-of-service in the cx2388x tv card driver.
Install [7q5nae2r] CVE-2019-15214: Use-after-free when connecting ALSA cards.
Install [ff6vfhdf] CVE-2019-19536: Information leak when initializing PCAN-USB device.
Install [ixsnbim2] CVE-2019-7308: Out-of-bounds speculation in BPF verifier.
Install [2lm6v1an] CVE-2020-12770: Information leak/DoS in SCSI generic userspace write.
Install [67w4v90f] CVE-2020-12464: Use-after-free in USB scatter-gather library.
Install [4tnet5w5] CVE-2019-19534: Information leak using PEAK PCAN-USB/USB Pro interfaces for CAN 2.0b/CAN-FD.
Install [9teqocf3] CVE-2020-12653: Denial-of-service when scanning for APs in mwifiex driver.
Install [qdojji7h] CVE-2019-3846: Heap overflow when parsing fields in Marvell WiFi-Ex driver.
Install [mcajph0v] CVE-2020-12654: Denial-of-service when querying WMM status in mwifiex driver.
Install [3u8vegty] CVE-2020-10757: Flaw in DAX page mapping allows privilege escalation.
Install [nlf0zswi] CVE-2020-10711: NULL pointer dereference when using CIPSO network packet labeling.
Install [ptsm3729] CVE-2019-19533: Information leak in Technotrend/Hauppauge USB DEC driver.
Install [5pv0zta2] CVE-2020-12655: Denial-of-service when syncing data on XFS filesystem.
Install [aadmn3e5] Use-after-free when freeing received data over RDS socket.
Install [c7221zqe] Buffer overflow when dumping registers in LSI Logic MegaRAID SAS RAID driver.
Install [9elx8r6h] CVE-2020-12652: Denial-of-service in the Fusion MTP driver.
Install [hwmxykva] Poor NFS performances caused by excessive attribute revalidation.
Install [tgthi987] Denial-of-service when freezing and unfreezing an XFS filesystem.
Install [cya3ogzy] Improved fix for CVE-2020-2732 when booting nested guests.
Install [e966zc48] Denial-of-service in the Infiniband driver when referencing a node.
Install [cvdwwuzd] Use-after-free in the Infiniband driver when releasing resources.
Install [kjk2vpux] Race condition when sending IB subnet MAD causes denial-of-service.
Install [hiaoskn9] CVE-2020-10766: Information leak using Spectre V4 variant.
Install [t439t60g] NULL-pointer dereference when shutting down DSA switch.
Install [t4avel7c] CVE-2019-19447: Use-after-free when unmounting corrupt ext4 filesystem.
Install [r4pnegf6] CVE-2020-10732: Information leak in corefiles in per-thread info.
Install [e9o5is2i] CVE-2019-19062: Denial-of-service in the crypto subsystem.
Install [q7lx9ooy] CVE-2019-16234: NULL pointer dereference when registering Intel Wireless WiFi driver.
Install [d1l1wlz8] Use-after-free when releasing clocks in PTP clock driver.
Install [3adwuqzu] CVE-2019-19037: Denial-of-service when handling empty directories in ext4 filesystem.
Install [mx9ibtwj] CVE-2019-16232: NULL pointer dereference when registering Marvell Libertas 8385/8686/8688 SDIO 802.11b/g cards.
Install [jm6yd4li] Memory corruption during cgroup destruction with PSI enabled.
Install [bb0tzpz2] Kernel crash in guest VM with machine check exception.
Install [clivbxob] CVE-2019-20811: Denial-of-service in network device sysfs system.
Install [tsh471fw] Add bit for guest kernel to handle kernel panic without host intervention.
Install [mqhc4bmw] Don't return an ACK on some RDMA netlink operations.
Install [4ixr7sgq] CVE-2018-20169: Missing bound check when reading extra USB descriptors.
Install [3nkinjqi] CVE-2018-1000026: Denial-of-service when receiving invalid packet on bnx2x network card.
Install [5f5w0oz6] CVE-2018-18281: Information leak in mremap syscall.
Install [1a5n75aj] CVE-2019-19063: Denial-of-service in the rtlwifi driver.
Install [19lbejmu] CVE-2019-0136: Denial-of-service in Intel(R) wifi driver.
Install [anxgy28r] CVE-2018-20784: Denial-of-service in task scheduling.
Install [1y4ivn6l] CVE-2018-20976: Use-after-free when mounting XFS filesystem.
Install [dhmgixyw] CVE-2015-2150: Denial-of-service in Xen host from the guest.
Install [jurvatrf] CVE-2019-19523: Use-after-free when disconnecting ADU USB devices.
Install [3tcll1ov] CVE-2018-16882: Privilege escalation in nested Intel KVM interrupts.
Install [od6vms9i] CVE-2019-19052: Memory leak when opening USB Socket CAN device driver.
Install [byd1fjvz] CVE-2019-15927: Out-of-bounds accesses in usb audio driver.
Install [rtg2jjko] CVE-2019-9506: Information disclosure when transmitting over bluetooth.
Install [hgb8rgcc] CVE-2019-5108: Denial-of-service of a wireless access point during roaming of a station.
Install [okxy9ag9] CVE-2020-10751: SELinux bypass in netlink message validation.
Install [l8qz0cf1] CVE-2019-15918: Out-of-bounds access during CIFS mount.
Install [fhoaweza] CVE-2019-2024: Use-after-free when disconnecting a Empia EM28xx USB device.
Install [gphk4k5r] CVE-2020-13974: Integer overflow in virtual terminal keyboard interface.
Install [iivjues9] CVE-2019-19528: Denial-of-service when disconnecting IO Warrior USB device.
Install [11uqhn6c] CVE-2020-12114: Race condition in mountpoint counter causes DoS.
Install [b9b9f3kf] CVE-2019-19807: Use-after-free when registering timer in ALSA driver.
Install [hgpl3vss] CVE-2019-15218: Denial-of-service in Siano Mobile Digital TV USB tuner probing.
Install [109qn2xz] CVE-2019-19530: Denial-of-service in USB CDC-ACM probing.
Install [bhcvif0m] CVE-2020-11565: Out-of-bounds access when mounting tmpfs.
Install [mveq6q0v] CVE-2019-2101: Information leak when initializing a usb video device.
Install [96jk0uhc] CVE-2019-15117: Out-of-bounds access when parsing USB descriptor in ALSA USB driver.
Install [ajidrtfz] Improved fix for CVE-2018-17972: Information leak in /proc kernel stack dumps.
Install [uzg2h1sb] CVE-2019-19066: Denial-of-service int SCSI bfa driver.
Install [5d8o75u5] CVE-2019-15118: Stack overflow when checking input source type in ALSA USB driver.
Install [kj8qwnw5] CVE-2019-19051: Memory leak when changing power status of Intel Wireless WiMAX Connection 2400 driver.
Install [dldi73w2] CVE-2018-1129: Signature check bypass of cephx message.
Install [6g7nqusv] CVE-2019-3900: Infinite loop in vhost_net driver under heavy load.
Install [fp67ub1v] CVE-2020-1749: Information disclosure in IPv6 IPSec tunneling.
Install [jqobfvky] CVE-2019-11487: Invalid memory access when overflowing pages refcount.
Install [o3vwjkah] CVE-2019-18805: Denial-of-service in IPv4 round trip time configuration.
Install [r6xwmr9a] CVE-2019-19535, CVE-2019-19536: Information leak when initializing PCAN-USB device.
Install [eirwnk56] CVE-2017-18552: Memory corruption in the RDS protocol.
Install [8yot03uh] CVE-2019-15921: Denial-of-service in generic netlink socket family.
Install [2thbpnu3] CVE-2019-20812: Soft lockup in packet sockets with zero timeout.
Install [7c33rkhk] CVE-2019-9458: Use-after-free in V4L2 event subscription.
Install [4grifv3a] CVE-2019-9455: Information leak in V4L2 when setting output buffer size.
Install [fb5eodub] CVE-2019-19073, CVE-2019-19074: Denial-of-service in the ath9k wireless driver.
Install [samo6fmn] CVE-2020-10720: Use-after-free in generic receive offload fragmentation.
Install [ah33pp3h] CVE-2020-0305: Use-after-free when failing to open file on character device.
Install [gm7wtw1w] CVE-2020-12771: Deadlock during BCache node coalesce failure.
Install [ap0dbd8r] CVE-2019-15902: Bounds-check bypass in sys_ptrace().
Install [32yey8b2] CVE-2019-10220: Privileges escalation when parsing directory from a bad SMB server.
Install [t36cih2j] CVE-2020-8992: Deadlock with too big journal size on ext4 filesystem.
Install [l16s2z79] CVE-2020-10769: Out-of-bounds memory access in authenticated encryption key parsing.
Install [h2zoj70m] CVE-2014-9900: Information disclosure in Wake-On-LAN driver.
Install [jgoq29rm] Improved fix for CVE-2019-19768: Use-after-free when reporting an IO trace.
Install [baczzgxp] CVE-2019-19642: Denial-of-service in kernel relay file open path.
Install [rb014za7] Incorrect reporting of Process Address Space ID on AMD systems.
Install [9npfv9rb] Connection failure after RDS peer reboot.
Install [b5lxrr63] CVE-2020-24394: Information leak when exporting a filesystem over NFS.
Install [grdlpgdc] CVE-2019-17075: Denial-of-service in Chelsio T4/T5 RDMA TPT entries.
Install [scfnppae] CVE-2019-16746: Buffer overflow when receiving beacon over wireless network.
Install [s30q18pv] CVE-2020-14331: Out-of-bounds writes in ioctls of Console display driver.
Install [gljcytwa] CVE-2020-16166: Confidentiality vulnerability in the generation of the device ID.
Install [bz7pfng5] CVE-2019-3874: Denial-of-service by consuming a large amount of memory using SCTP socket.
Install [kkm3c4kt] CVE-2020-10781: Denial-of-service using Zram hot_add file sysfs entry.
Install [6mcud0xp] CVE-2019-17133: Denial-of-service in WiFI SIOCGIWESSID ioctl().
Install [6gp9cs5a] CVE-2018-14613: Multiple denial-of-services in the btrfs when mounting crafted images.
Install [b872hl5n] CVE-2019-14898: Denial-of-service when writing to file-max sysctl.
Install [q4ua18de] Channel recovery on transmition timeout in the Mellanox MLX5E driver.
Install [hu41z827] CVE-2019-18885: Denial-of-service in BTRFS extent verification.
Install [l3qgca72] CVE-2020-10767: Information leak using Spectre V2 attack due to IBPB being disabled.
Install [hzi9zld7] Denial-of-service when changing a paging attribute to non cachable.
Install [sygd7ev6] CVE-2020-25212: Out-of-bounds writes in RPC operations of Network File System.
Install [hgwk3m10] CVE-2018-20669: Privilege escalation in ioctl of i915 driver.
Install [8w3s90uz] Avoid page fault when updating the AMD IOMMU interrupt table.
Install [qhqi45un] CVE-2020-14386: Memory corruption when receiving a packet.
Install [h4n2u6me] CVE-2020-25284: Permission bypass when creating or removing a Rados block device.
Install [fih2hrl8] CVE-2020-25285: Denial-of-service when concurrently updating huge page sysctl parameters.
Install [3cogmz8j] CVE-2020-14314: Out-of-bounds memory read when splitting a directory block in the Ext4 filesystem.
Install [ig7kio2w] Use-after-free in the Oracle ASM driver when handling a query operation.
Install [7oirdwih] Re-factor memory cgroup statistic calculation.
Install [at9agcxc] Disable infiniband completion queue time stamping.
Install [eto8igfv] CVE-2019-19448: Use-after-free in Btrfs filesystem with a crafted btrfs filesystem image.
Install [rtplzq9k] CVE-2020-25641: Denial-of-service in biovec when zero-length biovec is issued.
Install [tqhmm9xx] CVE-2020-25643: Memory corruption in WAN HDLC-PPP due to missing error checking.
Install [stv272u2] CVE-2019-16089: Denial-of-service while checking NBD netlink status.
Install [dqw87z0a] CVE-2020-25211: Denial-of-service in Netfilter due to out-of-bounds memory access.
Install [fu9299l2] CVE-2020-14385: Denial of service in XFS filesystem.
Install [bua1sg0m] CVE-2019-19377: Use-after-free when unmounting a BTRFS image.
Install [oxfogcv8] CVE-2020-14356: NULL-pointer dereference in cgroupv2.
Install [l9d34kbr] CVE-2020-14390: Memory corruption when resizing the framebuffer.
Install [l6yeduhy] Race condition during iommu shutdown during a kernel panic.
Install [b2sygna8] CVE-2020-25645: Possible information leak between encrypted geneve endpoints.
Install [9pbc8q7r] CVE-2020-8694: Platypus Attack Mitigation.
Install [fecvmf3c] Clean up ftrace safety guard for existing Ksplice updates.
Install [n8ho14r0] Canceled RDS operations may still be executed.
Install [qzcfgssm] Use-after-free due to incorrect RDS operation status.
Install [i9zgalwk] Memory corruption when processing RDS extension headers.
Install [f5nnackz] CPU resource exhaustion when shrinking hash tables.
Install [4w115e3d] CVE-2020-12352: Information leak when handling AMP packets in Bluetooth stack.
Install [8927melz] Guest VM leaks bits into host control register, causing host to panic.
Install [pc7kfj5f] CVE-2019-19816: Invalid memory accesses during btrfs filesystem sync.
Install [gof9iub0] CVE-2020-25656: Use-after-free in console subsystem.
Install [nvdwvczo] CVE-2020-25668: Race condition when sending ioctls to a virtual terminal.
Install [iqua3ysi] CVE-2020-25704: Denial-of-service in the performance monitoring subsystem.
Install [pc4efmwh] CVE-2020-27675: Race condition when reconfiguring para-virtualized Xen devices.
Install [518x0407] CVE-2020-28974: Invalid memory access when manipulating framebuffer fonts.
Install [om575fk9] CVE-2020-28374: Access control bypass when reading or writing TCM devices.
Install [smtq0o16] CVE-2020-25705: ICMP rate-limiter can indirectly leak UDP port information.
Install [gxgp7md3] CVE-2020-28915: Information leak due to out-of-bounds read in Framebuffer Console.
Install [1ayz8ukr] CVE-2020-14351: Privilege escalation in perf subsystem due to use-after-free.
Install [jw5a37tf] CVE-2020-29569: Use-after-free when disconnecting Xen block devices.
Install [e1qgj5oi] Invalid bonding state with some network interfaces.
Install [4d68bkuy] Memory corruption in RDMA IO buffers.
Install [sxbva55v] Recover from memory pressure in the network layer.
Install [2hog7v7x] Flush the ARP cache when an RDMA interface changes its hardware address.
Install [tqysap9f] Avoid unneeded BUG_ON when closing RDS connections.
Install [9014r0f1] CVE-2020-15436: Use-after-free in blk device locks allows privilege escalation.
Install [5nnh5ltk] Buffer overflow when parsing some /proc/sys entries.
Install [7bfftrhd] CVE-2020-36158: Buffer overflow when creating an ad-hoc network.
Install [ddty3naj] Restrict NLM interval based host rebinding to UDP.
Install [deyfa0l1] CVE-2020-29660: Use-after-free in tty subsystem.
Install [hmbv5wjj] Possible missing files when iterating NFSv4 directories.
Install [2inwipov] CVE-2019-19947: Information leak in CAN Kvaser memory allocations.
Install [iahmns7p] CVE-2020-10768: Information leak using Spectre V2 gadgets due to incorrect prctl configuration.
Install [67ds1ur7] CVE-2020-24490: Privilege escalation in Bluetooth subsystem due to heap buffer overflow.
Install [h7cc0lf4] CVE-2019-18808: Memory leak in CCP device driver with invalid hash type.
Install [dp49y68f] CVE-2020-12351: Denial-of-service in L2CAP bluetooth driver.
Install [6vd15fp9] CVE-2021-26931, XSA-362: Mishandling of errors causes DoS of Xen backend.
Install [mbihi3b6] CVE-2021-26930, XSA-365: Bad error handing of blkback grant references.
Install [juvadtfe] CVE-2021-26932, XSA-361: Denial-of-host-service by malicious Xen frontend.
Install [s2yrku37] CVE-2019-19770: use-after-free in the debugfs from blktrace.
Install [cz2s2q2d] Improved update to CVE-2020-28915: Information leak due to out-of-bounds read in Framebuffer Console.
Install [bt9gct3d] Use-after-free in the networking TAP driver when handling a frame.
Install [bk6uwd1c] Migration failure in the Infiniband driver when an interface comes up after initialization.
Install [3r5qfqjf] Unecessary delays when allocation a virtual host SCSI device.
Install [oe1kvz5a] Avoid delaying the processing of completions in the infiniband driver.
Install [egsy21yt] Possible race condition whilst disconnecting SUNRPC connections.
Install [4za2h4oi] Avoid excessive memory usage from the infiniband driver.
Install [3pg4dv4d] High CPU utilization caused by lock contention in the zone page allocator.
Install [8f5avd0t] Possible kernel panic during IMPI reboot.
Install [45wwoufj] CVE-2021-3348: Use-after-free due to bad locking in Network block device.
Install [jqmhutsm] CVE-2021-3347: Privilege escalation in the Fast Userspace Mutexes.
Install [flm81vdd] CVE-2020-16120: Read permission bypass with overlay filesystem.
Install [mxu6ucv9] CVE-2021-27363, CVE-2021-27364, CVE-2021-27365: Priviledge escalation in iSCSI subsystem.
Install [ezqm5dui] Known exploit detection for CVE-2016-5195.
Install [71me89jl] Known exploit detection for CVE-2019-9213.
Install [ktm7khfr] CVE-2021-28038: Mishandling of errors causes DoS of Xen backend.
Install [jhckhjpw] Reduce allocation latency in Infiniband driver.
Install [ibyh7gbw] CVE-2020-27170, CVE-2020-27171: Information disclosure in BPF verifier.
Install [j1fc3g2n] CVE-2021-29605: Denial-of-Service in netfilter subsystem.
Install [qq5lrnft] Denial-of-service in the OCFS2 filesystem when setting file attributes
Install [evpvzwgz] CVE-2021-28688, XSA-371: Xen Hypervisor persistant grant leakage.
Install [226k0cjc] CVE-2021-28971: Denial-of-Service in Intel PEBS performance monitoring.
Install [hu2zpwc7] CVE-2021-28964: Race condition in btrfs filesystem.
Install [rg1g0t6f] CVE-2021-3428: Denial-of-Service in ext4 subsystem.
Install [jcfl6cfs] CVE-2021-29154: Code execution in eBPF JIT compiler.
Installing [edt48ylb] Add ftrace safety guard for existing Ksplice updates.
Installing [bipgvpw6] Known exploit detection.
Installing [lylzl1sj] Known exploit detection for CVE-2017-7308.
Installing [snvyltlq] Known exploit detection for CVE-2018-14634.
Installing [e2hf1ats] KPTI enablement for Ksplice.
Installing [1teh5owg] Known exploit detection for CVE-2018-18445.
Installing [44121bvv] Double free with SCSI LSI MPT Fusion SAS attach error.
Installing [trh9jthq] CVE-2019-3846: Heap overflow when parsing BSS descriptor in Marvell WiFi-Ex driver.
Installing [3cqjhtx3] CVE-2019-19054: Denial-of-service in the cx2388x tv card driver.
Installing [7q5nae2r] CVE-2019-15214: Use-after-free when connecting ALSA cards.
Installing [ff6vfhdf] CVE-2019-19536: Information leak when initializing PCAN-USB device.
Installing [ixsnbim2] CVE-2019-7308: Out-of-bounds speculation in BPF verifier.
Installing [2lm6v1an] CVE-2020-12770: Information leak/DoS in SCSI generic userspace write.
Installing [67w4v90f] CVE-2020-12464: Use-after-free in USB scatter-gather library.
Installing [4tnet5w5] CVE-2019-19534: Information leak using PEAK PCAN-USB/USB Pro interfaces for CAN 2.0b/CAN-FD.
Installing [9teqocf3] CVE-2020-12653: Denial-of-service when scanning for APs in mwifiex driver.
Installing [qdojji7h] CVE-2019-3846: Heap overflow when parsing fields in Marvell WiFi-Ex driver.
Installing [mcajph0v] CVE-2020-12654: Denial-of-service when querying WMM status in mwifiex driver.
Installing [3u8vegty] CVE-2020-10757: Flaw in DAX page mapping allows privilege escalation.
Installing [nlf0zswi] CVE-2020-10711: NULL pointer dereference when using CIPSO network packet labeling.
Installing [ptsm3729] CVE-2019-19533: Information leak in Technotrend/Hauppauge USB DEC driver.
Installing [5pv0zta2] CVE-2020-12655: Denial-of-service when syncing data on XFS filesystem.
Installing [aadmn3e5] Use-after-free when freeing received data over RDS socket.
Installing [c7221zqe] Buffer overflow when dumping registers in LSI Logic MegaRAID SAS RAID driver.
Installing [9elx8r6h] CVE-2020-12652: Denial-of-service in the Fusion MTP driver.
Installing [hwmxykva] Poor NFS performances caused by excessive attribute revalidation.
Installing [tgthi987] Denial-of-service when freezing and unfreezing an XFS filesystem.
Installing [cya3ogzy] Improved fix for CVE-2020-2732 when booting nested guests.
Installing [e966zc48] Denial-of-service in the Infiniband driver when referencing a node.
Installing [cvdwwuzd] Use-after-free in the Infiniband driver when releasing resources.
Installing [kjk2vpux] Race condition when sending IB subnet MAD causes denial-of-service.
Installing [hiaoskn9] CVE-2020-10766: Information leak using Spectre V4 variant.
Installing [t439t60g] NULL-pointer dereference when shutting down DSA switch.
Installing [t4avel7c] CVE-2019-19447: Use-after-free when unmounting corrupt ext4 filesystem.
Installing [r4pnegf6] CVE-2020-10732: Information leak in corefiles in per-thread info.
Installing [e9o5is2i] CVE-2019-19062: Denial-of-service in the crypto subsystem.
Installing [q7lx9ooy] CVE-2019-16234: NULL pointer dereference when registering Intel Wireless WiFi driver.
Installing [d1l1wlz8] Use-after-free when releasing clocks in PTP clock driver.
Installing [3adwuqzu] CVE-2019-19037: Denial-of-service when handling empty directories in ext4 filesystem.
Installing [mx9ibtwj] CVE-2019-16232: NULL pointer dereference when registering Marvell Libertas 8385/8686/8688 SDIO 802.11b/g cards.
Installing [jm6yd4li] Memory corruption during cgroup destruction with PSI enabled.
Installing [bb0tzpz2] Kernel crash in guest VM with machine check exception.
Installing [clivbxob] CVE-2019-20811: Denial-of-service in network device sysfs system.
Installing [tsh471fw] Add bit for guest kernel to handle kernel panic without host intervention.
Installing [mqhc4bmw] Don't return an ACK on some RDMA netlink operations.
Installing [4ixr7sgq] CVE-2018-20169: Missing bound check when reading extra USB descriptors.
Installing [3nkinjqi] CVE-2018-1000026: Denial-of-service when receiving invalid packet on bnx2x network card.
Installing [5f5w0oz6] CVE-2018-18281: Information leak in mremap syscall.
Installing [1a5n75aj] CVE-2019-19063: Denial-of-service in the rtlwifi driver.
Installing [19lbejmu] CVE-2019-0136: Denial-of-service in Intel(R) wifi driver.
Installing [anxgy28r] CVE-2018-20784: Denial-of-service in task scheduling.
Installing [1y4ivn6l] CVE-2018-20976: Use-after-free when mounting XFS filesystem.
Installing [dhmgixyw] CVE-2015-2150: Denial-of-service in Xen host from the guest.
Installing [jurvatrf] CVE-2019-19523: Use-after-free when disconnecting ADU USB devices.
Installing [3tcll1ov] CVE-2018-16882: Privilege escalation in nested Intel KVM interrupts.
Installing [od6vms9i] CVE-2019-19052: Memory leak when opening USB Socket CAN device driver.
Installing [byd1fjvz] CVE-2019-15927: Out-of-bounds accesses in usb audio driver.
Installing [rtg2jjko] CVE-2019-9506: Information disclosure when transmitting over bluetooth.
Installing [hgb8rgcc] CVE-2019-5108: Denial-of-service of a wireless access point during roaming of a station.
Installing [okxy9ag9] CVE-2020-10751: SELinux bypass in netlink message validation.
Installing [l8qz0cf1] CVE-2019-15918: Out-of-bounds access during CIFS mount.
Installing [fhoaweza] CVE-2019-2024: Use-after-free when disconnecting a Empia EM28xx USB device.
Installing [gphk4k5r] CVE-2020-13974: Integer overflow in virtual terminal keyboard interface.
Installing [iivjues9] CVE-2019-19528: Denial-of-service when disconnecting IO Warrior USB device.
Installing [11uqhn6c] CVE-2020-12114: Race condition in mountpoint counter causes DoS.
Installing [b9b9f3kf] CVE-2019-19807: Use-after-free when registering timer in ALSA driver.
Installing [hgpl3vss] CVE-2019-15218: Denial-of-service in Siano Mobile Digital TV USB tuner probing.
Installing [109qn2xz] CVE-2019-19530: Denial-of-service in USB CDC-ACM probing.
Installing [bhcvif0m] CVE-2020-11565: Out-of-bounds access when mounting tmpfs.
Installing [mveq6q0v] CVE-2019-2101: Information leak when initializing a usb video device.
Installing [96jk0uhc] CVE-2019-15117: Out-of-bounds access when parsing USB descriptor in ALSA USB driver.
Installing [ajidrtfz] Improved fix for CVE-2018-17972: Information leak in /proc kernel stack dumps.
Installing [uzg2h1sb] CVE-2019-19066: Denial-of-service int SCSI bfa driver.
Installing [5d8o75u5] CVE-2019-15118: Stack overflow when checking input source type in ALSA USB driver.
Installing [kj8qwnw5] CVE-2019-19051: Memory leak when changing power status of Intel Wireless WiMAX Connection 2400 driver.
Installing [dldi73w2] CVE-2018-1129: Signature check bypass of cephx message.
Installing [6g7nqusv] CVE-2019-3900: Infinite loop in vhost_net driver under heavy load.
Installing [fp67ub1v] CVE-2020-1749: Information disclosure in IPv6 IPSec tunneling.
Installing [jqobfvky] CVE-2019-11487: Invalid memory access when overflowing pages refcount.
Installing [o3vwjkah] CVE-2019-18805: Denial-of-service in IPv4 round trip time configuration.
Installing [r6xwmr9a] CVE-2019-19535, CVE-2019-19536: Information leak when initializing PCAN-USB device.
Installing [eirwnk56] CVE-2017-18552: Memory corruption in the RDS protocol.
Installing [8yot03uh] CVE-2019-15921: Denial-of-service in generic netlink socket family.
Installing [2thbpnu3] CVE-2019-20812: Soft lockup in packet sockets with zero timeout.
Installing [7c33rkhk] CVE-2019-9458: Use-after-free in V4L2 event subscription.
Installing [4grifv3a] CVE-2019-9455: Information leak in V4L2 when setting output buffer size.
Installing [fb5eodub] CVE-2019-19073, CVE-2019-19074: Denial-of-service in the ath9k wireless driver.
Installing [samo6fmn] CVE-2020-10720: Use-after-free in generic receive offload fragmentation.
Installing [ah33pp3h] CVE-2020-0305: Use-after-free when failing to open file on character device.
Installing [gm7wtw1w] CVE-2020-12771: Deadlock during BCache node coalesce failure.
Installing [ap0dbd8r] CVE-2019-15902: Bounds-check bypass in sys_ptrace().
Installing [32yey8b2] CVE-2019-10220: Privileges escalation when parsing directory from a bad SMB server.
Installing [t36cih2j] CVE-2020-8992: Deadlock with too big journal size on ext4 filesystem.
Installing [l16s2z79] CVE-2020-10769: Out-of-bounds memory access in authenticated encryption key parsing.
Installing [h2zoj70m] CVE-2014-9900: Information disclosure in Wake-On-LAN driver.
Installing [jgoq29rm] Improved fix for CVE-2019-19768: Use-after-free when reporting an IO trace.
Installing [baczzgxp] CVE-2019-19642: Denial-of-service in kernel relay file open path.
Installing [rb014za7] Incorrect reporting of Process Address Space ID on AMD systems.
Installing [9npfv9rb] Connection failure after RDS peer reboot.
Installing [b5lxrr63] CVE-2020-24394: Information leak when exporting a filesystem over NFS.
Installing [grdlpgdc] CVE-2019-17075: Denial-of-service in Chelsio T4/T5 RDMA TPT entries.
Installing [scfnppae] CVE-2019-16746: Buffer overflow when receiving beacon over wireless network.
Installing [s30q18pv] CVE-2020-14331: Out-of-bounds writes in ioctls of Console display driver.
Installing [gljcytwa] CVE-2020-16166: Confidentiality vulnerability in the generation of the device ID.
Installing [bz7pfng5] CVE-2019-3874: Denial-of-service by consuming a large amount of memory using SCTP socket.
Installing [kkm3c4kt] CVE-2020-10781: Denial-of-service using Zram hot_add file sysfs entry.
Installing [6mcud0xp] CVE-2019-17133: Denial-of-service in WiFI SIOCGIWESSID ioctl().
Installing [6gp9cs5a] CVE-2018-14613: Multiple denial-of-services in the btrfs when mounting crafted images.
Installing [b872hl5n] CVE-2019-14898: Denial-of-service when writing to file-max sysctl.
Installing [q4ua18de] Channel recovery on transmition timeout in the Mellanox MLX5E driver.
Installing [hu41z827] CVE-2019-18885: Denial-of-service in BTRFS extent verification.
Installing [l3qgca72] CVE-2020-10767: Information leak using Spectre V2 attack due to IBPB being disabled.
Installing [hzi9zld7] Denial-of-service when changing a paging attribute to non cachable.
Installing [sygd7ev6] CVE-2020-25212: Out-of-bounds writes in RPC operations of Network File System.
Installing [hgwk3m10] CVE-2018-20669: Privilege escalation in ioctl of i915 driver.
Installing [8w3s90uz] Avoid page fault when updating the AMD IOMMU interrupt table.
Installing [qhqi45un] CVE-2020-14386: Memory corruption when receiving a packet.
Installing [h4n2u6me] CVE-2020-25284: Permission bypass when creating or removing a Rados block device.
Installing [fih2hrl8] CVE-2020-25285: Denial-of-service when concurrently updating huge page sysctl parameters.
Installing [3cogmz8j] CVE-2020-14314: Out-of-bounds memory read when splitting a directory block in the Ext4 filesystem.
Installing [ig7kio2w] Use-after-free in the Oracle ASM driver when handling a query operation.
Installing [7oirdwih] Re-factor memory cgroup statistic calculation.
Installing [at9agcxc] Disable infiniband completion queue time stamping.
Installing [eto8igfv] CVE-2019-19448: Use-after-free in Btrfs filesystem with a crafted btrfs filesystem image.
Installing [rtplzq9k] CVE-2020-25641: Denial-of-service in biovec when zero-length biovec is issued.
Installing [tqhmm9xx] CVE-2020-25643: Memory corruption in WAN HDLC-PPP due to missing error checking.
Installing [stv272u2] CVE-2019-16089: Denial-of-service while checking NBD netlink status.
Installing [dqw87z0a] CVE-2020-25211: Denial-of-service in Netfilter due to out-of-bounds memory access.
Installing [fu9299l2] CVE-2020-14385: Denial of service in XFS filesystem.
Installing [bua1sg0m] CVE-2019-19377: Use-after-free when unmounting a BTRFS image.
Installing [oxfogcv8] CVE-2020-14356: NULL-pointer dereference in cgroupv2.
Installing [l9d34kbr] CVE-2020-14390: Memory corruption when resizing the framebuffer.
Installing [l6yeduhy] Race condition during iommu shutdown during a kernel panic.
Installing [b2sygna8] CVE-2020-25645: Possible information leak between encrypted geneve endpoints.
Installing [9pbc8q7r] CVE-2020-8694: Platypus Attack Mitigation.
Installing [fecvmf3c] Clean up ftrace safety guard for existing Ksplice updates.
Installing [n8ho14r0] Canceled RDS operations may still be executed.
Installing [qzcfgssm] Use-after-free due to incorrect RDS operation status.
Installing [i9zgalwk] Memory corruption when processing RDS extension headers.
Installing [f5nnackz] CPU resource exhaustion when shrinking hash tables.
Installing [4w115e3d] CVE-2020-12352: Information leak when handling AMP packets in Bluetooth stack.
Installing [8927melz] Guest VM leaks bits into host control register, causing host to panic.
Installing [pc7kfj5f] CVE-2019-19816: Invalid memory accesses during btrfs filesystem sync.
Installing [gof9iub0] CVE-2020-25656: Use-after-free in console subsystem.
Installing [nvdwvczo] CVE-2020-25668: Race condition when sending ioctls to a virtual terminal.
Installing [iqua3ysi] CVE-2020-25704: Denial-of-service in the performance monitoring subsystem.
Installing [pc4efmwh] CVE-2020-27675: Race condition when reconfiguring para-virtualized Xen devices.
Installing [518x0407] CVE-2020-28974: Invalid memory access when manipulating framebuffer fonts.
Installing [om575fk9] CVE-2020-28374: Access control bypass when reading or writing TCM devices.
Installing [smtq0o16] CVE-2020-25705: ICMP rate-limiter can indirectly leak UDP port information.
Installing [gxgp7md3] CVE-2020-28915: Information leak due to out-of-bounds read in Framebuffer Console.
Installing [1ayz8ukr] CVE-2020-14351: Privilege escalation in perf subsystem due to use-after-free.
Installing [jw5a37tf] CVE-2020-29569: Use-after-free when disconnecting Xen block devices.
Installing [e1qgj5oi] Invalid bonding state with some network interfaces.
Installing [4d68bkuy] Memory corruption in RDMA IO buffers.
Installing [sxbva55v] Recover from memory pressure in the network layer.
Installing [2hog7v7x] Flush the ARP cache when an RDMA interface changes its hardware address.
Installing [tqysap9f] Avoid unneeded BUG_ON when closing RDS connections.
Installing [9014r0f1] CVE-2020-15436: Use-after-free in blk device locks allows privilege escalation.
Installing [5nnh5ltk] Buffer overflow when parsing some /proc/sys entries.
Installing [7bfftrhd] CVE-2020-36158: Buffer overflow when creating an ad-hoc network.
Installing [ddty3naj] Restrict NLM interval based host rebinding to UDP.
Installing [deyfa0l1] CVE-2020-29660: Use-after-free in tty subsystem.
Installing [hmbv5wjj] Possible missing files when iterating NFSv4 directories.
Installing [2inwipov] CVE-2019-19947: Information leak in CAN Kvaser memory allocations.
Installing [iahmns7p] CVE-2020-10768: Information leak using Spectre V2 gadgets due to incorrect prctl configuration.
Installing [67ds1ur7] CVE-2020-24490: Privilege escalation in Bluetooth subsystem due to heap buffer overflow.
Installing [h7cc0lf4] CVE-2019-18808: Memory leak in CCP device driver with invalid hash type.
Installing [dp49y68f] CVE-2020-12351: Denial-of-service in L2CAP bluetooth driver.
Installing [6vd15fp9] CVE-2021-26931, XSA-362: Mishandling of errors causes DoS of Xen backend.
Installing [mbihi3b6] CVE-2021-26930, XSA-365: Bad error handing of blkback grant references.
Installing [juvadtfe] CVE-2021-26932, XSA-361: Denial-of-host-service by malicious Xen frontend.
Installing [s2yrku37] CVE-2019-19770: use-after-free in the debugfs from blktrace.
Installing [cz2s2q2d] Improved update to CVE-2020-28915: Information leak due to out-of-bounds read in Framebuffer Console.
Installing [bt9gct3d] Use-after-free in the networking TAP driver when handling a frame.
Installing [bk6uwd1c] Migration failure in the Infiniband driver when an interface comes up after initialization.
Installing [3r5qfqjf] Unecessary delays when allocation a virtual host SCSI device.
Installing [oe1kvz5a] Avoid delaying the processing of completions in the infiniband driver.
Installing [egsy21yt] Possible race condition whilst disconnecting SUNRPC connections.
Installing [4za2h4oi] Avoid excessive memory usage from the infiniband driver.
Installing [3pg4dv4d] High CPU utilization caused by lock contention in the zone page allocator.
Installing [8f5avd0t] Possible kernel panic during IMPI reboot.
Installing [45wwoufj] CVE-2021-3348: Use-after-free due to bad locking in Network block device.
Installing [jqmhutsm] CVE-2021-3347: Privilege escalation in the Fast Userspace Mutexes.
Installing [flm81vdd] CVE-2020-16120: Read permission bypass with overlay filesystem.
Installing [mxu6ucv9] CVE-2021-27363, CVE-2021-27364, CVE-2021-27365: Priviledge escalation in iSCSI subsystem.
Installing [ezqm5dui] Known exploit detection for CVE-2016-5195.
Installing [71me89jl] Known exploit detection for CVE-2019-9213.
Installing [ktm7khfr] CVE-2021-28038: Mishandling of errors causes DoS of Xen backend.
Installing [jhckhjpw] Reduce allocation latency in Infiniband driver.
Installing [ibyh7gbw] CVE-2020-27170, CVE-2020-27171: Information disclosure in BPF verifier.
Installing [j1fc3g2n] CVE-2021-29605: Denial-of-Service in netfilter subsystem.
Installing [qq5lrnft] Denial-of-service in the OCFS2 filesystem when setting file attributes
Installing [evpvzwgz] CVE-2021-28688, XSA-371: Xen Hypervisor persistant grant leakage.
Installing [226k0cjc] CVE-2021-28971: Denial-of-Service in Intel PEBS performance monitoring.
Installing [hu2zpwc7] CVE-2021-28964: Race condition in btrfs filesystem.
Installing [rg1g0t6f] CVE-2021-3428: Denial-of-Service in ext4 subsystem.
Installing [jcfl6cfs] CVE-2021-29154: Code execution in eBPF JIT compiler.
Your kernel is fully up to date.
Effective kernel version is 4.14.35-2047.503.1.el7uek
  Verifying  : uptrack-updates-4.14.35-1902.303.5.3.el7uek.x86_64-20210512-0.noarch                                                                                                                    1/1 

Installed:
  uptrack-updates-4.14.35-1902.303.5.3.el7uek.x86_64.noarch 0:20210512-0    
Verificando correções aplicadas:

[root@dbm0db02 ~]# uptrack-show
Installed updates:
[bipgvpw6] Known exploit detection.
[lylzl1sj] Known exploit detection for CVE-2017-7308.
[snvyltlq] Known exploit detection for CVE-2018-14634.
[e2hf1ats] KPTI enablement for Ksplice.
[1teh5owg] Known exploit detection for CVE-2018-18445.
[44121bvv] Double free with SCSI LSI MPT Fusion SAS attach error.
[trh9jthq] CVE-2019-3846: Heap overflow when parsing BSS descriptor in Marvell WiFi-Ex driver.
[3cqjhtx3] CVE-2019-19054: Denial-of-service in the cx2388x tv card driver.
[7q5nae2r] CVE-2019-15214: Use-after-free when connecting ALSA cards.
[ff6vfhdf] CVE-2019-19536: Information leak when initializing PCAN-USB device.
[ixsnbim2] CVE-2019-7308: Out-of-bounds speculation in BPF verifier.
[2lm6v1an] CVE-2020-12770: Information leak/DoS in SCSI generic userspace write.
[67w4v90f] CVE-2020-12464: Use-after-free in USB scatter-gather library.
[4tnet5w5] CVE-2019-19534: Information leak using PEAK PCAN-USB/USB Pro interfaces for CAN 2.0b/CAN-FD.
[9teqocf3] CVE-2020-12653: Denial-of-service when scanning for APs in mwifiex driver.
[qdojji7h] CVE-2019-3846: Heap overflow when parsing fields in Marvell WiFi-Ex driver.
[mcajph0v] CVE-2020-12654: Denial-of-service when querying WMM status in mwifiex driver.
[3u8vegty] CVE-2020-10757: Flaw in DAX page mapping allows privilege escalation.
[nlf0zswi] CVE-2020-10711: NULL pointer dereference when using CIPSO network packet labeling.
[ptsm3729] CVE-2019-19533: Information leak in Technotrend/Hauppauge USB DEC driver.
[5pv0zta2] CVE-2020-12655: Denial-of-service when syncing data on XFS filesystem.
[aadmn3e5] Use-after-free when freeing received data over RDS socket.
[c7221zqe] Buffer overflow when dumping registers in LSI Logic MegaRAID SAS RAID driver.
[9elx8r6h] CVE-2020-12652: Denial-of-service in the Fusion MTP driver.
[hwmxykva] Poor NFS performances caused by excessive attribute revalidation.
[tgthi987] Denial-of-service when freezing and unfreezing an XFS filesystem.
[cya3ogzy] Improved fix for CVE-2020-2732 when booting nested guests.
[e966zc48] Denial-of-service in the Infiniband driver when referencing a node.
[cvdwwuzd] Use-after-free in the Infiniband driver when releasing resources.
[kjk2vpux] Race condition when sending IB subnet MAD causes denial-of-service.
[hiaoskn9] CVE-2020-10766: Information leak using Spectre V4 variant.
[t439t60g] NULL-pointer dereference when shutting down DSA switch.
[t4avel7c] CVE-2019-19447: Use-after-free when unmounting corrupt ext4 filesystem.
[r4pnegf6] CVE-2020-10732: Information leak in corefiles in per-thread info.
[e9o5is2i] CVE-2019-19062: Denial-of-service in the crypto subsystem.
[q7lx9ooy] CVE-2019-16234: NULL pointer dereference when registering Intel Wireless WiFi driver.
[d1l1wlz8] Use-after-free when releasing clocks in PTP clock driver.
[3adwuqzu] CVE-2019-19037: Denial-of-service when handling empty directories in ext4 filesystem.
[mx9ibtwj] CVE-2019-16232: NULL pointer dereference when registering Marvell Libertas 8385/8686/8688 SDIO 802.11b/g cards.
[jm6yd4li] Memory corruption during cgroup destruction with PSI enabled.
[bb0tzpz2] Kernel crash in guest VM with machine check exception.
[clivbxob] CVE-2019-20811: Denial-of-service in network device sysfs system.
[tsh471fw] Add bit for guest kernel to handle kernel panic without host intervention.
[mqhc4bmw] Don't return an ACK on some RDMA netlink operations.
[4ixr7sgq] CVE-2018-20169: Missing bound check when reading extra USB descriptors.
[3nkinjqi] CVE-2018-1000026: Denial-of-service when receiving invalid packet on bnx2x network card.
[5f5w0oz6] CVE-2018-18281: Information leak in mremap syscall.
[1a5n75aj] CVE-2019-19063: Denial-of-service in the rtlwifi driver.
[19lbejmu] CVE-2019-0136: Denial-of-service in Intel(R) wifi driver.
[1y4ivn6l] CVE-2018-20976: Use-after-free when mounting XFS filesystem.
[dhmgixyw] CVE-2015-2150: Denial-of-service in Xen host from the guest.
[jurvatrf] CVE-2019-19523: Use-after-free when disconnecting ADU USB devices.
[3tcll1ov] CVE-2018-16882: Privilege escalation in nested Intel KVM interrupts.
[od6vms9i] CVE-2019-19052: Memory leak when opening USB Socket CAN device driver.
[byd1fjvz] CVE-2019-15927: Out-of-bounds accesses in usb audio driver.
[rtg2jjko] CVE-2019-9506: Information disclosure when transmitting over bluetooth.
[hgb8rgcc] CVE-2019-5108: Denial-of-service of a wireless access point during roaming of a station.
[okxy9ag9] CVE-2020-10751: SELinux bypass in netlink message validation.
[l8qz0cf1] CVE-2019-15918: Out-of-bounds access during CIFS mount.
[fhoaweza] CVE-2019-2024: Use-after-free when disconnecting a Empia EM28xx USB device.
[gphk4k5r] CVE-2020-13974: Integer overflow in virtual terminal keyboard interface.
[iivjues9] CVE-2019-19528: Denial-of-service when disconnecting IO Warrior USB device.
[11uqhn6c] CVE-2020-12114: Race condition in mountpoint counter causes DoS.
[b9b9f3kf] CVE-2019-19807: Use-after-free when registering timer in ALSA driver.
[hgpl3vss] CVE-2019-15218: Denial-of-service in Siano Mobile Digital TV USB tuner probing.
[109qn2xz] CVE-2019-19530: Denial-of-service in USB CDC-ACM probing.
[bhcvif0m] CVE-2020-11565: Out-of-bounds access when mounting tmpfs.
[mveq6q0v] CVE-2019-2101: Information leak when initializing a usb video device.
[96jk0uhc] CVE-2019-15117: Out-of-bounds access when parsing USB descriptor in ALSA USB driver.
[ajidrtfz] Improved fix for CVE-2018-17972: Information leak in /proc kernel stack dumps.
[uzg2h1sb] CVE-2019-19066: Denial-of-service int SCSI bfa driver.
[5d8o75u5] CVE-2019-15118: Stack overflow when checking input source type in ALSA USB driver.
[kj8qwnw5] CVE-2019-19051: Memory leak when changing power status of Intel Wireless WiMAX Connection 2400 driver.
[dldi73w2] CVE-2018-1129: Signature check bypass of cephx message.
[6g7nqusv] CVE-2019-3900: Infinite loop in vhost_net driver under heavy load.
[fp67ub1v] CVE-2020-1749: Information disclosure in IPv6 IPSec tunneling.
[jqobfvky] CVE-2019-11487: Invalid memory access when overflowing pages refcount.
[o3vwjkah] CVE-2019-18805: Denial-of-service in IPv4 round trip time configuration.
[r6xwmr9a] CVE-2019-19535, CVE-2019-19536: Information leak when initializing PCAN-USB device.
[eirwnk56] CVE-2017-18552: Memory corruption in the RDS protocol.
[8yot03uh] CVE-2019-15921: Denial-of-service in generic netlink socket family.
[2thbpnu3] CVE-2019-20812: Soft lockup in packet sockets with zero timeout.
[7c33rkhk] CVE-2019-9458: Use-after-free in V4L2 event subscription.
[4grifv3a] CVE-2019-9455: Information leak in V4L2 when setting output buffer size.
[fb5eodub] CVE-2019-19073, CVE-2019-19074: Denial-of-service in the ath9k wireless driver.
[samo6fmn] CVE-2020-10720: Use-after-free in generic receive offload fragmentation.
[ah33pp3h] CVE-2020-0305: Use-after-free when failing to open file on character device.
[gm7wtw1w] CVE-2020-12771: Deadlock during BCache node coalesce failure.
[ap0dbd8r] CVE-2019-15902: Bounds-check bypass in sys_ptrace().
[32yey8b2] CVE-2019-10220: Privileges escalation when parsing directory from a bad SMB server.
[t36cih2j] CVE-2020-8992: Deadlock with too big journal size on ext4 filesystem.
[l16s2z79] CVE-2020-10769: Out-of-bounds memory access in authenticated encryption key parsing.
[h2zoj70m] CVE-2014-9900: Information disclosure in Wake-On-LAN driver.
[jgoq29rm] Improved fix for CVE-2019-19768: Use-after-free when reporting an IO trace.
[baczzgxp] CVE-2019-19642: Denial-of-service in kernel relay file open path.
[rb014za7] Incorrect reporting of Process Address Space ID on AMD systems.
[9npfv9rb] Connection failure after RDS peer reboot.
[b5lxrr63] CVE-2020-24394: Information leak when exporting a filesystem over NFS.
[grdlpgdc] CVE-2019-17075: Denial-of-service in Chelsio T4/T5 RDMA TPT entries.
[scfnppae] CVE-2019-16746: Buffer overflow when receiving beacon over wireless network.
[s30q18pv] CVE-2020-14331: Out-of-bounds writes in ioctls of Console display driver.
[gljcytwa] CVE-2020-16166: Confidentiality vulnerability in the generation of the device ID.
[bz7pfng5] CVE-2019-3874: Denial-of-service by consuming a large amount of memory using SCTP socket.
[kkm3c4kt] CVE-2020-10781: Denial-of-service using Zram hot_add file sysfs entry.
[6mcud0xp] CVE-2019-17133: Denial-of-service in WiFI SIOCGIWESSID ioctl().
[6gp9cs5a] CVE-2018-14613: Multiple denial-of-services in the btrfs when mounting crafted images.
[b872hl5n] CVE-2019-14898: Denial-of-service when writing to file-max sysctl.
[q4ua18de] Channel recovery on transmition timeout in the Mellanox MLX5E driver.
[hu41z827] CVE-2019-18885: Denial-of-service in BTRFS extent verification.
[l3qgca72] CVE-2020-10767: Information leak using Spectre V2 attack due to IBPB being disabled.
[hzi9zld7] Denial-of-service when changing a paging attribute to non cachable.
[sygd7ev6] CVE-2020-25212: Out-of-bounds writes in RPC operations of Network File System.
[hgwk3m10] CVE-2018-20669: Privilege escalation in ioctl of i915 driver.
[qhqi45un] CVE-2020-14386: Memory corruption when receiving a packet.
[h4n2u6me] CVE-2020-25284: Permission bypass when creating or removing a Rados block device.
[fih2hrl8] CVE-2020-25285: Denial-of-service when concurrently updating huge page sysctl parameters.
[3cogmz8j] CVE-2020-14314: Out-of-bounds memory read when splitting a directory block in the Ext4 filesystem.
[ig7kio2w] Use-after-free in the Oracle ASM driver when handling a query operation.
[7oirdwih] Re-factor memory cgroup statistic calculation.
[at9agcxc] Disable infiniband completion queue time stamping.
[eto8igfv] CVE-2019-19448: Use-after-free in Btrfs filesystem with a crafted btrfs filesystem image.
[rtplzq9k] CVE-2020-25641: Denial-of-service in biovec when zero-length biovec is issued.
[tqhmm9xx] CVE-2020-25643: Memory corruption in WAN HDLC-PPP due to missing error checking.
[stv272u2] CVE-2019-16089: Denial-of-service while checking NBD netlink status.
[dqw87z0a] CVE-2020-25211: Denial-of-service in Netfilter due to out-of-bounds memory access.
[fu9299l2] CVE-2020-14385: Denial of service in XFS filesystem.
[bua1sg0m] CVE-2019-19377: Use-after-free when unmounting a BTRFS image.
[oxfogcv8] CVE-2020-14356: NULL-pointer dereference in cgroupv2.
[l9d34kbr] CVE-2020-14390: Memory corruption when resizing the framebuffer.
[l6yeduhy] Race condition during iommu shutdown during a kernel panic.
[b2sygna8] CVE-2020-25645: Possible information leak between encrypted geneve endpoints.
[9pbc8q7r] CVE-2020-8694: Platypus Attack Mitigation.
[edt48ylb] Add ftrace safety guard for existing Ksplice updates.
[fecvmf3c] Clean up ftrace safety guard for existing Ksplice updates.
[n8ho14r0] Canceled RDS operations may still be executed.
[qzcfgssm] Use-after-free due to incorrect RDS operation status.
[i9zgalwk] Memory corruption when processing RDS extension headers.
[8w3s90uz] Avoid page fault when updating the AMD IOMMU interrupt table.
[f5nnackz] CPU resource exhaustion when shrinking hash tables.
[4w115e3d] CVE-2020-12352: Information leak when handling AMP packets in Bluetooth stack.
[8927melz] Guest VM leaks bits into host control register, causing host to panic.
[pc7kfj5f] CVE-2019-19816: Invalid memory accesses during btrfs filesystem sync.
[gof9iub0] CVE-2020-25656: Use-after-free in console subsystem.
[nvdwvczo] CVE-2020-25668: Race condition when sending ioctls to a virtual terminal.
[iqua3ysi] CVE-2020-25704: Denial-of-service in the performance monitoring subsystem.
[518x0407] CVE-2020-28974: Invalid memory access when manipulating framebuffer fonts.
[om575fk9] CVE-2020-28374: Access control bypass when reading or writing TCM devices.
[anxgy28r] CVE-2018-20784: Denial-of-service in task scheduling.
[smtq0o16] CVE-2020-25705: ICMP rate-limiter can indirectly leak UDP port information.
[gxgp7md3] CVE-2020-28915: Information leak due to out-of-bounds read in Framebuffer Console.
[1ayz8ukr] CVE-2020-14351: Privilege escalation in perf subsystem due to use-after-free.
[jw5a37tf] CVE-2020-29569: Use-after-free when disconnecting Xen block devices.
[e1qgj5oi] Invalid bonding state with some network interfaces.
[4d68bkuy] Memory corruption in RDMA IO buffers.
[sxbva55v] Recover from memory pressure in the network layer.
[2hog7v7x] Flush the ARP cache when an RDMA interface changes its hardware address.
[tqysap9f] Avoid unneeded BUG_ON when closing RDS connections.
[9014r0f1] CVE-2020-15436: Use-after-free in blk device locks allows privilege escalation.
[5nnh5ltk] Buffer overflow when parsing some /proc/sys entries.
[7bfftrhd] CVE-2020-36158: Buffer overflow when creating an ad-hoc network.
[ddty3naj] Restrict NLM interval based host rebinding to UDP.
[deyfa0l1] CVE-2020-29660: Use-after-free in tty subsystem.
[hmbv5wjj] Possible missing files when iterating NFSv4 directories.
[2inwipov] CVE-2019-19947: Information leak in CAN Kvaser memory allocations.
[iahmns7p] CVE-2020-10768: Information leak using Spectre V2 gadgets due to incorrect prctl configuration.
[67ds1ur7] CVE-2020-24490: Privilege escalation in Bluetooth subsystem due to heap buffer overflow.
[h7cc0lf4] CVE-2019-18808: Memory leak in CCP device driver with invalid hash type.
[dp49y68f] CVE-2020-12351: Denial-of-service in L2CAP bluetooth driver.
[6vd15fp9] CVE-2021-26931, XSA-362: Mishandling of errors causes DoS of Xen backend.
[mbihi3b6] CVE-2021-26930, XSA-365: Bad error handing of blkback grant references.
[juvadtfe] CVE-2021-26932, XSA-361: Denial-of-host-service by malicious Xen frontend.
[s2yrku37] CVE-2019-19770: use-after-free in the debugfs from blktrace.
[cz2s2q2d] Improved update to CVE-2020-28915: Information leak due to out-of-bounds read in Framebuffer Console.
[bt9gct3d] Use-after-free in the networking TAP driver when handling a frame.
[bk6uwd1c] Migration failure in the Infiniband driver when an interface comes up after initialization.
[3r5qfqjf] Unecessary delays when allocation a virtual host SCSI device.
[oe1kvz5a] Avoid delaying the processing of completions in the infiniband driver.
[egsy21yt] Possible race condition whilst disconnecting SUNRPC connections.
[4za2h4oi] Avoid excessive memory usage from the infiniband driver.
[3pg4dv4d] High CPU utilization caused by lock contention in the zone page allocator.
[8f5avd0t] Possible kernel panic during IMPI reboot.
[45wwoufj] CVE-2021-3348: Use-after-free due to bad locking in Network block device.
[jqmhutsm] CVE-2021-3347: Privilege escalation in the Fast Userspace Mutexes.
[flm81vdd] CVE-2020-16120: Read permission bypass with overlay filesystem.
[mxu6ucv9] CVE-2021-27363, CVE-2021-27364, CVE-2021-27365: Priviledge escalation in iSCSI subsystem.
[pc4efmwh] CVE-2020-27675: Race condition when reconfiguring para-virtualized Xen devices.
[ezqm5dui] Known exploit detection for CVE-2016-5195.
[71me89jl] Known exploit detection for CVE-2019-9213.
[ktm7khfr] CVE-2021-28038: Mishandling of errors causes DoS of Xen backend.
[jhckhjpw] Reduce allocation latency in Infiniband driver.
[ibyh7gbw] CVE-2020-27170, CVE-2020-27171: Information disclosure in BPF verifier.
[j1fc3g2n] CVE-2021-29605: Denial-of-Service in netfilter subsystem.
[qq5lrnft] Denial-of-service in the OCFS2 filesystem when setting file attributes
[evpvzwgz] CVE-2021-28688, XSA-371: Xen Hypervisor persistant grant leakage.
[226k0cjc] CVE-2021-28971: Denial-of-Service in Intel PEBS performance monitoring.
[hu2zpwc7] CVE-2021-28964: Race condition in btrfs filesystem.
[rg1g0t6f] CVE-2021-3428: Denial-of-Service in ext4 subsystem.
[jcfl6cfs] CVE-2021-29154: Code execution in eBPF JIT compiler.

Effective kernel version is 4.14.35-2047.503.1.el7uek
[root@dbm0db02 ~]# uptrack-show --available
Available updates:
None

Sempre consulte a nota 2207063.1 antes de iniciar o processo acima descrito, algo pode mudar com o lançamento de novas versões.

Espero que aproveitem :)

Migrando VM'S do ODA/OVM para ODA/KVM

Diogo Fernandes — Sat, 28 Dec 2024 23:09:18 GMT

No post anterior aqui, abordamos sobre como configurar e gerenciar o KVM nas novas versões do ODA.

Agora, vamos falar um pouco sobre a migração de maquinas virtuais.

Como todos já sabem, a outra plataforma conhecida como “OVM” é baseada no Hypervisor XEN. E a grande pergunta que fica é … Como migrar as maquinas virtuais do “OVM” para o “KVM” ?

É isso meus amigos que vamos abordar neste artigo.

De forma bem simplificada e direta vamos aos detalhes da maquina virtual que vamos migrar do OVM para o KVM.

[root@odax5node1 ~]# oakcli show vm MVPEP-SML-TRN
The Resource is : MVPEP-SML-TRN
        AutoStart       :       restore        
        CPUPriority     :       100            
        Disks           :       |file:/OVS/Repositories/repo1/.ACFS
                                /snaps/MVPEP-SML-TRN/VirtualMachine
                                s/MVPEP-SML-TRN/7396bcf1382c42b1bf4
                                31ece9bcc23ee.img,xvda,w||,xvdb:/OV
                                S/Repositories/repo1/.ACFS/snaps/MV
                                PEP-SML-TRN/VirtualMachines/MVPEP-S
                                ML-TRN/cdrom,r|
        Domain          :       XEN_PVM        
        DriverDomain    :       False          
        ExpectedState   :       online        
        FailOver        :       true           
        IsSharedRepo    :       true           
        Keyboard        :       en-us          
        MaxMemory       :       32768M         
        MaxVcpu         :       24             
        Memory          :       32768M         
        Mouse           :       OS_DEFAULT     
        Name            :       MVPEP-SML-TRN  
        Networks        :       |bridge=net1|  
        NodeNumStart    :       1              
        OS              :       OL_5           
        PrefNodeNum     :       1              
        PrivateIP       :       None           
        ProcessorCap    :       0              
        RepoName        :       repo1          
        State           :       Online         
        TemplateName    :       otml_oraclelinux610
        VDisks          :       |oakvdk_disk120_mvpep-sml-trn_repo1
                                |              
        Vcpu            :       24             
        cpupool         :       default-unpinned-pool
        vncport         :       5901           

[root@odax5node1 ~]# oakcli show vdisk disk120_mvpep-sml-trn -repo repo1
The Resource is : disk120_mvpep-sml-trn_repo1
        Name            :       disk120_mvpep-sml-trn_repo1
        RepoName        :       repo1          
        Size            :       120G           
        Type            :       shared         
        VmAttached      :       1

A parte que nos interessa é literalmente esta:

Disco de Boot /OVS/Repositories/repo1/.ACFS/snaps/MVPEP-SML-TRN/VirtualMachines/MVPEP-SML-TRN/7396bcf1382c42b1bf431ece9bcc23ee.img Disco Secundario anexado /OVS/Repositories/repo1/.ACFS/snaps/oakvdk_disk120_mvpep-sml-trn/VirtualDisks/oakvdk_disk120_mvpep-sml-trn

[root@odax5node1 MVPEP-SML-TRN]# oakcli show repo repo1 -node 0
The Resource is : repo1_0
        AutoStart       :       restore        
        DG              :       DATA           
        Device          :       /dev/asm/repo1-341
        ExpectedState   :       Online         
        FreeSpace       :       236025.2M      
        MountPoint      :       /u01/app/sharedrepo/repo1
        Name            :       repo1_0        
        PFreeSpace      :       28.81%         
        RepoType        :       shared         
        Size            :       819200.0M      
        State           :       Online         
        Version         :       2

Até aqui tudo certo, temos todas as informações da VM.

Agora vamos para parte de “backup”

[root@odax5node1 MVPEP-SML-TRN]# oakcli stop vm MVPEP-SML-TRN

Maquina parada vamos copiar discos.

[root@odax5node1 MVPEP-SML-TRN]# cd /u01/app/sharedrepo/repo1

[root@odax5node1 repo1]# cp .ACFS/snaps/MVPEP-SML-TRN/VirtualMachines/MVPEP-SML-TRN/7396bcf1382c42b1bf431ece9bcc23ee.img /backup/
[root@odax5node1 repo1]# cp .ACFS/snaps/oakvdk_disk120_mvpep-sml-trn/VirtualDisks/oakvdk_disk120_mvpep-sml-trn /backup/

Copia finalizada, vamos sair do X5 “OVM” e vamos para o X8 KVM. OBS: Não copie nenhum arquivo para o VMSTORAGE/REPOSITORIO, neste local apenas arquivos das VM'S.

[root@odax8godata ovmstorage]# cd /backup

[root@odax8godata backup]# ll -rths
total 241G
121G -rw------- 1 root root 120G Feb 12 13:08 7396bcf1382c42b1bf431ece9bcc23ee.img
121G -rw-r--r-- 1 root root 120G Feb 12 13:56 oakvdk_disk120_mvpep-sml-trn
 64K drwx------ 2 root root  64K Feb 18 00:56 lost+found
 52K drwxr-xr-x 4 root root  20K Feb 18 19:24 old

[root@odax8godata backup]# qemu-img info 7396bcf1382c42b1bf431ece9bcc23ee.img
image: 7396bcf1382c42b1bf431ece9bcc23ee.img
file format: raw
virtual size: 120G (128849018880 bytes)
disk size: 120G

[root@odax8godata backup]# qemu-img info oakvdk_disk120_mvpep-sml-trn
image: oakvdk_disk120_mvpep-sml-trn
file format: raw
virtual size: 120G (128849018880 bytes)
disk size: 120G

Agora vamos renomear os discos para ficar mais fácil a compreensão.

[root@odax8godata backup]# mv 7396bcf1382c42b1bf431ece9bcc23ee.img DISCO_DE_BOOT.ovm
[root@odax8godata backup]# mv oakvdk_disk120_mvpep-sml-trn DISCO_SECUNDARIO.ovm
[root@odax8godata backup]# ll -rths
total 241G
121G -rw------- 1 root root 120G Feb 12 13:08 DISCO_DE_BOOT.ovm
121G -rw-r--r-- 1 root root 120G Feb 12 13:56 DISCO_SECUNDARIO.ovm
 64K drwx------ 2 root root  64K Feb 18 00:56 lost+found
 52K drwxr-xr-x 4 root root  20K Feb 18 19:24 old




[root@odax8godata backup]# qemu-img info DISCO_DE_BOOT.ovm
image: DISCO_DE_BOOT.ovm
file format: raw
virtual size: 120G (128849018880 bytes)
disk size: 120G

[root@odax8godata backup]# qemu-img info DISCO_SECUNDARIO.ovm
image: DISCO_SECUNDARIO.ovm
file format: raw
virtual size: 120G (128849018880 bytes)
disk size: 120G

Pronto, temos algumas informações relevantes sobre os discos, agora vamos iniciar a conversão do disco de OVM/XEN para KVM.

Antes de iniciar, precisamos saber pra qual tipo de disco vamos converter e quais são as propriedades do mesmo, para saber isso peguei informações de um disco já existente que foi criando de forma nativa pelo ODACLI.

[root@odax8godata vm_MACHINE19C]#  qemu-img info MACHINE19C
image: MACHINE19C
file format: qcow2
virtual size: 200G (214748364800 bytes)
disk size: 16G
cluster_size: 65536
Format specific information:
    compat: 1.1
    lazy refcounts: true
    refcount bits: 16
    corrupt: false

[root@odax8godata vdisk_VDISK1]# qemu-img info VDISK1
image: VDISK1
file format: raw
virtual size: 300G (322122547200 bytes)
disk size: 300G

Aqui identificamos que não precisaremos converter o disco secundario ou seja o VDISK, vamos precisar converter apenas o disco de boot.

Tendo em mãos todas as informações necessarias vamos iniciar a conversão dos discos (OBS: NUNCA FAÇA ISSO DIRETAMENTE COM O DISCO DA MAQUINA VIRTUAL DO OVM/XEN, SEMPRE EXECUTE ISSO COM UM BACKUP DO DISCO/VM).

[root@odax8godata backup]# qemu-img convert -p -f raw -O qcow2 -o lazy_refcounts=on DISCO_DE_BOOT.ovm DISCO_DE_BOOT.qcow2
    (100.00/100%)

[root@odax8godata backup]# ll -rths
total 355G

121G -rw------- 1 root root 120G Feb 12 13:08 DISCO_DE_BOOT.ovm
121G -rw-r–r-- 1 root root 120G Feb 12 13:56 DISCO_SECUNDARIO.ovm
64K drwx------ 2 root root  64K Feb 18 00:56 lost+found
52K drwxr-xr-x 4 root root  20K Feb 18 19:24 old
112G -rw-r–r-- 1 root root 112G Feb 18 19:43 DISCO_DE_BOOT.qcow2

[root@odax8godata backup]# qemu-img info DISCO_DE_BOOT.qcow2
image: DISCO_DE_BOOT.qcow2
file format: qcow2
virtual size: 120G (128849018880 bytes)
disk size: 112G
cluster_size: 65536
Format specific information:
    compat: 1.1
    lazy refcounts: true
    refcount bits: 16
    corrupt: false

[root@odax8godata backup]# qemu-img info DISCO_SECUNDARIO.ovm
image: DISCO_SECUNDARIO.ovm
file format: raw
virtual size: 120G (128849018880 bytes)
disk size: 120G

Disco convertido vamos iniciar a criação da VM.

Primeiro vamos criar um vdisk de 120GB (O tamanho tem quer ser exatamente o mesmo do disco/OVM). Esse disco será substituído pelo “DISCO_SECUNDARIO.img”

[root@odax8godata vdisk_VDISK1]# odacli create-vdisk -n DISCO_SECUNDARIO -sh -s 120G -vms OVMSTORAGE

Job details                                                      
----------------------------------------------------------------
                     ID:  db9330e0-a124-49f0-9ffd-5b92e868c8d5
            Description:  VM disk DISCO_SECUNDARIO creation
                 Status:  Created
                Created:  February 20, 2021 2:12:38 AM BRT
                Message:  

Task Name                                Start Time                          End Time                            Status    
---------------------------------------- ----------------------------------- ----------------------------------- ----------



[root@odax8godata ~]# cd /u05/app/sharedrepo/ovmstorage/.ACFS/snaps/vdisk_DISCO_SECUNDARIO
[root@odax8godata vdisk_DISCO_SECUNDARIO]# ll -h
total 120G
-rw-r--r-- 1 root root 120G Feb 20 02:15 DISCO_SECUNDARIO

[root@odax8godata vdisk_DISCO_SECUNDARIO]# odacli create-vm -n MVPEP-SML-TRN -cp POOL12CORES -vc 24 -m 32G -vms OVMSTORAGE -s 120G -vd DISCO_SECUNDARIO -vn VNET1 -src /u01/V1003434-01.iso

Job details                                                      
----------------------------------------------------------------
                     ID:  6d3e30a1-ac79-485c-b29f-00a9ddbbc22f
            Description:  VM MVPEP-SML-TRN creation
                 Status:  Created
                Created:  February 20, 2021 2:28:48 AM BRT
                Message:  

Task Name                                Start Time                          End Time                            Status    
---------------------------------------- ----------------------------------- ----------------------------------- ----------

[root@odax8godata vdisk_DISCO_SECUNDARIO]# odacli list-vms
Name                  VM Storage            Node             Current State    Target State     Created                  Updated                
--------------------  --------------------  ---------------  ---------------  ---------------  -----------------------  -----------------------
MVPEP-SML-TRN         OVMSTORAGE            odax8godata     ONLINE           ONLINE           2021-02-20 02:28:59 BRT  2021-02-20 02:28:59 BRT

[root@odax8godata vdisk_DISCO_SECUNDARIO]# odacli describe-vm -n MVPEP-SML-TRN
VM details                                                                      
--------------------------------------------------------------------------------
                       ID:  f18f916b-19ae-4bfd-af33-f4a49f67f625
                     Name:  MVPEP-SML-TRN
                  Created:  2021-02-20 02:28:59 BRT
                  Updated:  2021-02-20 02:28:59 BRT
               VM Storage:  OVMSTORAGE
              Description:  NONE
                  VM size:  120.00 GB
                   Source:  V1003434-01.iso
                  OS Type:  NONE
               OS Variant:  NONE
        Graphics settings:  vnc,listen=0.0.0.0
             Display Port:  :0

 Status                   
--------------------------
             Current node:  odax8godata
            Current state:  ONLINE
             Target state:  ONLINE

 Parameters               
--------------------------
           Preferred node:  NONE
              Boot option:  NONE
               Auto start:  YES
                Fail over:  NO

                            Config                     Live                     
                            -------------------------  -------------------------
                   Memory:  32.00 GB                   32.00 GB                 
               Max Memory:  32.00 GB                   32.00 GB                 
               vCPU count:  24                         24                       
           Max vCPU count:  24                         24                       
                 CPU Pool:  POOL12CORES                POOL12CORES              
        Effective CPU set:  16-27,48-59                16-27,48-59              
                    vCPUs:  0:16-27,48-59              0:16-27,48-59            
                            1:16-27,48-59              1:16-27,48-59            
                            2:16-27,48-59              2:16-27,48-59            
                            3:16-27,48-59              3:16-27,48-59            
                            4:16-27,48-59              4:16-27,48-59            
                            5:16-27,48-59              5:16-27,48-59            
                            6:16-27,48-59              6:16-27,48-59            
                            7:16-27,48-59              7:16-27,48-59            
                            8:16-27,48-59              8:16-27,48-59            
                            9:16-27,48-59              9:16-27,48-59            
                            10:16-27,48-59             10:16-27,48-59           
                            11:16-27,48-59             11:16-27,48-59           
                            12:16-27,48-59             12:16-27,48-59           
                            13:16-27,48-59             13:16-27,48-59           
                            14:16-27,48-59             14:16-27,48-59           
                            15:16-27,48-59             15:16-27,48-59           
                            16:16-27,48-59             16:16-27,48-59           
                            17:16-27,48-59             17:16-27,48-59           
                            18:16-27,48-59             18:16-27,48-59           
                            19:16-27,48-59             19:16-27,48-59           
                            20:16-27,48-59             20:16-27,48-59           
                            21:16-27,48-59             21:16-27,48-59           
                            22:16-27,48-59             22:16-27,48-59           
                            23:16-27,48-59             23:16-27,48-59           
                   vDisks:  DISCO_SECUNDARIO:vdb       DISCO_SECUNDARIO:vdb     
                vNetworks:  VNET1:52:54:00:68:26:a9    VNET1:52:54:00:68:26:a9

Maquina criada, vamos para-la, para substituir pelos disco convertido.

[root@odax8godata vdisk_DISCO_SECUNDARIO]# odacli stop-vm -n MVPEP-SML-TRN

Job details                                                      
----------------------------------------------------------------
                     ID:  e318afa6-9190-41e2-8167-d2f24a165928
            Description:  VM MVPEP-SML-TRN stop
                 Status:  Success
                Created:  February 20, 2021 2:30:58 AM BRT
                Message:  

Task Name                                Start Time                          End Time                            Status    
---------------------------------------- ----------------------------------- ----------------------------------- ----------
Validate dependency resources            February 20, 2021 2:30:58 AM BRT    February 20, 2021 2:30:58 AM BRT    Success   
Stop VM                                  February 20, 2021 2:30:58 AM BRT    February 20, 2021 2:31:03 AM BRT    Success

[root@odax8godata vdisk_DISCO_SECUNDARIO]# odacli list-vms 
Name                  VM Storage            Node             Current State    Target State     Created                  Updated                
--------------------  --------------------  ---------------  ---------------  ---------------  -----------------------  -----------------------
MVPEP-SML-TRN         OVMSTORAGE                             OFFLINE          OFFLINE          2021-02-20 02:28:59 BRT  2021-02-20 02:28:59 BRT

[root@odax8godata backup]# cd /backup/

[root@odax8godata backup]# ll -h
total 352G
-rw------- 1 root root 120G Feb 12 13:08 DISCO_DE_BOOT.ovm
-rw-r--r-- 1 root root 112G Feb 18 19:43 DISCO_DE_BOOT.qcow2
-rw-r--r-- 1 root root 120G Feb 19 10:44 DISCO_SECUNDARIO.ovm



[root@odax8godata backup]# qemu-img info DISCO_DE_BOOT.qcow2
image: DISCO_DE_BOOT.qcow2
file format: qcow2
virtual size: 120G (128849018880 bytes)
disk size: 112G
cluster_size: 65536
Format specific information:
    compat: 1.1
    lazy refcounts: true
    refcount bits: 16
    corrupt: false

[root@odax8godata backup]# qemu-img info  DISCO_SECUNDARIO.ovm
image: DISCO_SECUNDARIO.ovm
file format: raw
virtual size: 120G (128849018880 bytes)
disk size: 120G

[root@odax8godata ~]# cd /u05/app/sharedrepo/ovmstorage/.ACFS/snaps/vm_MVPEP-SML-TRN
[root@odax8godata vm_MVPEP-SML-TRN]# ll -h
total 476M
-rw------- 1 root root 121G Feb 20 02:28 MVPEP-SML-TRN
-rw-r--r-- 1 root root 4.3K Feb 20 02:28 MVPEP-SML-TRN_live.xml
-rw-r--r-- 1 root root 3.7K Feb 20 02:28 MVPEP-SML-TRN.xml

[root@odax8godata ~]# cd /u05/app/sharedrepo/ovmstorage/.ACFS/snaps/vdisk_DISCO_SECUNDARIO
[root@odax8godata vdisk_DISCO_SECUNDARIO]# ll -h
total 120G
-rw-r--r-- 1 qemu qemu 120G Feb 20 02:15 DISCO_SECUNDARIO

Agora vamos substituir os seguintes arquivos…

MVPEP-SML-TRN —>>> DISCO_DE_BOOT.qcow2 DISCO_SECUNDARIO —>>> DISCO_SECUNDARIO.ovm

[root@odax8godata discos_antes_migracao]# cd  /backup/
[root@odax8godata backup]# mkdir discos_antes_migracao

[root@odax8godata backup]# mv /u05/app/sharedrepo/ovmstorage/.ACFS/snaps/vm_MVPEP-SML-TRN/MVPEP-SML-TRN /backup/discos_antes_migracao/
[root@odax8godata backup]# mv /u05/app/sharedrepo/ovmstorage/.ACFS/snaps/vdisk_DISCO_SECUNDARIO/DISCO_SECUNDARIO /backup/discos_antes_migracao/
[root@odax8godata backup]# ll -h /backup/discos_antes_migracao/
total 121G
-rw-r--r-- 1 qemu qemu 120G Feb 20 02:15 DISCO_SECUNDARIO
-rw------- 1 root root 121G Feb 20 02:28 MVPEP-SML-TRN

Discos "padrões" movidos, agora vamos colocar no devido lugar o disco de boot convertido e o disco secundário/vdisk que veio do ODA X5/OVM.

root@odax8godata backup]# cd /backup/
[root@odax8godata backup]# ll -h
total 352G
-rw-r--r-- 1 root root 112G Feb 18 19:43 DISCO_DE_BOOT.qcow2
-rw-r--r-- 1 root root 120G Feb 19 10:44 DISCO_SECUNDARIO.ovm

[root@odax8godata backup]# cp DISCO_DE_BOOT.qcow2 /u05/app/sharedrepo/ovmstorage/.ACFS/snaps/vm_MVPEP-SML-TRN/MVPEP-SML-TRN
[root@odax8godata backup]# cp DISCO_SECUNDARIO.ovm /u05/app/sharedrepo/ovmstorage/.ACFS/snaps/vdisk_DISCO_SECUNDARIO/DISCO_SECUNDARIO
[root@odax8godata backup]# ll -h /u05/app/sharedrepo/ovmstorage/.ACFS/snaps/vm_MVPEP-SML-TRN/
total 112G
-rw-r--r-- 1 root root 112G Feb 20 02:52 MVPEP-SML-TRN
-rw-r--r-- 1 root root 4.3K Feb 20 02:28 MVPEP-SML-TRN_live.xml
-rw-r--r-- 1 root root 3.7K Feb 20 02:28 MVPEP-SML-TRN.xml

[root@odax8godata backup]# ll -h /u05/app/sharedrepo/ovmstorage/.ACFS/snaps/vdisk_DISCO_SECUNDARIO/
total 121G
-rw-r--r-- 1 root root 120G Feb 20 02:56 DISCO_SECUNDARIO

[root@odax8godata ~]# cd /u05/app/sharedrepo/ovmstorage/.ACFS/snaps/vm_MVPEP-SML-TRN/

[root@odax8godata vm_MVPEP-SML-TRN]# ll -rths
total 112G
4.0K -rw-r--r-- 1 root root 3.7K Feb 20 02:28 MVPEP-SML-TRN.xml
 12K -rw-r--r-- 1 root root 4.3K Feb 20 02:28 MVPEP-SML-TRN_live.xml
112G -rw-r--r-- 1 root root 112G Feb 20 02:52 MVPEP-SML-TRN

[root@odax8godata vm_MVPEP-SML-TRN]# chmod 600 MVPEP-SML-TRN

[root@odax8godata vm_MVPEP-SML-TRN]# ll -rths
total 112G
4.0K -rw-r--r-- 1 root root 3.7K Feb 20 02:28 MVPEP-SML-TRN.xml
 12K -rw-r--r-- 1 root root 4.3K Feb 20 02:28 MVPEP-SML-TRN_live.xml
112G -rw------- 1 root root 112G Feb 20 02:52 MVPEP-SML-TRN

[root@odax8godata ~]# cd /u05/app/sharedrepo/ovmstorage/.ACFS/snaps/vdisk_DISCO_SECUNDARIO/

[root@odax8godata vdisk_DISCO_SECUNDARIO]# ll -rths
total 121G
121G -rw-r--r-- 1 root root 120G Feb 20 02:56 DISCO_SECUNDARIO

[root@odax8godata vdisk_DISCO_SECUNDARIO]# chown qemu:qemu DISCO_SECUNDARIO

[root@odax8godata vdisk_DISCO_SECUNDARIO]# ll -rths
total 121G
121G -rw-r--r-- 1 qemu qemu 120G Feb 20 02:56 DISCO_SECUNDARIO

Discos devidamente substituídos, vamos iniciar a VM.

[root@odax8godata vdisk_DISCO_SECUNDARIO]# odacli list-vms
Name                  VM Storage            Node             Current State    Target State     Created                  Updated                
--------------------  --------------------  ---------------  ---------------  ---------------  -----------------------  -----------------------
MVPEP-SML-TRN         OVMSTORAGE                             OFFLINE          OFFLINE          2021-02-20 02:28:59 BRT  2021-02-20 02:28:59 BRT

[root@odax8godata vdisk_DISCO_SECUNDARIO]# odacli start-vm -n MVPEP-SML-TRN

Job details                                                      
----------------------------------------------------------------
                     ID:  2d234ec2-df58-44cd-b603-a00b3c972acf
            Description:  VM MVPEP-SML-TRN start
                 Status:  Success
                Created:  February 20, 2021 3:07:43 AM BRT
                Message:  

Task Name                                Start Time                          End Time                            Status    
---------------------------------------- ----------------------------------- ----------------------------------- ----------
Validate dependency resources            February 20, 2021 3:07:43 AM BRT    February 20, 2021 3:07:43 AM BRT    Success   
Start VM                                 February 20, 2021 3:07:43 AM BRT    February 20, 2021 3:07:51 AM BRT    Success   
Save live VM configuration in ACFS       February 20, 2021 3:07:51 AM BRT    February 20, 2021 3:07:51 AM BRT    Success   
Save live VM configuration in metadata   February 20, 2021 3:07:51 AM BRT    February 20, 2021 3:07:51 AM BRT    Success

[root@odax8godata vdisk_DISCO_SECUNDARIO]# odacli list-vms
Name                  VM Storage            Node             Current State    Target State     Created                  Updated                
--------------------  --------------------  ---------------  ---------------  ---------------  -----------------------  -----------------------
MVPEP-SML-TRN         OVMSTORAGE            odax8godata     ONLINE           ONLINE           2021-02-20 02:28:59 BRT  2021-02-20 03:07:51 BRT

[root@odax8godata vdisk_DISCO_SECUNDARIO]# odacli describe-vm -n MVPEP-SML-TRN
VM details                                                                      
--------------------------------------------------------------------------------
                       ID:  f18f916b-19ae-4bfd-af33-f4a49f67f625
                     Name:  MVPEP-SML-TRN
                  Created:  2021-02-20 02:28:59 BRT
                  Updated:  2021-02-20 03:07:51 BRT
               VM Storage:  OVMSTORAGE
              Description:  NONE
                  VM size:  120.00 GB
                   Source:  V1003434-01.iso
                  OS Type:  NONE
               OS Variant:  NONE
        Graphics settings:  vnc,listen=0.0.0.0
             Display Port:  :0

 Status                   
--------------------------
             Current node:  odax8godata
            Current state:  ONLINE
             Target state:  ONLINE

 Parameters               
--------------------------
           Preferred node:  NONE
              Boot option:  NONE
               Auto start:  YES
                Fail over:  NO

                            Config                     Live                     
                            -------------------------  -------------------------
                   Memory:  32.00 GB                   32.00 GB                 
               Max Memory:  32.00 GB                   32.00 GB                 
               vCPU count:  24                         24                       
           Max vCPU count:  24                         24                       
                 CPU Pool:  POOL12CORES                POOL12CORES              
        Effective CPU set:  16-27,48-59                16-27,48-59              
                    vCPUs:  0:16-27,48-59              0:16-27,48-59            
                            1:16-27,48-59              1:16-27,48-59            
                            2:16-27,48-59              2:16-27,48-59            
                            3:16-27,48-59              3:16-27,48-59            
                            4:16-27,48-59              4:16-27,48-59            
                            5:16-27,48-59              5:16-27,48-59            
                            6:16-27,48-59              6:16-27,48-59            
                            7:16-27,48-59              7:16-27,48-59            
                            8:16-27,48-59              8:16-27,48-59            
                            9:16-27,48-59              9:16-27,48-59            
                            10:16-27,48-59             10:16-27,48-59           
                            11:16-27,48-59             11:16-27,48-59           
                            12:16-27,48-59             12:16-27,48-59           
                            13:16-27,48-59             13:16-27,48-59           
                            14:16-27,48-59             14:16-27,48-59           
                            15:16-27,48-59             15:16-27,48-59           
                            16:16-27,48-59             16:16-27,48-59           
                            17:16-27,48-59             17:16-27,48-59           
                            18:16-27,48-59             18:16-27,48-59           
                            19:16-27,48-59             19:16-27,48-59           
                            20:16-27,48-59             20:16-27,48-59           
                            21:16-27,48-59             21:16-27,48-59           
                            22:16-27,48-59             22:16-27,48-59           
                            23:16-27,48-59             23:16-27,48-59           
                   vDisks:  DISCO_SECUNDARIO:vdb       DISCO_SECUNDARIO:vdb     
                vNetworks:  VNET1:52:54:00:68:26:a9    VNET1:52:54:00:68:26:a9

KVM: Criando VM's e gerenciando com o ODACLI

Diogo Fernandes — Sat, 28 Dec 2024 21:33:49 GMT

Até “ontem” a utilização do KVM no ODA Bare metal não era simplificada, era necessário realizar alguns ajustes e até reboot de rede estava envolvido no antigo processo, mas digo a vocês que isso acabou. Desde a versão 19.8 a Oracle adicionou vários recursos para administração de máquinas virtuais, desde a criação de maquinas até gerenciamento da rede(vnetworks), tudo através do ODACLI. Neste post vamos abordar os seguintes comandos:

        1 - odacli create-vmstorage
        2 - odacli create-vcpupool 
        3 - odacli create-vnetwork
        4 - odacli create-vdisk
        5 - odacli create-vm

Todos estes procedimentos foram executados em um ODA X8M(Patch 19.9), portanto não se aplica diretamente ao ODA X8 HA, antes de executar este procedimento em um ODA HA, peço que consulte a documentação oficial.

Primeiro vamos preparar a área de armazenamentoobrigatoriamente temos que criar um local ondos discos de boot e os vdisk da maquinavirtuais serão armazenados:

 [root@odax8godata ~]# odacli create-vmstorage -dg DATA -n VMSTORAGE1 -s 500G

df -h 

/dev/asm/vmstorage1-78              500G  2G  497G  70% /u05/app/sharedrepo/vmstorage1

Pronto, vmstorage criado, vamos partir para o CPU POOL.

Podemos criar o CPU POOL de 2 formas, sendo elas do tipo vm ou bare metal, como o próprio nome diz, vamos criar do tipo vm, a do tipo bare metal é exclusivo para database, mas esse é assunto para outro post. Segue a documentação.

Attach the BM CPU pool to databases. Bare metal CPU pools can be assigned to multiple databases.

Attach VM CPU pool VM guest machines. VM CPU pools can be assigned to multiple VMs.

Agora vamos criar um cpu pool, lembrando que ele é criado em “cores”, abaixo vamos criar com 8 cores, podendo utilizar até 16 VCPU’s.

[root@odax8godata ~]# odacli create-cpupool -c 8 -n POOL8CORES -vm

Cpu pool concluído, agora vamos para a parte de rede. Na forma antiga de configurar o KVM era possível utilizar a placa btbond1 como brigde agora não é mais permitido, apenas como vlan:

[root@odax8godata ~]# odacli create-vnetwork --name VNET1 --bridge VNET1 --type bridged --interface btbond1 --ip 10.1.1.130  --gateway 10.1.1.1 --netmask 255.255.255.0
DCS-10045:Validation error encountered: Cannot create a bridged vNetwork using the public interface btbond1.

Porém você pode utilizar a segunda placa btbond2 para criar como bridge, que por sinal, será ela que utilizaremos em nossos testes. Um detalhe muito importante… Não utilize a mesma faixa/subnet do btbond1 para criar essa vnetwork, na máquina virtual pode utilizar qualquer faixa disponível, mas para criar a vnetwork escolha uma faixa/subnet diferente da btbond1. Outro detalhe, qualquer configuração que você tenha na BTBOND2 será ELIMINADA na criação da vnetwork.

[root@odax8godata ~]# odacli create-vnetwork --name VNET1 --bridge VNET1 --type bridged --interface btbond2 --ip 10.1.1.130  --gateway 10.1.1.1 --netmask 255.255.255.0

Estamos quase lá, agora só falta criar um vdisk que é opcional, reforçando que ele não é o disco de boot, é um disco secundário de 300GB que vamos anexar em nossa máquina.

[root@odax8godata ~]# odacli list-vmstorages
Name                  Disk group       Volume name      Volume device                   Size        Mount Point                          Created                  Updated                
--------------------  ---------------  ---------------  ------------------------------  ----------  -----------------------------------  -----------------------  -----------------------
VMSTORAGE1            DATA             VMSTORAGE1       /dev/asm/vmstorage1-78          500.00 GB   /u05/app/sharedrepo/vmstorage1       2021-02-02 01:00:59 BRT  2021-02-02 01:00:59 BRT

[root@odax8godata ~]# odacli create-vdisk -n VDISK1 -sh -s 300G -vms VMSTORAGE1

Job details                                                      
----------------------------------------------------------------
                     ID:  1b6a8361-3a80-4c66-ad7a-fe93f4f7c247
            Description:  VM disk VDISK1 creation
                 Status:  Created
                Created:  February 2, 2021 4:54:34 AM BRT
                Message:  

Task Name                                Start Time                          End Time                            Status    
---------------------------------------- ----------------------------------- ----------------------------------- ----------

Agora vamos revisar tudo antes de criar a máquina virtual.

VMSTORAGE:

[root@odax8godata ~]# odacli list-vmstorages
Name                  Disk group       Volume name      Volume device                   Size        Mount Point                          Created                  Updated                
--------------------  ---------------  ---------------  ------------------------------  ----------  -----------------------------------  -----------------------  -----------------------
VMSTORAGE1            DATA             VMSTORAGE1       /dev/asm/vmstorage1-78          500.00 GB   /u05/app/sharedrepo/vmstorage1       2021-02-02 01:00:59 BRT  2021-02-02 01:00:59 BRT

CPU POOL:

[root@odax8godata ~]# odacli list-cpupools
Name                  Type   Configured on              Cores  Associated resources            Created                  Updated                
--------------------  -----  -------------------------  -----  ------------------------------  -----------------------  -----------------------
POOL8CORES            VM     odax8godata               8      NONE                            2021-02-02 04:14:35 BRT  2021-02-02 04:14:35 BRT

VNETWORKS:

[root@odax8godata ~]# odacli list-vnetworks
Name                  Type             Interface        Bridge                Uniform   Created                  Updated                
--------------------  ---------------  ---------------  --------------------  --------  -----------------------  -----------------------
VNET1                 Bridged          btbond2          VNET1                 NO        2021-02-02 04:40:02 BRT  2021-02-02 04:40:02 BRT

VDISK:

[root@odax8godata ~]# odacli list-vdisks
Name                  VM storage            Size        Shared      Sparse      Created                  Updated                
--------------------  --------------------  ----------  ----------  ----------  -----------------------  -----------------------
VDISK1                VMSTORAGE1            300.00 GB   YES         NO          2021-02-02 05:02:26 BRT  2021-02-02 05:02:26 BRT

Pronto, agora vamos para a criação da maquina virtual.

[root@odax8godata ~]# odacli create-vm -n VMTESTE1 -cp POOL8CORES -vc 8 -m 32G -vms VMSTORAGE1 -s 50G -vd VDISK1 -vn VNET1 -src /u01/V1003434-01.iso

Explicando o Comando:

-n VMTESTE1 ---> Nome da Maquina.

-cp POOL8CORES ---> Pool de CPU de 8 Cores que criamos anteriormente.

-vc 8 ---> Quantidade de VCPU's

-m 32G ---> Memoria destinada a maquina virtual.

-vms VMSTORAGE1 --> Area de storage que criamos anteriormente com 500GB, lembra ?

-s 50G ---> Tamanho do disco de boot.

-vd VDISK1 ---> disco de 300GB que criamos anteriormente, reforçando ... esse não é o disco de boot.

-vn VNET1 ---> vnetwork que as maquinas virtuais irão utilizar.

-src /u01/V1003434-01.iso ---> ISO de BOOT.


Job details                                                      
----------------------------------------------------------------
                     ID:  d4c1efa1-8d15-48a7-92b3-0cd620c78968
            Description:  VM VMTESTE1 creation
                 Status:  Created
                Created:  February 2, 2021 10:56:02 PM BRT
                Message:  

Task Name                                Start Time                          End Time                            Status    
---------------------------------------- ----------------------------------- ----------------------------------- ----------


[root@odax8godata ~]# odacli describe-job -i d4c1efa1-8d15-48a7-92b3-0cd620c78968

Job details                                                      
----------------------------------------------------------------
                     ID:  d4c1efa1-8d15-48a7-92b3-0cd620c78968
            Description:  VM VMTESTE1 creation
                 Status:  Success
                Created:  February 2, 2021 10:56:02 PM BRT
                Message:  

Task Name                                Start Time                          End Time                            Status    
---------------------------------------- ----------------------------------- ----------------------------------- ----------
Validate dependency resources            February 2, 2021 10:56:02 PM BRT    February 2, 2021 10:56:02 PM BRT    Success   
Validate resource allocations            February 2, 2021 10:56:02 PM BRT    February 2, 2021 10:56:02 PM BRT    Success   
Allocate resources                       February 2, 2021 10:56:02 PM BRT    February 2, 2021 10:56:02 PM BRT    Success   
Provision new VM                         February 2, 2021 10:56:02 PM BRT    February 2, 2021 10:56:06 PM BRT    Success   
Add VM to Clusterware                    February 2, 2021 10:56:06 PM BRT    February 2, 2021 10:56:08 PM BRT    Success   
Save configuration in ACFS               February 2, 2021 10:56:08 PM BRT    February 2, 2021 10:56:08 PM BRT    Success   
Save live VM configuration in ACFS       February 2, 2021 10:56:08 PM BRT    February 2, 2021 10:56:08 PM BRT    Success   
Create VM metadata                       February 2, 2021 10:56:08 PM BRT    February 2, 2021 10:56:08 PM BRT    Success   
Persist metadata                         February 2, 2021 10:56:08 PM BRT    February 2, 2021 10:56:08 PM BRT    Success   

[root@odax8godata ~]# odacli describe-vm -n VMTESTE1
VM details                                                                      
--------------------------------------------------------------------------------
                       ID:  6d6a6ed1-ef70-474e-9a92-d0d129e78a96
                     Name:  VMTESTE1
                  Created:  2021-02-02 22:56:08 BRT
                  Updated:  2021-02-02 22:56:08 BRT
               VM Storage:  VMSTORAGE1
              Description:  NONE
                  VM size:  50.00 GB
                   Source:  V1003434-01.iso
                  OS Type:  NONE
               OS Variant:  NONE
        Graphics settings:  vnc,listen=0.0.0.0
             Display Port:  :0

 Status                   
--------------------------
             Current node:  odax8godata
            Current state:  ONLINE
             Target state:  ONLINE

 Parameters               
--------------------------
           Preferred node:  NONE
              Boot option:  NONE
               Auto start:  YES
                Fail over:  NO

                            Config                     Live                     
                            -------------------------  -------------------------
                   Memory:  32.00 GB                   32.00 GB                 
               Max Memory:  32.00 GB                   32.00 GB                 
               vCPU count:  8                          8                        
           Max vCPU count:  8                          8                        
                 CPU Pool:  POOL8CORES                 POOL8CORES               
        Effective CPU set:  0-7,32-39                  0-7,32-39                
                    vCPUs:  0:0-7,32-39                0:0-7,32-39              
                            1:0-7,32-39                1:0-7,32-39              
                            2:0-7,32-39                2:0-7,32-39              
                            3:0-7,32-39                3:0-7,32-39              
                            4:0-7,32-39                4:0-7,32-39              
                            5:0-7,32-39                5:0-7,32-39              
                            6:0-7,32-39                6:0-7,32-39              
                            7:0-7,32-39                7:0-7,32-39              
                   vDisks:  VDISK1:vdb                 VDISK1:vdb               
                vNetworks:  VNET1:52:54:00:ce:25:22    VNET1:52:54:00:ce:25:22

VM criada com sucesso, vamos ao acesso.

Quando executar o “describe” da máquina será listado algumas propriedades dentre elas o “display port”. O acesso a VM é feito via VNC, você pode usar qualquer ip para conectar na interface tanto do btbond1 ou do btbond2, em nosso caso a porta está em 0 então apenas com o ip de qualquer uma das interface conseguiremos acessar a VM.

Pronto senhores(a), daqui pra frente agora é com vocês rs.

Atualizando Banco de Dados 11G para o 19C através do ODACLI

Diogo Fernandes — Sat, 28 Dec 2024 19:09:06 GMT

Como é de conhecimentos de todos, sabemos que o suporte ao banco de dados 11G encerrou dia 31 de dezembro de 2020. Mediante isso, decidi escrever este artigo de como atualizar o banco de dados 11G para o 19C utilizando o ODACLI. Lembrando que este procedimento por enquanto está disponível apenas para Single Instance. Antes de executar quaisquer dos procedimentos abaixo, realize o backup de sua base. Para o upgrade… vamos executar as seguintes etapas.

Criar o Banco de dados UPTO19C na versão 11.2.0.4.
Criar um dbhome na versão 19.8.0.0.
Duplicar o banco para a instancia UPTO19C ainda na versão 11.2.0.4.
Atualizar o Banco de dados 11G para o 19C.

Então vamos dar início ao procedimento:

Parte 1.

[root@oda-x8m ~]# odacli create-database -n UPTO19C -u UPTO19C -r ACFS -s odb2 -cs WE8MSWIN1252 -v 11.2.0.4 
    Password for SYS,SYSTEM and PDB Admin: 

    Job details                                                      
    ----------------------------------------------------------------
                         ID:  54c154ef-61bc-4aca-a0a8-7cdc9bfec42f
                Description:  Database service creation with db name: UPTO19C
                     Status:  Created
                    Created:  January 21, 2021 10:49:39 PM BRT
                    Message:  

    Task Name                                Start Time                          End Time                            Status    
    ---------------------------------------- ----------------------------------- ----------------------------------- ----------



root@oda-x8m ~]# odacli describe-job -i 54c154ef-61bc-4aca-a0a8-7cdc9bfec42f

Job details                                                      
----------------------------------------------------------------
                     ID:  54c154ef-61bc-4aca-a0a8-7cdc9bfec42f
            Description:  Database service creation with db name: UPTO19C
                 Status:  Success
                Created:  January 21, 2021 10:49:39 PM BRT
                Message:  

Task Name                                Start Time                          End Time                            Status    
---------------------------------------- ----------------------------------- ----------------------------------- ----------
Validating dbHome available space        January 21, 2021 10:49:46 PM BRT    January 21, 2021 10:49:46 PM BRT    Success   
Setting up ssh equivalance               January 21, 2021 10:49:47 PM BRT    January 21, 2021 10:49:47 PM BRT    Success   
Create DATA FileGroup DATUPTO19C         January 21, 2021 10:49:47 PM BRT    January 21, 2021 10:49:48 PM BRT    Success   
Create RECO FileGroup RDOUPTO19C         January 21, 2021 10:49:48 PM BRT    January 21, 2021 10:49:49 PM BRT    Success   
Creating volume datUPTO19C               January 21, 2021 10:49:49 PM BRT    January 21, 2021 10:50:12 PM BRT    Success   
Creating volume rdoUPTO19C               January 21, 2021 10:50:12 PM BRT    January 21, 2021 10:50:33 PM BRT    Success   
Creating ACFS filesystem for DATA        January 21, 2021 10:50:33 PM BRT    January 21, 2021 10:50:50 PM BRT    Success   
Creating ACFS filesystem for RECO        January 21, 2021 10:50:50 PM BRT    January 21, 2021 10:51:08 PM BRT    Success   
Validating dbHome available space        January 21, 2021 10:51:08 PM BRT    January 21, 2021 10:51:08 PM BRT    Success   
Creating DbHome Directory                January 21, 2021 10:51:08 PM BRT    January 21, 2021 10:51:08 PM BRT    Success   
Extract DB clones                        January 21, 2021 10:51:08 PM BRT    January 21, 2021 10:51:55 PM BRT    Success   
Clone Db home                            January 21, 2021 10:51:55 PM BRT    January 21, 2021 10:52:50 PM BRT    Success   
Enable DB options                        January 21, 2021 10:52:50 PM BRT    January 21, 2021 10:52:55 PM BRT    Success   
Run Root DB scripts                      January 21, 2021 10:52:55 PM BRT    January 21, 2021 10:52:55 PM BRT    Success   
configuring Net Security                 January 21, 2021 10:52:58 PM BRT    January 21, 2021 10:52:58 PM BRT    Success   
Database Service creation                January 21, 2021 10:52:59 PM BRT    January 21, 2021 10:57:54 PM BRT    Success   
Database Creation                        January 21, 2021 10:52:59 PM BRT    January 21, 2021 10:57:22 PM BRT    Success   
Place SnapshotCtrlFile in sharedLoc      January 21, 2021 10:57:22 PM BRT    January 21, 2021 10:57:24 PM BRT    Success   
updating the Database version            January 21, 2021 10:57:52 PM BRT    January 21, 2021 10:57:54 PM BRT    Success   
create Users tablespace                  January 21, 2021 10:57:54 PM BRT    January 21, 2021 10:57:56 PM BRT    Success   
Clear all listeners from Databse         January 21, 2021 10:57:56 PM BRT    January 21, 2021 10:57:56 PM BRT    Success

Como podemos ver, a primeira etapa foi concluída com sucesso. Agora vamos para a próxima etapa.

Parte 2.

[root@oda-x8m ~]# odacli create-dbhome -de EE -v 19.8.0.0

Job details                                                      
----------------------------------------------------------------
                     ID:  c22ae319-1dd3-4527-a9c0-984fd80b3899
            Description:  Database Home OraDB19000_home3 creation with version :19.8.0.0
                 Status:  Created
                Created:  January 21, 2021 11:01:23 PM BRT
                Message:  Create Database Home

Task Name                                Start Time                          End Time                            Status    
---------------------------------------- ----------------------------------- ----------------------------------- ----------





[root@oda-x8m ~]# odacli describe-job -i c22ae319-1dd3-4527-a9c0-984fd80b3899

Job details                                                      
----------------------------------------------------------------
                     ID:  c22ae319-1dd3-4527-a9c0-984fd80b3899
            Description:  Database Home OraDB19000_home3 creation with version :19.8.0.0
                 Status:  Success
                Created:  January 21, 2021 11:01:23 PM BRT
                Message:  Create Database Home

Task Name                                Start Time                          End Time                            Status    
---------------------------------------- ----------------------------------- ----------------------------------- ----------
Setting up ssh equivalance               January 21, 2021 11:01:23 PM BRT    January 21, 2021 11:01:23 PM BRT    Success   
Removing ssh keys                        January 21, 2021 11:01:23 PM BRT    January 21, 2021 11:03:57 PM BRT    Success   
Validating dbHome available space        January 21, 2021 11:01:23 PM BRT    January 21, 2021 11:01:23 PM BRT    Success   
Creating DbHome Directory                January 21, 2021 11:01:23 PM BRT    January 21, 2021 11:01:23 PM BRT    Success   
Extract DB clones                        January 21, 2021 11:01:23 PM BRT    January 21, 2021 11:02:41 PM BRT    Success   
Clone Db home                            January 21, 2021 11:02:41 PM BRT    January 21, 2021 11:03:35 PM BRT    Success   
Enable DB options                        January 21, 2021 11:03:35 PM BRT    January 21, 2021 11:03:53 PM BRT    Success   
Run Root DB scripts                      January 21, 2021 11:03:53 PM BRT    January 21, 2021 11:03:53 PM BRT    Success

Banco de dados criado e dbhome 19c finalizado, vamos averiguar como que estão as coisas:

[root@oda-x8m ~]# odacli list-databases

ID                                       DB Name    DB Type  DB Version           CDB        Class    Shape    Storage    Status        DbHomeID                                
---------------------------------------- ---------- -------- -------------------- ---------- -------- -------- ---------- ------------ ----------------------------------------   
ba14cf8b-676b-4a69-a576-413e31ac6098     UPTO19C    Si       11.2.0.4.200714      false      Oltp     Odb2     Acfs       Configured   a60a4e83-f265-4fe0-b22a-82770743293c    


[root@oda-x8m ~]# odacli list-dbhomes

ID                                       Name                 DB Version                               Home Location                                 Status    
---------------------------------------- -------------------- ---------------------------------------- --------------------------------------------- ----------
a60a4e83-f265-4fe0-b22a-82770743293c     OraDB11204_home5     11.2.0.4.200714                          /u01/app/oracle/product/11.2.0.4/dbhome_5     Configured
3920f434-0a4b-44f1-9a31-80bf57351586     OraDB19000_home3     19.8.0.0.200714                          /u01/app/oracle/product/19.0.0.0/dbhome_3     Configured

Podemos ver que o dbhome com o final “3c” está vinculado ao banco UPTO19C e que o dbhome 19C com final “86” será nosso target na atualização.

Parte 3.

Agora vamos para parte que duplicamos o database de produção para o banco UPTO19C. Não entrarei em detalhes de como fazer o duplicate neste artigo para não ficar muito longo e perdemos o foco.

Recovery Manager: Release 11.2.0.4.0 - Production on Wed Jan 20 15:12:38 2021

Copyright (c) 1982, 2011, Oracle and/or its affiliates.  All rights reserved.

connected to target database: PROD (DBID=1261511516)
connected to auxiliary database: UPTO19C (not mounted)
XXXXXXXXXXXXXX
XXXXXXXXXXXXXX
XXXXXXXXXXXXXX
XXXXXXXXXXXXXX
XXXXXXXXXXXXXX
contents of Memory Script:
{
   Alter clone database open resetlogs;
}
executing Memory Script

database opened
Finished Duplicate Db at 20/01/2021 16:31:25

Pronto, agora nosso banco UPTO19C tem 8TB e podemos iniciar o procedimento.

SQL*Plus: Release 11.2.0.4.0 Production on Fri Jan 22 00:41:16 2021

Copyright (c) 1982, 2013, Oracle.  All rights reserved.


Connected to:
Oracle Database 11g Enterprise Edition Release 11.2.0.4.0 - 64bit Production
With the Partitioning, Real Application Clusters, OLAP, Data Mining
and Real Application Testing options


SQL> @dbsize

DB_SIZE_IN_MEGAS
----------------
       7,827,649

Antes de iniciar o upgrade gostaria de mencionar um processo anterior que deu falha.

[root@oda-x8m ~]# odacli describe-job -i 45191d6f-ca5f-43cb-9fbe-a155f8432dc2

Job details                                                      
----------------------------------------------------------------
                     ID:  45191d6f-ca5f-43cb-9fbe-a155f8432dc2
            Description:  Database service upgrade with db ids: [b5157b23-a1c7-49d5-b58a-f23dffdf5ab6]
                 Status:  Failure
                Created:  January 20, 2021 5:05:27 PM BRT
                Message:  DCS-10001:Internal error encountered: Databases failed to upgrade are : [b5157b23-a1c7-49d5-b58a-f23dffdf5ab6].

Task Name                                Start Time                          End Time                            Status    
---------------------------------------- ----------------------------------- ----------------------------------- ----------
Database Service Upgradation             January 20, 2021 5:05:27 PM BRT     January 20, 2021 5:06:35 PM BRT     Failure   
Database Service Upgradation             January 20, 2021 5:05:27 PM BRT     January 20, 2021 5:06:35 PM BRT     Failure   
Setting up ssh equivalance               January 20, 2021 5:05:27 PM BRT     January 20, 2021 5:05:27 PM BRT     Success   
Clear local and remote listeners from Databse January 20, 2021 5:05:27 PM BRT     January 20, 2021 5:05:28 PM BRT     Success   
Run catnoamd.sql                         January 20, 2021 5:05:28 PM BRT     January 20, 2021 5:05:29 PM BRT     Success   
Database Upgrade                         January 20, 2021 5:05:29 PM BRT     January 20, 2021 5:06:34 PM BRT     Success   
Deleting and creating the spfile and pfile January 20, 2021 5:06:34 PM BRT     January 20, 2021 5:06:35 PM BRT     Success   
Removing ssh keys                        January 20, 2021 5:06:35 PM BRT     January 20, 2021 5:06:35 PM BRT     Success   
Database Upgrade Validation              January 20, 2021 5:06:35 PM BRT     January 20, 2021 5:06:35 PM BRT     Failure

Depois de várias horas olhando os logs encontrei a causa do erro.

Como alguns amigos dizem… “Vá para o alert e lá estarás a verdade” e depois de um tempo encontrei isso aqui:

joxcsys: release mismatch 11.2.0.4.190716 in database (classes.bin) vs 11.2.0.4.200714 in executable.

Caso este seja seu problema, execute:

Database em modo OPEN normal.

sqlplus / as sysdba

@$ORACLE_HOME/rdbms/admin/utlu112s.sql
@$ORACLE_HOME/rdbms/admin/catuppst.sql
@$ORACLE_HOME/rdbms/admin/utlrp.sql

Caso exista alguma entrada "Manual" no arquivo listener.ora vinculada ao database que será atualizado, deverá ser removida para a atualização.

Pronto, depois disso você poderá executar o upgrade sem problemas, caso o seu problema seja este.

Parte 4.

Vamos dar continuidade ao procedimento agora.

[root@oda-x8m ~]# odacli list-databases

ID                                       DB Name    DB Type  DB Version           CDB        Class    Shape    Storage    Status        DbHomeID                                
---------------------------------------- ---------- -------- -------------------- ---------- -------- -------- ---------- ------------ ----------------------------------------   
ba14cf8b-676b-4a69-a576-413e31ac6098     UPTO19C    Si       11.2.0.4.200714      false      Oltp     Odb2     Acfs       Configured   a60a4e83-f265-4fe0-b22a-82770743293c    

[root@oda-x8m ~]# odacli list-dbhomes

ID                                       Name                 DB Version                               Home Location                                 Status    
---------------------------------------- -------------------- ---------------------------------------- --------------------------------------------- ----------
a60a4e83-f265-4fe0-b22a-82770743293c     OraDB11204_home5     11.2.0.4.200714                          /u01/app/oracle/product/11.2.0.4/dbhome_5     Configured
3920f434-0a4b-44f1-9a31-80bf57351586     OraDB19000_home3     19.8.0.0.200714                          /u01/app/oracle/product/19.0.0.0/dbhome_3     Configured

Explicando o comando:

odacli upgrade-database -i “ID do Banco de Dados no DCS, que é o ba14cf8b-676b-4a69-a576-413e31ac6098” -from “Home id da versão 11G, onde o banco está vinculado” -to “Home id da versão 19C”

[root@oda-x8m ~]# odacli upgrade-database -i ba14cf8b-676b-4a69-a576-413e31ac6098 -from a60a4e83-f265-4fe0-b22a-82770743293c -to 3920f434-0a4b-44f1-9a31-80bf57351586
{
  "jobId" : "82020630-2ab0-4f64-9054-4490a824e62c",
  "status" : "Created",
  "message" : null,
  "reports" : [ ],
  "createTimestamp" : "January 27, 2021 15:00:19 PM BRT",
  "resourceList" : [ ],
  "description" : "Database service upgrade with db ids: [ba14cf8b-676b-4a69-a576-413e31ac6098]",
  "updatedTime" : "January 27, 2021 15:00:19 PM BRT"
}

Depois de 31 minutos nosso database está atualizado:

[root@oda-x8m ~]# odacli describe-job -i 82020630-2ab0-4f64-9054-4490a824e62c

Job details                                                      
----------------------------------------------------------------
                     ID:  82020630-2ab0-4f64-9054-4490a824e62c
            Description:  Database service upgrade with db ids: [ba14cf8b-676b-4a69-a576-413e31ac6098]
                 Status:  Success
                Created:  January 27, 2021 3:00:19 PM BRT
                Message:  

Task Name                                Start Time                          End Time                            Status    
---------------------------------------- ----------------------------------- ----------------------------------- ----------
Setting up ssh equivalance               January 27, 2021 3:00:19 PM BRT     January 27, 2021 3:00:19 PM BRT     Success   
Clear local and remote listeners from Databse January 27, 2021 3:00:19 PM BRT     January 27, 2021 3:00:19 PM BRT     Success   
Run catnoamd.sql                         January 27, 2021 3:00:20 PM BRT     January 27, 2021 3:00:25 PM BRT     Success   
Database Upgrade                         January 27, 2021 3:00:25 PM BRT     January 27, 2021 3:30:19 PM BRT     Success   
Deleting and creating the spfile and pfile January 27, 2021 3:30:46 PM BRT     January 27, 2021 3:31:32 PM BRT     Success   
Removing ssh keys                        January 27, 2021 3:31:32 PM BRT     January 27, 2021 3:31:34 PM BRT     Success   
Database Upgrade Validation              January 27, 2021 3:31:34 PM BRT     January 27, 2021 3:31:34 PM BRT     Success

Podemos ver que o database UPTO19C agora está vinculado ao dbhome 19C:

[root@oda-x8m ~]# odacli list-databases

ID                                       DB Name    DB Type  DB Version           CDB        Class    Shape    Storage    Status        DbHomeID                                
---------------------------------------- ---------- -------- -------------------- ---------- -------- -------- ---------- ------------ ----------------------------------------
ba14cf8b-676b-4a69-a576-413e31ac6098     UPTO19C    Si       19.8.0.0.200714      false      Oltp     Odb2     Acfs       Configured   3920f434-0a4b-44f1-9a31-80bf57351586    

[root@oda-x8m ~]# odacli list-dbhomes

ID                                       Name                 DB Version                               Home Location                                 Status    
---------------------------------------- -------------------- ---------------------------------------- --------------------------------------------- ----------
a60a4e83-f265-4fe0-b22a-82770743293c     OraDB11204_home5     11.2.0.4.200714                          /u01/app/oracle/product/11.2.0.4/dbhome_5     Configured
3920f434-0a4b-44f1-9a31-80bf57351586     OraDB19000_home3     19.8.0.0.200714                          /u01/app/oracle/product/19.0.0.0/dbhome_3     Configured

E que o Database UPTO19C foi atualizado com sucesso:

[oracle@oda-x8m ~]$ . oraenv
ORACLE_SID = [oracle] ? UPTO19C
The Oracle base has been set to /u01/app/oracle
[oracle@oda-x8m ~]$ sqlplus / as sysdba 

SQL*Plus: Release 19.0.0.0.0 - Production on Wed Jan 27 16:04:47 2021
Version 19.8.0.0.0

Copyright (c) 1982, 2020, Oracle.  All rights reserved.


Connected to:
Oracle Database 19c Enterprise Edition Release 19.0.0.0.0 - Production
Version 19.8.0.0.0

SQL> select * from v$version ; 

BANNER                                                       BANNER_FULL                                                  BANNER_LEGACY                                              CON_ID
------------------------------------------------------------ ------------------------------------------------------------ ------------------------------------------------------ ----------
Oracle Database 19c Enterprise Edition Release 19.0.0.0.0 -  Oracle Database 19c Enterprise Edition Release 19.0.0.0.0 -  Oracle Database 19c Enterprise Edition Release 19.0.0.          0
Production                                                   Production                                                   0.0 - Production
                                                             Version 19.8.0.0.0


SQL> select count (*) from dba_objects where status='INVALID' ; 

  COUNT(*)
----------
         0