Diario informal de K-nábora

 Lo prometido en la entrega anterior... una "Checklist " de ejemplo. Por supuesto deberá adaptarse a cada instalación en particular y puede reducirse quitando los comentarios correspondientes al curso. Puede hacerse en el formato que queráis y pretende solo guiaros y crear un fuerte sentido de hacer las cosas con criterio sin olvidarnos de nada (al menos intentarlo). Habrá otra "Checklist" para la creación de la base de datos (esta corresponde solo a la instalación del producto) y tantas como haga falta, Upgrade, Patch, Seguridad, Backup, Recuperación, etc. Lo importante es planificar ...

 

Oracle Database Preinstallation Checklist (esta guía no es un sustituto de la documentación oficial, usarla en conjunto con la misma, recordar que cada instalación particular debe ser analizada en detalle)

La planificación es de vital importancia para que la instalación se desarrolle correctamente.

Recordar previo a la instalación:

·         Verificar la documentación mencionada en Metalink (si tenemos cuenta) antes de decidir donde instalar una base de datos Oracle 11g release 1 (11.1)  o cualquier otro producto Oracle, ya sea con hardware existente o por supuesto antes de comprar almacenamiento y equipos. Entrar en Metalink y verificar la matriz de certificación “Certification Matrix”, esto es muy importante!

http://www.oracle.com/technology/support/metalink/index.html

*Contactar un representante de ventas si no se dispone de cuenta de Oracle Metalink

·         Verificar la documentación en OTN

http://www.oracle.com/technology/products/database

·         Buscar información adicional cuando se pueda (http://www.oracle-base.com, Google, etc.)

·         Revisar los requerimientos de “Globalization” si se desea soporte en idiomas distintos del Ingles “Oracle Database Globalization Support Guide”

http://download.oracle.com/docs/cd/B28359_01/server.111/b28298/ch1overview.htm#NLSPG00

http://download-uk.oracle.com/docs/cd/B28359_01/install.111/b32006/gblsupp.htm

·         Verificar los requerimientos de Hardware y Software de la documentación, Oracle requiere: Hardware soportado incluidos tipos de procesadores y su configuración y paquetes especiales del sistema Operativo.

·         Configuración del entorno del servidor: creación de grupos y usuarios especiales para la instalación para mejorar la seguridad o para productos especiales como Clusterware. Configuración de las variables de entorno.

·         Revisión del la conexión de red que se requiere.

·         Revisión de las opciones de instalación de los productos Oracle como “Partitioning”, etc.

·         Definición del tipo de almacenamiento que se utilizará:

Automatic Storage Management (ASM) que es integrado con el producto y se puede utilizar striping y mirroring de los ficheros de la base de datos de manera automática, Block ó Raw Devices, donde se requiere un dispositivo (Raw) para cada fichero de base de datos. File System soportados.

Requerimientos de la instalación (Checklist)

Ejemplo para Oracle 11gR1, Oracle 11gR1 (11.1.0.x) 32-bit sobre Enterprise Linux 5 x86 Platform, OEL5 y RHEL5, CENTOS 5

Hardware

CPU (ver “Certification Matrix”) Kernel: 2.6.9-55.0.0.0.2.EL o superior 

Memoria Ram: al menos 1GB

Espacio Swap: 1,5 veces el tamaño de la Ram (hasta 2GB)

Espacio en disco: Espacio Temp: 200MB

SO/Software

Espacio en Disco: entre 1.5 GB y 3.5 GB según el tipo de instalación

Sistema Operativo: OEL5 y RHEL5, CENTOS 5 “default Installation”

Sistema Operativo Patches Required (up2date)

RPMS Requeridas:
compat-libstdc++-33-3.2.3-61
elfutils-libelf-devel-0.125 (requires elfutils-libelf-devel-static-0.125)
glibc-devel-2.5-12 (requires glibc-headers-2.5-12)
gcc-4.1.1-52 (requires libgomp-4.1.1-52)
gcc-c++-4.1.1-52
libaio-devel-0.3.106
libstdc++-devel-4.1.1-52.e15
sysstat-7.0.0
unixODBC-2.2.11
unixODBC-devel-2.2.11

RPM dependientes:
elfutils-libelf-devel-static-0.125-3.el5
glibc-headers-2.5-12
libgomp-4.1.1-52.el5.2

Otras RPMS requeridas (según la guía de instalación)
(these get installed during a "Default RPM" installation of the RHEL AS/ES 5 OS. Additional RPMs maybe needed if a "less-than-default-RPMs" installation of RHEL AS/ES 5 is performed).

binutils-2.17.50.0.6-2.el5
elfutils-libelf-0.125-3.el5
glibc-2.5-12
glibc-common-2.5-12
libaio-0.3.106
libgcc-4.1.1-52
libstdc++-4.1.1
make-3.81-1.1

Deshabilitar Selinux (Linux)

Deshabilitar Host Firewall

Seteo de los parámetros de Kernel (Linux) para Oracle

kernel.shmall = 2097152
kernel.shmmax = 1/2 of physical RAM. This would be the value 2147483648 for a 4Gb RAM system. (268435456 in my case)
kernel.shmmni = 4096
kernel.sem = 250 32000 100 128
fs.file-max = 512 * PROCESSES (for example 65536 for 128 processes)
net.ipv4.ip_local_port_range = 1024 65000
net.core.rmem_default = 4194304
net.core.rmem_max = 4194304
net.core.wmem_default = 262144
net.core.wmem_max = 262144

X Server system software o emulador (ver más abajo)

System Administration Groups and Operating System Administrative Accounts

*Según documentación

OSDBA group (dba)

OSOPER (opcional)

ORAINVENTORY (opcional)

APACHE (recomendado)

Oracle software owner (oracle): (Recommended)

APACHE account: (Recommended) 

*Mínimo

# useradd oracle

# passwd oracle

# groupadd dba

# groupadd oinstall

# usermod -g oinstall -G dba oracle

Configure Oracle software owner limits

(/etc/security/limits.conf)

oracle soft nproc 2047

oracle hard nproc 16384

oracle soft nofile 1024

oracle hard nofile 65536

(/etc/pam.d/login)

session required /lib/security/pam_limits.so

session required pam_limits.so

(/etc/profile)

if [ $USER = "oracle" ]; then

 if [ $SHELL = "/bin/ksh" ]; then

  ulimit -p 16384

  ulimit -n 65536

 else

  ulimit -u 16384 -n 65536

 fi

fi

Miscelaneous

In order to avoid errors OUI-10035 and OUI-10033 during installation, take into account Oracle Metalink Note 452780.1 what in a brief, explains that regarding new oraInventory location’s change on 11gR1, Oracle user, needs write permission on $ORACLE_BASE/../ ($ORACLE_BASE/../oraInventory)

Tareas de preinstalación a realizar antes de iniciar la instalación

Crear los puntos de montaje en Unix para instalar el producto Oracle desde los CD-ROMs o crear carpetas y copiar el contenido necesario para la instalación 

Configurar las variables de entorno recomendadas (y crear directorios):

ORACLE_HOME (Por ejemplo: /u01/oracle/product/11.1.0/)

ASM_HOME

TMP_DIR TMPDIR

TMP=/tmp; export TMP

TMPDIR=$TMP; export TMPDIR

Configurar Umask (umask 0022)

Descargar el software o copiar los CDs

Instalar un servidor X-windows como por ejemplo Cygwin con los paquetes X ó cualquier Xserver como Exceed, xwin32 o xwinpro para nuestra estación de trabajo, personalmente prefiero Cygwin. Si la instalación se realiza sobre el mismo servidor y se dispone de Linux (Unix) se puede utilizar el servidor X por defecto. Esto porque el Universal Installer que es el producto de Oracle para realizar instalaciones está basado en Java, es independiente del SO y necesita un gestor X para ejecutarse.

Recordar:

xhost +

DISPLAY=:0.0; export DISPLAY

Server Domain Information

Host name 

Internet protocol address: 192.168.0.22

Domain name 

ORACLE_HOSTNAME=oel5.localdomain; export ORACLE_HOSTNAME

Ejecutar el instalador:

./runInstaller

Post-Instalación

Tip: en mi opinión es mejor instalar solo el producto y realizar una 

configuración típica de red y crear la base de datos luego, trabajando

 específicamente sobre los scripts y paths, no hacerlo en la 

misma instalación.

*Debe planificarse y completarse una checklist diferente.

Editar /etc/oratab en el caso de que creemos la base de datos.

DB11G:/u01/oracle/product/11.1.0:Y

Consideraciones básicas de seguridad (Oracle database security standards)

·         Evaluar los riesgos con respecto a la seguridad y planificar según lo analizado.

·         Actualizar el software antes de crear la base de datos, por ejemplo instalar patchsets (se puede generar una chacklist particular)

·         Identificar e instalar parches conocidos o vulnerabilidades reportadas con los productos Oracle, por ejemplo se puede consultar Hispasec

·         Lo mismo para el sistema operativo y aplicaciones

·         Instalar solo los productos requeridos, no hacer instalaciones completas

·         Apuntar todos los detalles de la instalación y configuración más las versiones del software utilizado y guardarlos por  futuras necesidades del servicio o nuevas instalaciones.

·         Guardar copias del software utilizado

·         Tener en cuenta la ubicación física de los servidores

·         Aplicar políticas de contraseñas acordes a la instalación o modificarlas al pasar a producción

·         Limitar el acceso al software

·         Verificar los permisos de las distintas carpetas o paths como por ejemplo $ORACLE_HOME/bin

·         Verificar el valor de umask en Unix

·         Verificar el dueño y grupo de los ficheros en $ORACLE_HOME

·         Verificar el tipo de filesystem en Windows, grupos y permisos

·         Quitar tkprof, otrace en entornos en Producción

·         Analizar los ficheros de trazas de Oracle

·         Atención con los permisos de los dispositivos RAW

·         Cuidado con los usuarios y contraseñas en procesos batch

·         Analizar utilizar transmisiones de red seguras, encriptadas si es necesario

·         Remover los scripts de creación en Producción

·         Atención con los permisos de sistema ALTER SESSION y ALTER SYSTEM

·         Salvar periódicamente archivelog files a disco o cinta y purgarlos

·         Auditar external tables

Referencias:

Oracle Metallink Note: 438765.1
Oracle Metallink Note: 452780.1
Oracle Metallink Note: 454196.1

Oracle Documentation

Oracle Database Security Checklist