Вакансия: Oracle Engineer в Yahoo

[Likenew]

А вы смотрели ?<<Invited nodes

Use this parameter to check for invited and excluded nodes. This list takes precedence over the TCP.EXCLUDED_NODES
parameter if both lists are present TCP.INVITED_NODES=(hostname | ip_address, hostname | ip_address, ...)
TCP.INVITED_NODES=(sales.us.acme.com,
hr.us.acme.com, 144.185.5.73)
>хттп://псоуг.орг/референце/нетсервицес.хтмл
>
Есть понятие <invited nodes and restricted nodes>, т.е. можете указать, что вы допускаете к соединению. У нас ваще нет листенер на одном сервере, только локально можно подсоединиться, таким образом решили секюрность. Т.е. в вашем случае надо позволить только одного пользователя с определенного хост. Ето все указывается в <sqlnet.ora>Попробуете, скажете, я теоретик, даже близко не подпускают :цры:

[ПростоНик]

Кто - это username. Вы сами его создаете "create user blah identified by blah ..."
Просветите на тему "каким образом" ? Вам надо без пароля - это можно, но дыра в секюрити будет - мама на балуй. Лучше все-таки заморочится с паролем. Или я что-то не понимаю ?

[Likenew]

Кто - это усернаме. Вы сами его создаете "цреате усер блах идентифиед бы блах ..."
Просветите на тему "каким образом" ? Вам надо без пароля - это можно, но дыра в секюрити будет - мама на балуй. Лучше все-таки заморочится с паролем. Или я что-то не понимаю ?

Мало того, что усер создается, ему же ще и полномочия выдаются. Т.е., все люди на виду и учтены, если вы не практикуете совместное использование логинов/паролей. В моей тетрадке записано, что можно листенер создать с паролем, а также использовать <node checking>, потом аудит кто где когда. Я не очень в секюрити, только читаю, хотела бы улучшить себя, делитесь результатом/опытом.

[Flying Hen]

я думаю в условии ошибка
"that exist in small but not in big "
надо читать как
"that exist in big but not in small "

тогда Hash Anti-Join имеет смысл. В оригинальной версии, Nested Loop (small table as a driver) будет быстрее.

Тогда один черт надо сканировать большую таблицу и этот скан забьет остальные операции по времени.

Так и не понял, почему hash join будет работать быстрей чем index join. (При условии, что индекс уже построен)

[Ljolja]

Кто - это username. Вы сами его создаете "create user blah identified by blah ..."
Просветите на тему "каким образом" ? Вам надо без пароля - это можно, но дыра в секюрити будет - мама на балуй. Лучше все-таки заморочится с паролем. Или я что-то не понимаю ?

я таки почитала документацию по oracle и нашла там следуюшее.
user can be created in 3 ways:
1.create user {username} identified by {password};
2.create user {username} identified externally;
3.create user {username} identified globally as '{external_name}';
т-ко 1й создается с паролем (удивительно, что 1й вариант для локалки)
2й, как я поняла username = system login name, т.е. если я зарегистрирована на сервере на котором установлена орацле дб, как усер1, создавая в орацле дб усер1 as 'identified externally', я (и мои apps) можем коннектиться к дб без пароля. В реальности ето не работает: когда я запускаю sqlplus и логинюсь как усер1, в ответ получаю ? о пароле.
Наверное я чего-то не допоняла.
Еше удивительно, что для sysdba sqlplus пароля не спрашивает (и после етого мне говорят о секюрити )
Что мне кажется естественным и разумным:
зарегистрированый в системе усер1 из локалки может конектиться без пароля,
если он конектиться с удаленного сервера - то с паролем
никакие sysdba (да еше и беспарольныйе) с remote ips коннектиться не должны

[Ljolja]

Есть понятие <invited nodes and restricted nodes>, т.е. можете указать, что вы допускаете к соединению.

node=host(name or ip)
connect parameters:
db_name
host(name or ip)
username
[password]
I know how to provide node in sqlnet.ora, I don't know how to make restriction on allowed connect only for selected users

[ПростоНик]

Ljolja,
You created username according scenario N 2 like this :
create user myuser identified externally;

Try this from a system where you already connected as myser to os.
Please do the following from command prompt:

whoami

sqlplus /nolog
connect /

cut-n-paste output

[Ljolja]

Ljolja,
You created username according scenario N 2 like this :
create user myuser identified externally;

yes

Try this from a system where you already connected as myser to os.
Please do the following from command prompt:

whoami

sqlplus /nolog
connect /

cut-n-paste output

Code: Select all

sqlplus /nolog

SQL*Plus: Release 11.2.0.1.0 Production on Thu Nov 10 00:01:17 2011

Copyright (c) 1982, 2009, Oracle.  All rights reserved.

SQL> connect /
ERROR:
ORA-01017: invalid username/password; logon denied

/nolog - new keyword for me but still doesn't work, something missing

[ПростоНик]

Please issue command :
env
and paste output here

[Likenew]

Вот, что написано в 2 дня секюрити.
<Guidelines for Securing Client Connections

1.The default setting, REMOTE_OS_AUTHENT = FALSE, creates a more secure configuration that enforces proper, server-based authentication of users connecting to an Oracle database.
2.Configure the connection to use encryption.
3.Set up strong authentication.

Guidelines for Securing the Network Connection

1.Monitor listener activity.You can monitor listener activity by using Oracle Enterprise Manager Database Control.
2.Prevent online administration by requiring the administrator to have the write privilege on the listener password and on the listener.ora file on the server:
Add or modify this line in the listener.ora file:ADMIN_RESTRICTIONS_LISTENER=ON
Use RELOAD to reload the configuration.
Use SSL when administering the listener by making the TCPS protocol the first entry in the address list.
To administer the listener remotely, define the listener in the listener.ora file on the client computer.
3.Do not set the listener password.
Ensure that the password has not been set in the listener.ora file. The local operating system authentication will secure the listener administration. The remote listener administration is disabled when the password has not been set. This prevents brute force attacks of the listener password.
4.When a host has multiple IP addresses associated with multiple NIC cards, configure the listener to the specific IP address.
Oracle recommends that you specify the specific IP addresses on these types of computers, rather than enabling the listener to monitor all IP addresses.
5.Restrict the privileges of the listener, so that it cannot read or write files in the database or the Oracle server address space.
6.Use encryption to secure the data in flight.
7.Use a firewall.
8.Prevent unauthorized administration of the Oracle listener.
9.Check network IP addresses.
To use this feature, set the following sqlnet.ora configuration file parameters:
tcp.validnode_checking = YES
tcp.excluded_nodes = {list of IP addresses}
tcp.invited_nodes = {list of IP addresses
10.Encrypt network traffic.
11.Secure the host operating system (the system on which Oracle Database resides).

Protecting Data on the Network by Using Network Encryption
>

[Likenew]

Кто - это усернаме. Вы сами его создаете "цреате усер блах идентифиед бы блах ..."
Просветите на тему "каким образом" ? Вам надо без пароля - это можно, но дыра в секюрити будет - мама на балуй. Лучше все-таки заморочится с паролем. Или я что-то не понимаю ?

я таки почитала документацию по орацле :мргреен: и нашла там следуюшее.
усер цан бе цреатед ин 3 шаыс:
1.цреате усер {усернаме} идентифиед бы {пассшорд};
2.цреате усер {усернаме} идентифиед ехтерналлы;
3.цреате усер {усернаме} идентифиед глобаллы ас ь{ехтерналнаме}ь;
т-ко 1й создается с паролем (удивительно, что 1й вариант для локалки)
2й, как я поняла усернаме = сыстем логин наме, т.е. если я зарегистрирована на сервере на котором установлена орацле дб, как усер1, создавая в орацле дб усер1 ас ьидентифиед ехтерналлыь, я (и мои аппс) можем коннектиться к дб без пароля. В реальности ето не работает: когда я запускаю сълплус и логинюсь как усер1, в ответ получаю ? о пароле.
Наверное я чего-то не допоняла. :паин1:
Еше удивительно, что для сысдба сълплус пароля не спрашивает (и после етого мне говорят о секюрити :Д )
Что мне кажется естественным и разумным:
зарегистрированый в системе усер1 из локалки может конектиться без пароля,
если он конектиться с удаленного сервера - то с паролем
никакие сысдба (да еше и беспарольныйе) с ремоте ипс коннектиться не должны

Не очень ясно.
<SYSDBA> имеет особые права в ОЦ, не надо об етом забывать, он же там в ДБА группе зачислен, поетому с етими креденшиалс он и подключается без пароля.
А пользователя спрашивают пароль, потому как <The default setting, REMOTE_OS_AUTHENT = FALSE>, если вы не поменяли

А потом есть еще одна вещь, как <create session> привилегия, без нее подлючиться низя.
Оспидя, такое впечатление, что у вас там наплодилось пользователей... сделайте реорганизацию, поsтaвьте всех на учет строго

[Likenew]

я думаю в условии ошибка
"тхат ехист ин смалл бут нот ин биг "
надо читать как
"тхат ехист ин биг бут нот ин смалл "

тогда Хаш Анти-Йоин имеет смысл. В оригинальной версии, Нестед Лооп (смалл табле ас а дривер) будет быстрее.

Тогда один черт надо сканировать большую таблицу и этот скан забьет остальные операции по времени.

Так и не понял, почему хаш йоин будет работать быстрей чем индех йоин. (При условии, что индекс уже построен)

если есть хороший индекс, может и будет. Мы же не определяем как оракл будет ето делать, а ЦБО. если же надо сканировать таблицу, то тут вопрос сколько раз, в етом случае <hash join> и работает. Зайдите на шики почитайте, там кратко описан алгоритм, они один раз строят ето < hash> , а не мотаются много раз со сканом всей таблицы. Я так поняла.

[Ljolja]

Please issue command :
env
and paste output here

Вы бы еше написали paste here the host ip and root password
Why do you need my environment settings (vanishingly small part of them is related to oracle)?

[Easbayguy]

Please issue command :
env
and paste output here

Вы бы еше написали paste here the host ip and root password
Why do you need my environment settings (vanishingly small part of them is related to oracle)?

Тетки ораклисты это всегда что

[mynameiszb]

Тетки ораклисты это всегда что

[флегматично] Это от пола не зависит.

Моя бывшая коллега - до сих пор тянет всю Европейскую поддержку по Ораклу на специфических юниксах. Если я правильно помню, их сейчас 3 человека на весь мир, кто кроме девелопмента в специфике Z-OS понимает.

При этом - очень милая женщина. Но если бы возник какой-либо вопрос по потрохам системы - я бы пошел к ней не задумываясь. Потому как она - реально знает и умеет.

PS. Так что давайте без гендерных "спецфикаций"