本文转自Oracle ACS 团队Steven.Lee的blog,链接如下:
http://www.dbaleet.org/is_disable_iptables_and_selinux_to_be_mandatory/
在刚开始学习Oracle的时候,很多老鸟告诉我应该关闭操作系统的iptables和SELInux,因为Oracle不支持, 否则会遇到无穷无尽的问题,打开iptables和SELInux就是给自己找麻烦。所以我每次安装Oracle Database的时候,第一件事情就是关闭iptables和SELinux,甚至后来在安装的时候就选择了禁用,所以iptables和SELInux形同虚设。其实我也不明白为什么需要关闭,却一直没有深究,只是觉得照做就对了。相信很多人也和我一样有着同样的经历。
但是,事情总是在发展的。。。
首先来说iptables, 很多人一直有一个误解,认为Oracle RAC是不支持iptables的。
实际上, 准确的说法是Oracle不推荐在私有网络之间使用iptables。因为可能会干扰到节点之间的心跳和数据交换,而从导致ipc timeout, crs进程无法通信等错误最终导致节点被驱逐。另外如果限制了udp通信的端口,则私网之间的global cache 通信的效率也会受到影响。 以下是对MOS文档554781.1 RAC instabilities due to firewall (netfilter/iptables) enabled on the cluster interconnect 的引用:
1 | Oracle RAC uses the cluster interconnect to send buffer cache blocks between instances running on different nodes. The cluster interconnect is also used for other critical smaller messages essential to the stability and scalability of the cluster. IPtables or similar firewall implementations are OSI Reference Model layer 3 (network) filtering method and should be disabled on the cluster interconnect since, by design, this network is trusted. The cluster interconnect should be a completely private/isolated (layer 2 packet processing), non-routable network (the only nodes connected to it are the cluster members themselves). It is therefore safe, and required, to disable any such software based firewalls for this network. If security is still a concern use a physically separate dedicated switch for the cluster interconnect, or configure the cluster interconnect to use a Virtual Local Area Network (VLAN; OSI network layer 2) dediated to a private subnet. |
同样在RAC: Frequently Asked Questions (Doc ID 220970.1)上也提到了用户需要在私网上禁用iptales。 实际上RAC的私网应该是一个完全独立的网络,不应该能从其它非集群节点或者其它不同链路的网络访问到,Oracle推荐使用VLAN等方式进行隔离,而不是使用iptables。
然后私网不允许使用iptables,不代表公网不允许。事实上,很多客户在通过在公网(client access)上使用iptables规则来达到系统安全加固的目的。因为在公网上,用户只需要打开监听使用的端口(Enterprise Manager的端口有时也会打开),从而大大减少了可能的恶意攻击。
虽然Oracle建议不要在私网使用iptables, 但是依然还是有不少用户仍然使用iptables对私网进行了限制。
注意以下提到的方法Oracle官方不支持。
Oracle有一篇文档中提到了RAC常用到的端口:
http://docs.oracle.com/cd/E11882_01/install.112/e24660/ports.htm#BEHFDBEE
只需要打开其中一些核心的端口号,另外再根据系统的负载选择性的打开udp端口:通常情况下,Oracle推荐打开9000-65536这个范围,单这并不是强制的,主要是这个范围考虑了最大负载。如果负载较小,可以适当减少。因为如果负载较大,则RAC所需的传输交换数据的udp端口也就越多,如果此时udp端口不够就可能导致RAC性能下降,gc等待加剧,严重时甚至会出现以下错误:
1 | ORA-27300: OS system dependent operation:bind failed with status: 227 |
2 | ORA-27301: OS failure message: Can't assign requested address |
3 | ORA-27302: failure occurred at: sskgxpcre3 |
说完了iptables, 再来说一下SELinux。如果通读过11.2的安装文档, 就会惊讶地发现:从11.2开始(准确的来说是11.2.0.2开始),Oracle实际上是支持SELinux的。 为什么Oracle需要支持SELinux呢?我个人认为Oracle的客户遍布全球的各行各业,在政府,军事等行业,对安全性的要求往往非常高,而在这些行业中,很多时候SELinux是一个强制的安全标准。如果Oracle不支持SELinux,那么可以会失去这些行业销售产品的契机,而Oracle的竞争对手正好可以趁机进入这些行业。对于这些客户Oracle是无论如何都不应该放弃的,所以Oracle没有选择,必须在新的Database版本中支持SELinux。以下是11.2支持SELinux的链接:
http://docs.oracle.com/cd/E11882_01/install.112/e22489/prelinux.htm#CIHFICFD
1 | Starting with Oracle Database 11g Release 2 (11.2), the Security Enhanced Linux (SELinux) feature is supported for Oracle Linux 4, Red Hat Enterprise Linux 4, Oracle Linux 5, Oracle Linux 6, Red Hat Enterprise Linux 5, and Red Hat Enterprise Linux 6. |
可以看到支持的平台非常全,包括了RHEL 4, 5, 6和OL 4, 5, 6, 而在以前的版本的安装文档中,安装前的操作系统检查一般会有需要禁SELinux的提示,并且会提供禁用的方法。
例如,在MOS ID 419646.1 Requirements For Installing Oracle 10gR2 On RHEL/OEL 5 (x86) 就有这么一段话说明为什么要禁用SELinux:
1 | Due to an internal bugs of Oracle database (Bug 6140224, Bug 6079461), SELinux has to be disabled on RHEL/OEL 5 to work with Oracle database 10.2. Please refer Note 454196.1 for more information about these bugs. |
而事实上与SELinux相关的Bug远不止 Bug 6140224和Bug 6079461,我所知道的还包括:
Bug 6155260: ASSEMBLY CODE IN RSA CRYPTOC IS NOT POSITION INDEPENDENT
Bug 9746474: SELINUX IS PREVENTING “EXECMOD”
Bug 9817031: 11.2 GRID INFRA. FAILS DURING ROOT.SH, IF DEFAULT SELINUX IS SET TO “ENFORCED”
Bug 14030380 – acfs start filesystem fails with mixed case hostname when selinux enforcing
其它的一些bug大多数是以上的重复的bug (Duplicated Bug)。
除了Bug 14030380在11.2.0.3.2修复以外,其它在11.2.0.2都已经修复了。所以Oracle才在11.2.0.2以后的文档中宣称支持SELinux。
比较有趣的是: Bug 6140224 SQLPLUS FAILS TO LOAD LIBNNZ11.SO WITH SELINUX ENABLED ON EL5/RHEL5, 这个bug的Base Bug实际上是上面提到的Bug 6155260, 其症状是如果SELinux在force的模式下使用11.2.0.1的客户端sqlplus报错。针对这个问题Oracle给出了patch 9215184 OCI APPLICATION FAILS FOR 64 BITS LIBRARIES ON SELINUX, 而red hat专门针对这个问题也开发了rpm源码补丁包oracle-instantclient-selinux-11.2.0.1-1.el6.src.rpm, 从RHEL6的源以及RHEL5的源 来看, 针对oracle客户端SELinux的问题, Red Hat还不止开发一个rpm包,例如还包括oracle-selinux-0.1.23.33-1.el5.src.rpm和oracle-xe-selinux-10.2.0.33-1.el5.src.rpm两个包。(从名字来看,猜测这两个包只是为不同的客户端build的),另外在SUSE的官网同样也能找到对应的rpm包,这些rpm包只是简单的对SELinux命令的一些封装,其中核心的语句在:
1 | /usr/sbin/semanage fcontext -d -t textrel_shlib_t '/usr/lib/oracle/11\.2/client.*/lib/libsqlplus\.so' |
2 | /usr/sbin/semanage fcontext -d -t textrel_shlib_t '/usr/lib/oracle/11\.2/client.*/lib/libsqlplusic\.so' |
3 | /sbin/restorecon -Rvv /usr/lib/oracle/11 .2 /client * || : |
另外 对于对熟悉SELinux系统的管理员来说,发现和解决SELinux相关的问题其实并没有想象中的复杂:一般通过操作系统的跟踪工具例如strace,ltrace等分析问题出在哪个环节,哪个目录(Directory), 哪个文件(File), 哪个库(Library), 然后使用chcon、 semanage fcontext 和restorecon 命令来修改文件和目录的SELinux 类型属性。SELinux问题的分析和处理超出了本篇的范畴,有兴趣可参看以下文章:
Red Hat Enterprise Linux 4 Red Hat SELinux Guide
Guide to the Secure Configuration of Red Hat Enterprise Linux 5
Red Hat Enterprise Linux 6 Security-Enhanced Linux User Guide
最后谈一点个人看法:
iptables和SELinux都是非常重要的安全工具,如果它没有用,那么就不会出现在LInux的内核中。以上纯粹是可能性的探讨,我个人其实并不推荐一般用户在RAC中使用iptables和SELinux, 因为它们可能会带来一些令人摸不着头脑的问题。 对于某些安全性要求极高的行业,可以适当选择iptables和SELinux进行安全加固以及防范系统入侵,但是我相信这些也只是辅助手段,更多的从事安全方面的工程师更倾向于使用网络硬件设备来对其进行加固,例如硬件防火墙(Hardware-basedfirewall),入侵检测系统(Intrusion detection system)等。对于安全问题,加锁固然重要,但是如果加到自己也打不开就变成“枷锁”了。