Oracle DataGuard环境下使用TDE透明加密需要注意的点

最新推荐文章于 2024-07-26 17:07:32 发布
最新推荐文章于 2024-07-26 17:07:32 发布
阅读量913 收藏 1
点赞数
文章标签: oracle 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/baoyuhang0/article/details/114556963
版权

DataGuard环境下使用TDE透明加密:
开启TDE:
1.创建一个新目录,并指定为wallet目录

$ mkdir -p /oracle/wallet

并设置wallet目录,方法很简单,编辑参数文件sqlnet.ora即可:

$ vi $ORACLE_HOME/network/admin/sqlnet.ora
加入以下信息,保存。
ENCRYPTION_WALLET_LOCATION=
 (SOURCE=
   (METHOD=file)
   (METHOD_DATA=
      (DIRECTORY=/oracle/wallet)
   )
 )
ENCRYPTION_WALLET_LOCATION参数的作用就是告知Wallet的实现方式和物理位置。
上述示例中将/oracle/wallet目录作为Master Key的存放位置。

2.创建master key文件,指定wallet密码
使用SYS用户登陆,通过以下命令建立加密文件:

SQL> alter system set encryption key identified by "123456";

其中,123456为wallet密码。Oracle Wallet是一个可以打开关闭的功能组件,设置密码之后,只有通过密码口令可以启用wallet功能。
此时,在设置的目录下会多出一个ewallet.p12文件。这就是生成的master key文件。

3.启动和关闭Wallet
启动Wallet:

SQL> alter system set encryption wallet open identified by "123456";

关闭Wallet并查看:

SQL> alter system set encryption wallet close identified by "123456";

select * from v$encryption_wallet;
WRL_TYPE             WRL_PARAME      STATUS
-------------------- ----------    ------------------
file                 /oracle/wallet  OPEN

4.主库切换日志,观察备库警告日志:
内容:

Media Recovery Log /oracle/arch/1_11_1065273402.dbf
Apply redo for TSE master key re-key failed: wallet error 28365
Errors with log /oracle/arch/1_11_1065273402.dbf
MRP0: Background Media Recovery terminated with error 28365
Archived Log entry 12 added for thread 1 sequence 14 rlc 1065273402 ID 0x5ef3d9b8 dest 2:
Errors in file /oracle/app/oracle/diag/rdbms/orcl/orcl/trace/orcl_pr00_31775.trc:
ORA-28365: wallet is not open
RFS[6]: No standby redo logfiles created
RFS[6]: Opened log for thread 1 sequence 15 dbid 1593054136 branch 1065273402
Recovery interrupted!
Recovered data files to a consistent state at change 967568
Tue Feb 23 14:00:33 2021
MRP0: Background Media Recovery process shutdown (orcl)

5.拷贝钱包相关文件至备库并在主备库查询钱包信息:
主库:

select * from v$encryption_wallet;
WRL_TYPE             WRL_PARAME      STATUS
-------------------- ----------    ------------------
file                 /oracle/wallet  OPEN

备库:

select * from v$encryption_wallet;
WRL_TYPE             WRL_PARAME      STATUS
-------------------- ----------    ------------------
file                 /oracle/wallet  CLOSED

启动Wallet:

SQL> alter system set encryption wallet open identified by "123456";

select * from v$encryption_wallet;
WRL_TYPE             WRL_PARAME      STATUS
-------------------- ----------    ------------------
file                 /oracle/wallet  OPEN

备库开启MRP日志应用:

Media Recovery Waiting for thread 1 sequence 17 (in transit)
Tue Feb 23 14:06:48 2021
Archived Log entry 15 added for thread 1 sequence 17 rlc 1065273402 ID 0x5ef3d9b8 dest 2:
RFS[6]: No standby redo logfiles created
RFS[6]: Opened log for thread 1 sequence 18 dbid 1593054136 branch 1065273402
Tue Feb 23 14:06:52 2021
Media Recovery Log /oracle/arch/1_17_1065273402.dbf
Media Recovery Waiting for thread 1 sequence 18 (in transit)
Tue Feb 23 14:08:16 2021
Archived Log entry 16 added for thread 1 sequence 18 rlc 1065273402 ID 0x5ef3d9b8 dest 2:
RFS[6]: No standby redo logfiles created
RFS[6]: Opened log for thread 1 sequence 19 dbid 1593054136 branch 1065273402
Tue Feb 23 14:08:18 2021
Media Recovery Log /oracle/arch/1_18_1065273402.dbf
Media Recovery Waiting for thread 1 sequence 19 (in transit)

DG日志应用正常.

如果此时主库重建key,那么备库必须重建.

参考文档:
https://www.eygle.com/archives/2020/07/oracle_faq_tde_.html

Mos:
2512024.1

例如:
先同步DG,之后在主库创建钱包并拷贝至备库,在备库打开钱包,此时可以应用.

在主库重建一个钱包,

SQL> alter system set encryption key identified by "123456";

查询主备库主密钥:

mkstore -wrl /oracle/wallet -viewEntry ORACLE.SECURITY.DB.ENCRYPTION.MASTERKEY
AUL9pyEcvE8lv3uKTzU0TxMAAAAAAAAAAAAAAAAAAAAAAAAAAAAA

主库:

alter system set encryption wallet close identified by "123456";
[oracle@pridb wallet]$ mv ewallet.p12 ewallet.p12.1

主库再创建一个key:

alter system set encryption key identified by "oracle";

备库:

alter system set encryption wallet open identified by "oracle";

备库警告日志:

Thu Feb 25 21:09:22 2021
alter database recover managed standby database disconnect from session
Attempt to start background Managed Standby Recovery process (orcl)
Thu Feb 25 21:09:22 2021
MRP0 started with pid=19, OS id=32124 
MRP0: Background Managed Standby Recovery process started (orcl)
 started logmerger process
Thu Feb 25 21:09:27 2021
Managed Standby Recovery not using Real Time Apply
Parallel Media Recovery started with 2 slaves
Waiting for all non-current ORLs to be archived...
All non-current ORLs have been archived.
Media Recovery Log /oracle/arch/1_7_1065471869.dbf
Media Recovery Waiting for thread 1 sequence 8 (in transit)
Completed: alter database recover managed standby database disconnect from session
MRP0: Background Media Recovery terminated with error 28374
Errors in file /oracle/app/oracle/diag/rdbms/orcl/orcl/trace/orcl_pr00_32126.trc:
ORA-28374: typed master key not found in wallet
Recovery interrupted!
Errors in file /oracle/app/oracle/diag/rdbms/orcl/orcl/trace/orcl_pr00_32126.trc:
ORA-28374: typed master key not found in wallet
ORA-28374: typed master key not found in wallet
Some recovered datafiles maybe left media fuzzy
Media recovery may continue but open resetlogs may fail
Thu Feb 25 21:09:32 2021
MRP0: Background Media Recovery process shutdown (orcl)

重建后即使将主库重建的key传输仍无法正常进行日志应用
只能重建:
MOS:2512024.1

DBhanG
关注
专栏目录
Oracle 透明数据加密(TDE)--官方文档
苏南生的CSDN博客
05-25 4982
Transparent Data Encryption This chapter describes how to secure sensitive data within an Oracle database by using transparent data encryption, the feature that enables you to encrypt database co
Oracle11gDataGuard 新特性总结
DoubleJing的博客
12-13 388
首先, 可以从活动主库构建物理备库是非常简单. 此外, 将物理备库转换为逻辑数据库也是轻而易举. 而最大的优势是, 现在, 可以高效地使用备库通过某种方式来支持业务. Active DataGuard特性允许打开备库, 在进行查询的同时应用归档的日志. 快照备库允许在其中运行生产数据库负载, 然后闪回到起始, 继续正常的管理器恢复进程. 这两个特性使用户能够利用备库服务器的处理功能, 极大地推动...
Oracle Wallet 的初步使用和维护
larry_lv的专栏
12-14 1638
1) Wallet作用 从Oracle10gR2开始, 通过使用Oracle Wallet达到任意用户不使用密码登录数据库(非操作系统认证方式), 这对在shell中要使用用户密码登录数据库进行操作的脚本来说是非常有用的, 可以不暴露用户密码. 比如在Oracle客户端通过mkstore命令设置Wallet认证信息, 然后通过"sqlplus /@connect_string"方式就可
dataguard环境中的密码维护
congbao6525的博客
03-15 264
这篇文章的动力来自于一个朋友的提问,他问我备库的密码文件直接重建可以吗,我说最好还是复制,如果重建可能会有一些潜在的问题,当然这个所谓潜在问题也是自己给自己打的马虎眼,到底哪里有问题,脑海里搜索了一番似乎没有找到什么有效的信息,...
数据库加密工具/浅谈数据库透明加密TDE)_0基础白帽子技巧
最新发布
程序员六七的博客
07-26 371
【摘要】本文对数据加密技术、尤其是数据库透明加密TDE)的技术原理和优缺进行了解析,并收集了时下主流数据库产品的TDE能力供大家参考。【作者】韩锋
oracle数据透明加密-TDE
cuixunan6912的博客
11-25 316
介绍 Oracle10g R2提供了一个新的特性,让你只需要做如下动作:你可以不写一行代码,只需要声明你需要加密某列。当用户插入数据的时候,数据库透明加密数据然后存储加密后的数据。同...
演示TDE的数据加密示例,并用logminer验证加密效果
还不算晕的专栏
09-08 1658
TDE(Transparent Data Encryption): 我们称之为“Oracle 透明数据加密技术”,它属于Oracle数据保护安全策略的一种。有两种数据加密技术,一种是基于列的数据加密,另一种是基于表空间的数据加密。 下面分别来说明一下这两种加密技术。 ①  基于列的加密:对某一列进行加密,适用Oracle10GR2以上版本 ②  基于表空间的加密:对整个表空间进行加密,适用
【翻译自mos文章】为DataGuardRedo Transport 启用加密
msdnchina的专栏@JiNan,ShanDong
08-30 1720
【翻译自mos文章】为DataGuardRedo Transport 启用加密
Oracle ADG环境下的TDE部署
夜未眠风已息
11-30 446
1.已部署ADG环境 可参考https://blog.csdn.net/fjw044586/article/details/110393429 本文使用ADG环境为 CentOS 6.5 + Oracle 11.2.0.4 2.TDE部署 主库(Primary)操作 查看钱包默认存放路径 select * from v$encryption_wallet; SQL> select * from v$encryption_wallet; WRL_TYPE WRL_PARAMETER
Oracle 12c RAC下DataGuard容灾(2+1)实施部署实战视频教程
06-14
5. **安全性增强**:讨论Oracle加密技术,如TDE(Transparent Data Encryption)和RAC的安全配置,确保数据在传输和存储过程中的安全性。 6. **灾难恢复演练**:模拟各种故障场景,验证和测试容灾方案的有效性。 ...
oracle data guard 完全参考手册
05-20
- **加密**:通过Transparent Data Encryption (TDE) 在Data Guard环境中实现数据的加密存储。 9. **维护与升级** - **升级Data Guard环境**:在不影响服务的情况下,逐步升级主数据库和备用数据库。 - **定期...
ORACLE 透明数据加密技术(TDE
04-08
Oracle的最新版本10g R2中,出现最及时的技术应该是透明数据加密技术(Transparent Data Encryption,TDE)。   TDE用来对数据加密,通常 SQL 执行的应用程序逻辑不需要进行更改,仍能正常运行。 换言之,应用程序可以使用同一语法将数据插入到应用程序表中,并且 Oracle 数据库在将信息写入磁盘之前将自动对数据进行加密。 随后的选择操作将透明地解密数据,因此应用程序将继续正常地运行。 这一很重要,因为当前的应用程序通常期望未加密的应用程序数据。 显示加密数据至少会使应用程序用户迷惑不解,甚至还会破坏现有的应用程序。
Oracle从入门到精通
11-12
使用透明数据加密(TDE)功能对敏感数据进行加密存储,防止未授权访问。 ##### 3. 审计跟踪 开启审计功能记录所有重要的操作日志,以便后续追踪和分析。 #### 九、Oracle集群技术 ##### 1. RAC(Real Application ...
Oracle TDE透明数据加密
cssg91583的博客
01-06 192
DB:11.2.0.4 TDE特性从10g开始提供。10g只能使用加密,11g开始提供表空间加密。 如果使用加密,那么OracleDataGuard,流,物化视图不可用,所涉及列的PK/FK也不可用。而表空间加密则不会...
oracle数据库 wallet,【故障处理】kcrf_decrypt_redokey: wallet is not opened
weixin_42512483的博客
04-14 1115
【故障描述】今天有客户的DataGuard环境遇到如下问题,kcrf_decrypt_redokey: wallet is not openedORA-28365: wallet is not open截图如下:【解决】报错显示是wallet无法使用,这是启动了TDE技术以后所使用的密钥文件。解决此问题也就是要能找到透明数据库加密(TDE)钱包文件(ewallet.p12和ewallet.sso)...
Oracle:配置传输加密
sqlora的专栏
03-10 2758
配置传输加密只需在一端配置即可,为了避免单故障,建议客户端和服务端都进行相应配置,做好充足的测试校验。
oracle 透明加密TDE实操流程
sqlora的专栏
01-25 103
关闭钱夹后,钱夹状态仍然为open,请切换归档以及undo文件,重启数据库!删除ewallet.p12。
oracle透明加密部署及场景使用
weixin_42575078的博客
04-18 1108
一 文档说明 二 钱夹的部署 2.1 指定钱夹存放位置 2.2 创建目录 2.3 创建主加密键 2.4 打开和关闭钱夹 2.5 加密列和表空间具体过程 三RAC中配置wallet钱夹 四DG端配置钱夹 4.1 指定钱夹存放位置 4.2 创建目录 4.3 拷贝primary端加密钱夹 4.4 创建自动打开的钱夹 4.5 说明 五 钱夹的备份 场景一:透明加密后,存储在磁盘上的数据是密文 场景二:exp/imp导出导入测试 场景三:expdp/impdp导出导入测试 场景四:
Oracle Wallet配置
RegeditNo1的专栏
01-07 2397
) Wallet作用 从Oracle 10g R2开始, 通过使用Oracle Wallet达到任意用户不使用密码登录数据库(非操作系统认证方式), 这对在shell中要使用用户密码登录数据库进行操作的脚本来说是非常有用的, 可以不暴露用户密码. 比如在Oracle客户端通过mkstore命令设置Wallet认证信息, 然后通过"sqlplus/@connect_string"方式就可以直接连接
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值