Может ли oracle читать локальные файлы, если они связаны только с вторичной группой? - PullRequest
0 голосов
/ 07 июня 2018

Я пытаюсь запустить очень простой скрипт на Python из Oracle.Oracle находится на той же Linux-коробке, что и скрипт.Он открывает файл и создает контрольную сумму.Он запускается пользователем «расходомера» в oracle.

Запуск сценария из Oracle работает нормально, если владельцем файла является «oracle» или группа «oinstall» (группа по умолчанию oracle),или public установлен в rx, скрипт работает.

Проблема в том, что мы должны использовать другой user: group, и мы не можем использовать публичные разрешения.Мы добавили пользователя oracle в группу файла.

uid=54321(oracle) gid=54321(oinstall) groups=54321(oinstall),202175(efs_data)

При запуске из Oracle, как мы это делали ранее, теперь происходит сбой, однако, когда sudo'ing пользователю oracle и запускает скрипт напрямую, онработает, поэтому мы знаем, что разрешения linux в порядке.

Что может вызвать это?Я предполагаю, что Oracle выполняет какой-то другой вид проверки доступа, накладывая разрешения на Linux, и это игнорирует вторичные группы и рассматривает только gid.

как схема «разведки»:

set serveroutput on size unlimited
declare
 x number;
begin
 x := run_cmd('/home/oracle/bin_dir/pytest.py');
 dbms_output.put_line('return:' || x);
end;

run_cmd:

create or replace function RUN_CMD( p_cmd  in varchar2) return number as
language java
name 'Util.RunThis(java.lang.String) return integer';

Util.RunThis:

import java.io.*;
  import java.lang.*;

  public class Util extends Object
  {

    public static int RunThis(java.lang.String args)
    {
    Runtime rt = Runtime.getRuntime();
    int        rc = -1;

    try
    {
       Process p = rt.exec(args);

       int bufSize = 4096;
       BufferedInputStream bis =
        new BufferedInputStream(p.getInputStream(), bufSize);
       int len;
       byte buffer[] = new byte[bufSize];

       // Echo back what the program spit out
       while ((len = bis.read(buffer, 0, bufSize)) != -1)
          System.out.write(buffer, 0, len);

       rc = p.waitFor();
    }
    catch (Exception e)
    {
       e.printStackTrace();
       rc = -1;
    }
    finally
    {
       return rc;
    }
  }
}

/ home / oracle / bin_dir / pytest.py:

#! /usr/bin/python -W ignore::DeprecationWarning
import paramiko
import logging
import datetime
import pwd
import md5
import os

def test_file_open(local_file):
  print 'Trying to open: '+ local_file
  logging.info('Trying to open: ' + local_file)
  local_file_data = open(local_file, "rb").read()
  checksum = md5.new(local_file_data).hexdigest()
  return checksum

def main():
  logging.basicConfig(filename='/mounts/users/dmz/pytest.log', level=logging.INFO)
  logging.info('==========================================')
  logging.info('START: ' + str(datetime.datetime.now()))
  logging.info('getuid: ' + pwd.getpwuid( os.getuid() ).pw_name)
  logging.info('geteuid: ' + pwd.getpwuid( os.geteuid() ).pw_name)

  checksum = test_file_open('/test.txt')

  print 'Success!, checksum: ' + checksum
  logging.info('Success! checksum: ' + checksum)
  logging.info('END: ' + str(datetime.datetime.now()))

if __name__ == '__main__':
  main()

Вывод (с oracle в качестве владельца файла):

-rwxrwx---. 1 oracle efs_data 0 Jun  7 19:56 /test.txt

INFO:root:==========================================
INFO:root:START: 2018-06-07 19:45:32.005429
INFO:root:getuid: oracle
INFO:root:geteuid: oracle
INFO:root:Trying to open: /test.txt
INFO:root:Success! checksum: 9f1e1404fd72b59121d45a8beb4dab5d
INFO:root:END: 2018-06-07 19:45:32.007078

Вывод (с разрешениями только через групповое сопоставление):

-rwxrwx---. 1 root efs_data 0 Jun  7 19:57 /test.txt

INFO:root:==========================================
INFO:root:START: 2018-06-07 19:44:15.748559
INFO:root:getuid: oracle
INFO:root:geteuid: oracle
INFO:root:Trying to open: /test.txt

1 Ответ

0 голосов
/ 13 июня 2018

У меня похожая проблема с DIRECTORY и внешними таблицами, где доступ к группе linux, похоже, игнорируется.Я смог решить эту проблему, используя acl и предоставив пользователю oracle необходимые права, в то время как право владения файлом останется у другого пользователя.

ll test.txt
-rwx------. 1 lunc users 940 Jun 13 09:34 test.txt

setfacl -m u:oracle:rwx test.txt

getfacl test.txt

# file: test.txt
# owner: lunc
# group: users
user::rwx
user:oracle:rwx
group::---
mask::rwx
other::---

ll test.txt
-rwxrwx---+ 1 lunc users 940 Jun 13 09:34 test.txt

Oracle принимает это (по крайней мере для внешних таблиц)и может получить доступ к файлу.

...