oracle 11.2.0.1 for windows server2012R2應用p12429529_112010_MSWIN-x86-64補丁

    oracle 11.2.0.1 for windows server2012R2應用p12429529_112010_MSWIN-x86-64補丁集，也是oracle數據庫安全加固的范疇。因為每次oracle數據庫加固過程中

總會有些許意外發生，這里記錄一次oracle 11.2.0.1 for windows server2012R2應用p12429529_112010_MSWIN-x86-64補丁集。

本次oracle安全加固使用的參考文檔：

一、目的

針對windwos server 2012/2012R2平臺上運行的oracle數據庫 11.2.0.1應用目前可用最新的CPU補丁集p12429529，修復該版本數據庫在日常應用中的風險漏洞，

減少應用系統架構非計劃停機時間、屏蔽數據庫風險漏洞被利用的可能。

二、安全加固基礎信息

三、安全加固操作步驟

1、  對預用補丁集數據庫的應用進行關停；

2、  對預用補丁集數據庫進行基礎健康檢查；

3、  預用補丁集數據庫備份前啟停，排除已有會話干擾；

4、  對預用補丁集數據庫進行備份，做expdp/rman全備；

5、  預用補丁集前數據庫相關服務全部停止

a)        停止數據庫監聽lsnrctl stop

b)        停止數據庫服務shutdown immediate;

c)        操作系統層次停止oracle相關的所有服務

6、  Opatch版本升級

a)        備份舊版本的opatch目錄及文件

b)        解壓新版opatch（p6880880_112000_MSWIN-x86-64）到ORACLE_HOME目錄

7、  應用補丁集

a)        解壓補丁集p12429529

b)        設置操作系統環境變量

c)        應用補丁集p12429529

8、  啟動數據庫相關服務

a)        啟動數據庫操作系統層次相關服務，參考5.c操作

b)        確認數據庫監聽狀態lsnrctl status

c)        確認數據庫狀態

Select open_mode from v$database;

Select status from v$instance;

d)        確認補丁集應用情況 opatch lsinventory

9、  應用程序功能性驗證

四、風險評估

1、  應用CPU補丁能修復已有數據庫漏洞，但是也會引入新的未知oracle漏洞，CPU產生的影響需在應用日后的使用中發現。

2、  不排除CPU補丁的應用失敗情況

五、失敗回退

1、  嘗試補丁集回滾，然后重啟數據庫服務，如應用測試后正常，則回滾成功；

2、  刪除當前數據庫，新建對應版本數據庫，使用備份進行恢復，經測正常后回退成功。

---------------------------------------------------------------------------------------------------------------------

oracle 11.2.0.1 for windows server2012R2應用p12429529_112010_MSWIN-x86-64補丁集過程如下：

1、關停相關oracle數據庫的應用程序

2、打補丁前數據庫基礎健康檢查

--查看數據庫實例狀態

SQL> select open_mode from v$database;
OPEN_MODE
--------------------
READ WRITE

SQL> select status from v$instance;
STATUS
------------
OPEN

SQL> select count(*) from v$session;
  COUNT(*)
----------
        31
SQL>

--查看數據庫大小

--查看數據庫歸檔模式，以確定數據庫備份策略

--查看數據庫組件狀態

--查看數據庫告警日志，確定數據庫是否有歷史遺留故障

3、  預用補丁集數據庫備份前啟停，排除已有會話干擾；

4、  對預用補丁集數據庫進行備份，做expdp全備（由于對方庫是非歸檔模式）；

create directory zhul as 'e:\orabak';

expdp \"/ as sysdba\" directory = zhul dumpfile=expdp_full_orcl_20171201_%U.dmp expdp_full_orcl_20171201.log full=y

5、  預用補丁集前數據庫相關服務全部停止

a)        停止數據庫監聽lsnrctl stop

C:\Users\Administrator>lsnrctl stop
LSNRCTL for 64-bit Windows: Version 11.2.0.1.0 - Production on 01-12月-2017 17:14:04

Copyright (c) 1991, 2010, Oracle.  All rights reserved.

正在連接到 (DESCRIPTION=(ADDRESS=(PROTOCOL=TCP)(HOST=hp)(PORT=1521)))
命令執行成功

b)        停止數據庫服務shutdown immediate;

c)        操作系統層次停止oracle相關的所有服務

6、  Opatch版本升級

a)        備份舊版本的opatch目錄及文件

b)        解壓新版opatch（p6880880_112000_MSWIN-x86-64）到ORACLE_HOME目錄

D:\app\Administrator\product\11.2.0\dbhome_1\OPatch>opatch lsinventory
Oracle 中間補丁程序安裝程序版本 11.2.0.3.6
版權所有 (c) 2013, Oracle Corporation。保留所有權利。
Oracle Home       : D:\app\Administrator\product\11.2.0\dbhome_1
Central Inventory : C:\Program Files\Oracle\Inventory
   from           : n/a
OPatch version    : 11.2.0.3.6
OUI version       : 11.2.0.1.0
Log file location : D:\app\Administrator\product\11.2.0\dbhome_1\cfgtoollogs\opa
tch\opatch3017-12-01_17-29-01下午_1.log
Lsinventory Output file location : D:\app\Administrator\product\11.2.0\dbhome_1\
cfgtoollogs\opatch\lsinv\lsinventory2017-12-01_17-29-01下午.txt
--------------------------------------------------------------------------------
已安裝的頂級產品 (1):
Oracle Database 11g                                                  11.2.0.1.0
此 Oracle 主目錄中已安裝 1 個產品。
此 Oracle 主目錄中未安裝任何中間補丁程序。
--------------------------------------------------------------------------------
OPatch succeeded.
D:\app\Administrator\product\11.2.0\dbhome_1\OPatch>

7、  應用補丁集

a)        解壓補丁集p12429529

b)        設置操作系統環境變量

C:\Users\Administrator>set oracle_home=D:\app\Administrator\product\11.2.0\dbhome_1

c)        應用補丁集p12429529

D:\app\Administrator\product\11.2.0\dbhome_1\OPatch>c:
c:\>cd C:\Users\Administrator\Desktop\p12429529_112010_MSWIN-x86-64\12429529

C:\Users\Administrator\Desktop\p12429529_112010_MSWIN-x86-64\12429529>D:\app\Administrator\product\11.2.0\dbhome_1\OPatch\opatch apply
Oracle 中間補丁程序安裝程序版本 11.2.0.3.6
版權所有 (c) 2013, Oracle Corporation。保留所有權利。
Oracle Home       : D:\app\Administrator\product\11.2.0\dbhome_1
Central Inventory : C:\Program Files\Oracle\Inventory
   from           : n/a
OPatch version    : 11.2.0.3.6
OUI version       : 11.2.0.1.0
Log file location : D:\app\Administrator\product\11.2.0\dbhome_1\cfgtoollogs\opa
tch\12429529_Dec_01_2017_17_34_20\apply2017-12-01_17-34-20下午_1.log
Applying interim patch '12429529' to OH 'D:\app\Administrator\product\11.2.0\dbhome_1'
Verifying environment and performing prerequisite checks...
Patch 12429529: Optional component(s) missing : [ oracle.rdbms.ic, 11.2.0.1.0 ]
, [ oracle.has.crs, 11.2.0.1.0 ] , [ oracle.usm, 11.2.0.1.0 ]
All checks passed.
提供電子郵件地址以用于接收有關安全問題的通知, 安裝 Oracle Configuration Manager
并啟動它。如果您使用 My Oracle
Support 電子郵件地址/用戶名, 操作將更簡單。
有關詳細信息, 請訪問 http://www.oracle.com/support/policies.html。
電子郵件地址/用戶名:
尚未提供電子郵件地址以接收有關安全問題的通知。
是否不希望收到有關安全問題 (是 [Y], 否 [N]) [N] 的通知:  Y
請關閉本地系統上在此 ORACLE_HOME 之外運行的 Oracle 實例。
(Oracle 主目錄 = 'D:\app\Administrator\product\11.2.0\dbhome_1')
本地系統是否已準備打補丁? [y|n]
y
User Responded with: Y
Backing up files...
正在為組件 oracle.rdbms.rsf, 11.2.0.1.0 打補丁...
正在為組件 oracle.rdbms, 11.2.0.1.0 打補丁...
正在為組件 oracle.rdbms.util, 11.2.0.1.0 打補丁...
正在為組件 oracle.rdbms.dbscripts, 11.2.0.1.0 打補丁...
正在為組件 oracle.rdbms.plsql, 11.2.0.1.0 打補丁...
正在為組件 oracle.xdk.rsf, 11.2.0.1.0 打補丁...
正在為組件 oracle.network.rsf, 11.2.0.1.0 打補丁...
正在為組件 oracle.oraolap, 11.2.0.1.0 打補丁...
正在為組件 oracle.ntoledb.odp_net_2, 11.2.0.1.0 打補丁...
正在為組件 oracle.has.db, 11.2.0.1.0 打補丁...
正在為組件 oracle.has.rsf, 11.2.0.1.0 打補丁...
正在為組件 oracle.javavm.server, 11.2.0.1.0 打補丁...
正在為組件 oracle.network.listener, 11.2.0.1.0 打補丁...
正在為組件 oracle.odbc.ic, 11.2.0.1.0 打補丁...
正在為組件 oracle.oraolap.api, 11.2.0.1.0 打補丁...
正在為組件 oracle.owb.rsf, 11.2.0.1.0 打補丁...
正在為組件 oracle.precomp.common, 11.2.0.1.0 打補丁...
正在為組件 oracle.ctx, 11.2.0.1.0 打補丁...
正在為組件 oracle.has.common, 11.2.0.1.0 打補丁...
正在為組件 oracle.rdbms.rsf.ic, 11.2.0.1.0 打補丁...
正在為組件 oracle.rdbms.oci, 11.2.0.1.0 打補丁...
正在為組件 oracle.has.common.cvu, 11.2.0.1.0 打補丁...
正在為組件 oracle.has.deconfig, 11.2.0.1.0 打補丁...
正在為組件 oracle.swd.oui.core, 11.2.0.1.0 打補丁...
正在為組件 oracle.ntoledb, 11.2.0.1.0 打補丁...
正在為組件 oracle.rdbms.deconfig, 11.2.0.1.0 打補丁...
正在為組件 oracle.sysman.agent, 10.2.0.4.2 打補丁...
正在為組件 oracle.precomp.rsf, 11.2.0.1.0 打補丁...
正在為組件 oracle.precomp.common, 11.2.0.1.0 打補丁...
正在為組件 oracle.sysman.console.db, 11.2.0.1.0 打補丁...
正在為組件 oracle.sysman.oms.core, 10.2.0.4.2 打補丁...
正在為組件 oracle.sysman.plugin.db.main.repository, 11.2.0.1.0 打補丁...
正在為組件 oracle.rdbms.dv.oc4j, 11.2.0.1.0 打補丁...
正在為組件 oracle.ldap.rsf, 11.2.0.1.0 打補丁...
正在為組件 oracle.ldap.rsf.ic, 11.2.0.1.0 打補丁...
正在為組件 oracle.rdbms.dv, 11.2.0.1.0 打補丁...
正在為組件 oracle.nlsrtl.rsf, 11.2.0.1.0 打補丁...
Verifying the update...
Patch 12429529 successfully applied
Log file location: D:\app\Administrator\product\11.2.0\dbhome_1\cfgtoollogs\opat
ch\12429529_Dec_01_2017_17_34_20\apply2017-12-01_17-34-20下午_1.log


OPatch succeeded.
C:\Users\Administrator\Desktop\p12429529_112010_MSWIN-x86-64\12429529>d:
D:\app\Administrator\product\11.2.0\dbhome_1\OPatch>
D:\app\Administrator\product\11.2.0\dbhome_1\OPatch>opatch lsinventory
Oracle 中間補丁程序安裝程序版本 11.2.0.3.6
版權所有 (c) 2013, Oracle Corporation。保留所有權利。
Oracle Home       : D:\app\Administrator\product\11.2.0\dbhome_1
Central Inventory : C:\Program Files\Oracle\Inventory
   from           : n/a
OPatch version    : 11.2.0.3.6
OUI version       : 11.2.0.1.0
Log file location : D:\app\Administrator\product\11.2.0\dbhome_1\cfgtoollogs\opa
tch\opatch3017-12-01_17-38-33下午_1.log
Lsinventory Output file location : D:\app\Administrator\product\11.2.0\dbhome_1\
cfgtoollogs\opatch\lsinv\lsinventory2017-12-01_17-38-33下午.txt
--------------------------------------------------------------------------------
已安裝的頂級產品 (1):
Oracle Database 11g                                                  11.2.0.1.0
此 Oracle 主目錄中已安裝 1 個產品。
中間補丁程序 (1) :
Patch  12429529     : applied on Fri Dec 01 17:35:58 CST 2017
Unique Patch ID:  13854432
   Created on 17 Jun 2011, 02:07:52 hrs PST8PDT
   Bugs fixed:
     12429529, 9554332, 12363485, 10625485, 9268192, 9935787, 10205230
     12412745, 12393432, 12341758, 10130392, 11853331, 6055658, 11723722
     11735927, 11772687, 9902590, 9871302, 10132870, 7365514, 10422748
     10180190, 9825461, 11731176, 9368502, 9705984, 10302581, 10130633
     8331063, 10237271, 10082277, 10054513, 9695366, 8889137, 10383833
     11076894, 10220194, 10401327, 9042035, 10235640, 9564886, 10104492
     9302054, 10374238, 9613016, 10432045, 8772524, 10357603, 9243068, 9448277
     8672862, 9725141, 9328390, 9275876, 9033671, 10154951, 9890701, 9628444
     10352692, 10086495, 10155684, 10156303, 10157313, 10201938, 10220033
     10278864, 8332021, 8771916, 8800514, 8874588, 8946311, 9003145, 9115829
     9131242, 9240305, 9398685, 9469117, 9569029, 9751158, 8446618, 10245351
     10052141, 10116578, 10134677, 10140809, 10157402, 10172454, 7662438
     8397251, 8499180, 8522654, 9090269, 9234660, 9255996, 9395237, 9461782
     9668086, 9703463, 9736701, 9795214, 9823660, 9826065, 9866728, 9916260
     9972680, 9524640, 8841699, 10216200, 10225758, 10155838, 10030675
     10080167, 10132342, 6866145, 8790561, 8984021, 9096076, 9137871, 9193873
     9277263, 9303326, 9457109, 9457492, 9472669, 9539440, 9659614, 9845644
     9903704, 9920616, 9930649, 10100101, 8780369, 8866808, 8883722, 9004242
     9021724, 9028780, 9049725, 9058865, 9212844, 9243912, 9306119, 9350527
     9387574, 9399991, 9413827, 9488247, 9498108, 9500147, 9532911, 9544104
     9548269, 9578533, 9593656, 9594372, 9706490, 9721013, 9734300, 9746699
     9764806, 9770451, 9778018, 9799342, 9828495, 9881328, 9932143, 10080735
     9901433, 9966926, 8574851, 8790837, 8802195, 8863249, 8981681, 8993052
     9198871, 9217088, 9300021, 9369183, 9442189, 9500046, 9648040, 9657283
     9685694, 9772171, 9847494, 9793452, 9888298, 9135679, 9495697, 9081430
     6855031, 8793567, 9286015, 9442015, 9504322, 9535951, 8684595, 9663844
     9539556, 7452759, 9196440, 8893949, 9011590, 9382101, 9775337, 9083671
     9324531, 8654177, 8569325, 8686932, 9271344, 8434467, 6086930, 9024737
     9047975, 9056912, 9069046, 9336476, 9355794, 9495669, 8467123, 8663644
     8855396, 8886819, 8951812, 8467825, 9187546, 9102860, 9109487, 8546356
     9170308, 8725282, 9308296, 9406607, 8720802, 9711859, 9531984, 9482399
     9471411, 9390484, 9362218, 9320786, 9320130, 9302343, 9290526, 9231605
     8554900, 9490054, 9389304, 8783690, 9577583, 9736229, 9259407, 8602840
     9469133, 8682102, 9693101, 9898160, 9669478, 9736865, 7327630, 8268775
     8505803, 8544696, 8565708, 8633358, 8664189, 8702535, 8755082, 8771556
     8783301, 8790767, 8799099, 8803762, 8839301, 8856478, 8865718, 8872096
     8909984, 8974548, 8981059, 8991997, 9023338, 9032717, 9057443, 9119194
     9145181, 9147830, 9165206, 9170608, 9216806, 9219338, 9227662, 9255542
     9275072, 9321701, 9341448, 9363145, 9363384, 9391025, 9399090, 9467635
     9488887, 9637033, 9711600, 9713537, 9714832, 9719541, 9736836, 7028305
     7519406, 8330783, 8431487, 8477973, 8496830, 8581792, 8607693, 8643160
     8650719, 8717461, 8730312, 8774868, 8813536, 8815639, 8822531, 8822832
     8834425, 8875671, 8879707, 8891929, 8914054, 8918433, 9001453, 9002336
     9007859, 9010222, 9011088, 9015983, 9027691, 9035113, 9041943, 9050716
     9053676, 9054253, 9057754, 9067282, 9068088, 9093300, 9120088, 9145541
     9167285, 9189070, 9202351, 9271246, 9272086, 9294110, 9298307, 9316329
     9378712, 9395500, 9408883, 9467727, 9504129, 9561609, 9584383, 9657157
     9661684, 9489422, 9595786, 8405205, 8543770, 8856467, 8998066, 8897784
     9004697, 9007836, 9036013, 9037724, 9047110, 9318214, 8328200, 8570322
     8629716, 8761974, 8857211, 8885539, 9035438, 8971021, 8685327, 8707506
     8866903, 8771297, 8772028, 8796511
--------------------------------------------------------------------------------
OPatch succeeded.
D:\app\Administrator\product\11.2.0\dbhome_1\OPatch>

C:\Users\Administrator>sqlplus / as sysdba
SQL*Plus: Release 11.2.0.1.0 Production on 星期五 12月 1 17:59:34 2017
Copyright (c) 1982, 2010, Oracle.  All rights reserved.
連接到:
Oracle Database 11g Enterprise Edition Release 11.2.0.1.0 - 64bit Production
With the Partitioning, OLAP, Data Mining and Real Application Testing options

SQL> STARTUP

SQL> @catcpu.sql

SQL> @utlrp.sql

SQL> quit 

8、  啟動數據庫相關服務

a)        啟動數據庫操作系統層次相關服務，參考5.c操作

b)        確認數據庫監聽狀態lsnrctl status

C:\Users\Administrator>lsnrctl status
LSNRCTL for 64-bit Windows: Version 11.2.0.1.0 - Production on 01-12月-2017 20:38:48
Copyright (c) 1991, 2010, Oracle.  All rights reserved.
正在連接到 (DESCRIPTION=(ADDRESS=(PROTOCOL=IPC)(KEY=EXTPROC1521)))
LISTENER 的 STATUS
------------------------
別名                      LISTENER
版本                      TNSLSNR for 64-bit Windows: Version 11.2.0.1.0 - Production
啟動日期                  01-12月-2017 20:38:43
正常運行時間              0 天 0 小時 0 分 5 秒
跟蹤級別                  off
安全性                    ON: Local OS Authentication
SNMP                      OFF
監聽程序參數文件          D:\app\Administrator\product\11.2.0\dbhome_1\network\admin\listener.ora
監聽程序日志文件          d:\app\administrator\diag\tnslsnr\XXFB02\listener\alert\log.xml
監聽端點概要...
  (DESCRIPTION=(ADDRESS=(PROTOCOL=ipc)(PIPENAME=\\.\pipe\EXTPROC1521ipc)))
  (DESCRIPTION=(ADDRESS=(PROTOCOL=tcp)(HOST=XXFB02)(PORT=1521)))
服務摘要..
服務 "CLRExtProc" 包含 1 個實例。
  實例 "CLRExtProc", 狀態 UNKNOWN, 包含此服務的 3 個處理程序...
命令執行成功

c)        確認數據庫狀態

C:\Users\Administrator>sqlplus / as sysdba
SQL*Plus: Release 11.2.0.1.0 Production on 星期五 12月 1 17:39:34 2017
Copyright (c) 1982, 2010, Oracle.  All rights reserved.
連接到:
Oracle Database 11g Enterprise Edition Release 11.2.0.1.0 - 64bit Production
With the Partitioning, OLAP, Data Mining and Real Application Testing options

SQL> select open_mode from v$database;
OPEN_MODE
--------------------
READ WRITE
SQL> select status from v$instance;
STATUS
------------
OPEN

1、有時候雖然停止了數據庫操作系統層次的所有服務，但是應用補丁時依然有報錯：

以上報錯原因，雖然oracle相關服務已經停止，但是之前連接到數據庫的進程還占用數據庫軟件部分文件，導致OPatch無法應用補丁，需要完全釋放

oracle數據庫軟件的文件，解決方法是：重啟數據庫服務器，注意需要將oracle相關的服務全部暫時調整至手動啟動，補丁應用完后調整到原先的設置。

2、安裝了oracle數據庫客戶端的服務器需要臨時調整操作系統PATH變量，否則無法登陸數據庫

C:\Users\Administrator>sqlplus / as sysdba
SQL*Plus: Release 11.2.0.1.0 Production on 星期五 12月 1 20:29:40 2017
Copyright (c) 1982, 2010, Oracle.  All rights reserved.
ERROR:
ORA-12560: TNS: 協議適配器錯誤
請輸入用戶名:
ERROR:
ORA-12560: TNS: 協議適配器錯誤
請輸入用戶名:
ERROR:
ORA-12560: TNS: 協議適配器錯誤
SP2-0157: 在 3 次嘗試之后無法連接到 ORACLE, 退出 SQL*Plus
C:\Users\Administrator>

--調整前：

D:\app\Administrator\product\11.2.0\client_1;D:\app\Administrator\product\11.2.0\dbhome_1\bin;C:\ProgramData\Oracle\Java\javapath;%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;%SYSTEMROOT%\System32\WindowsPowerShell\v1.0\;C:\Program Files (x86)\Microsoft SQL Server\80\Tools\Binn\;C:\AltiServ\Exe;C:\AltiServ\SP\H323SP;C:\Program Files (x86)\AltiGen\VRManager\bin
--臨時調整
D:\app\Administrator\product\11.2.0\dbhome_1\bin;C:\ProgramData\Oracle\Java\javapath;%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;%SYSTEMROOT%\System32\WindowsPowerShell\v1.0\;C:\Program Files (x86)\Microsoft SQL Server\80\Tools\Binn\;C:\AltiServ\Exe;C:\AltiServ\SP\H323SP;C:\Program Files (x86)\AltiGen\VRManager\bin

3、本次打補丁一共實施了3個oracle實例，過程中就有一個實例從高級日志中確定其臨時表空間有問題，備份的時候因臨時表空間問題無法備份

關于臨時表空間有問題的實例解決方法是重建臨時表空間