Может ли оракул читать локальные файлы, только если они связаны со вторичной группой?
Я пытаюсь запустить очень простой скрипт python из Oracle. Oracle находится в том же Linux-окне, что и скрипт. Он открывает файл и создает контрольную сумму. Он запускается пользователем "повторного" в пределах оракула.
Запуск сценария изнутри Oracle работает нормально, пока владелец файла "oracle", или группа "oinstall" (группа по умолчанию для oracle), или публикация установлена в rx, скрипт работает.
Проблема в том, что мы должны использовать другую группу user: group, и мы не можем использовать общедоступные разрешения. Мы добавили пользователя оракула в группу файлов.
uid=54321(oracle) gid=54321(oinstall) groups=54321(oinstall),202175(efs_data)
При запуске из Oracle, как мы это делали раньше, он теперь терпит неудачу, однако, когда sudo'ing в оракуле пользователя и запускает скрипт напрямую, он работает, поэтому мы знаем, что разрешения linux в порядке.
Что может быть причиной этого? Я полагаю, что Oracle выполняет некоторую другую проверку доступа, накладывая разрешения на linux, и это игнорирует вторичные группы и смотрит только на gid.
как схема "реконфигурации":
set serveroutput on size unlimited
declare
x number;
begin
x := run_cmd('/home/oracle/bin_dir/pytest.py');
dbms_output.put_line('return:' || x);
end;
run_cmd:
create or replace function RUN_CMD( p_cmd in varchar2) return number as
language java
name 'Util.RunThis(java.lang.String) return integer';
Util.RunThis:
import java.io.*;
import java.lang.*;
public class Util extends Object
{
public static int RunThis(java.lang.String args)
{
Runtime rt = Runtime.getRuntime();
int rc = -1;
try
{
Process p = rt.exec(args);
int bufSize = 4096;
BufferedInputStream bis =
new BufferedInputStream(p.getInputStream(), bufSize);
int len;
byte buffer[] = new byte[bufSize];
// Echo back what the program spit out
while ((len = bis.read(buffer, 0, bufSize)) != -1)
System.out.write(buffer, 0, len);
rc = p.waitFor();
}
catch (Exception e)
{
e.printStackTrace();
rc = -1;
}
finally
{
return rc;
}
}
}
/home/oracle/bin_dir/pytest.py:
#! /usr/bin/python -W ignore::DeprecationWarning
import paramiko
import logging
import datetime
import pwd
import md5
import os
def test_file_open(local_file):
print 'Trying to open: '+ local_file
logging.info('Trying to open: ' + local_file)
local_file_data = open(local_file, "rb").read()
checksum = md5.new(local_file_data).hexdigest()
return checksum
def main():
logging.basicConfig(filename='/mounts/users/dmz/pytest.log', level=logging.INFO)
logging.info('==========================================')
logging.info('START: ' + str(datetime.datetime.now()))
logging.info('getuid: ' + pwd.getpwuid( os.getuid() ).pw_name)
logging.info('geteuid: ' + pwd.getpwuid( os.geteuid() ).pw_name)
checksum = test_file_open('/test.txt')
print 'Success!, checksum: ' + checksum
logging.info('Success! checksum: ' + checksum)
logging.info('END: ' + str(datetime.datetime.now()))
if __name__ == '__main__':
main()
Выход (с оракулом в качестве владельца файла):
-rwxrwx---. 1 oracle efs_data 0 Jun 7 19:56 /test.txt
INFO:root:==========================================
INFO:root:START: 2018-06-07 19:45:32.005429
INFO:root:getuid: oracle
INFO:root:geteuid: oracle
INFO:root:Trying to open: /test.txt
INFO:root:Success! checksum: 9f1e1404fd72b59121d45a8beb4dab5d
INFO:root:END: 2018-06-07 19:45:32.007078
Выход (с разрешениями только через групповую ассоциацию):
-rwxrwx---. 1 root efs_data 0 Jun 7 19:57 /test.txt
INFO:root:==========================================
INFO:root:START: 2018-06-07 19:44:15.748559
INFO:root:getuid: oracle
INFO:root:geteuid: oracle
INFO:root:Trying to open: /test.txt
Ответы
Ответ 1
У меня аналогичная проблема с DIRECTORY и внешними таблицами, где доступ к Linux-группе, по-видимому, игнорируется. Я смог решить, используя acl и позволяя пользователю oracle иметь права, в которых он нуждается, в то же время позволяя владению файлом оставаться другим пользователем.
ll test.txt
-rwx------. 1 lunc users 940 Jun 13 09:34 test.txt
setfacl -m u:oracle:rwx test.txt
getfacl test.txt
# file: test.txt
# owner: lunc
# group: users
user::rwx
user:oracle:rwx
group::---
mask::rwx
other::---
ll test.txt
-rwxrwx---+ 1 lunc users 940 Jun 13 09:34 test.txt
Oracle принимает это (по крайней мере для внешних таблиц) и имеет доступ к файлу.
