Oracle Cloud Infrastructure-Dokumentation

Erforderliche Aufgaben für die Erkennung und das Patching von Sicherheitslücken ausführen

Im Folgenden finden Sie Informationen zu den erforderlichen Voraussetzungen für den Einstieg in die Erkennung und das Patching von Sicherheitslücken bei Beobachtbarkeit und Management.

Im Folgenden finden Sie eine Liste der allgemeinen Voraussetzungen, die erforderlich sind, um externe Datenbankziele erfolgreich zu bewerten und Patchvorgänge auszuführen.
Hinweis

Derzeit werden nur externe Datenbanken unterstützt, die On-Premise oder virtuelle Oracle Cloud Infrastructure-Maschinen auf dem Linux-Betriebssystem ausführen.
Aufgabe Beschreibung
Management-Agents installieren Der Oracle Cloud Infrastructure Management Agent-Service ermöglicht die Kommunikation und Datenerfassung zwischen dem Datenbankmanagement und einer externen Datenbank. Installieren Sie einen Management-Agent auf einem Host, der mit der externen Datenbank verbunden ist. Datenbankmanagement verwendet den Management Agent für Vorgänge wie das Erfassen von Daten und Metriken aus der externen Datenbank.

Informationen zur Installation von Management-Agents finden Sie unter Management-Agents installieren oder im Video: OCI Database Management Service: Management-Agents installieren und konfigurieren.

Hinweis

Für Einzelinstanzdatenbanken ist ein Management-Agent ab 201215.1850 und für RAC-Datenbanken ein Management-Agent ab 210403.1349 erforderlich.
Um mgmt_agent-Benutzerberechtigungen zu erteilen, müssen Sie die Befehle setfacl -Rm u:mgmt_agent:rwx $ORACLE_HOME und setfacl -Rm u:mgmt_agent:rwx <OraInventory Location> ausführen.
Hinweis

Stellen Sie sicher, dass das korrekte OraInventory-Verzeichnis verwendet wird. Verwenden Sie nicht den lokalen OraInventory-Speicherort.

Wenn bei der Installation des Management Agent Probleme auftreten, finden Sie unter Probleme beim Aktivieren von Datenbankmanagement für externe Datenbanken die wahrscheinliche Ursache und Lösung.

Erteilen Sie die erforderlichen Berechtigungen, um externe Datenbanken zu überwachen und zu verwalten und das Datenbankbenutzerkennwort in einem Secret zu speichern Sie müssen dem Datenbankbenutzer die erforderlichen Berechtigungen erteilen, um externe Datenbanken im Datenbankmanagement zu überwachen und zu verwalten. Verwenden Sie den Benutzer DBSNMP als Monitoringbenutzer. Dies ist eine empfohlene Option, da dieser Benutzer über die erforderlichen Berechtigungen zum Überwachen von Datenbanken in Oracle Cloud Infrastructure verfügt und in Oracle-Datenbanken integriert ist. Verwenden Sie die verfügbaren SQL-Skripte, um einen neuen Datenbankbenutzer mit den erforderlichen Berechtigungen zum Überwachen der externen Datenbanken zu erstellen oder erweiterte Diagnose- und Administrationsaufgaben auszuführen.

Oracle empfiehlt, dass Sie für Oracle-Datenbanken 19c und höher eine schrittweise Kennwort-Rollover-Zeit definieren. Auf diese Weise können Sie sich während eines schrittweisen Rollover-Zeitraums sowohl mit dem alten als auch mit dem neuen Kennwort bei der Datenbank anmelden. Da sowohl alte als auch neue Passwörter für einige Zeit gültig sind, wird die Ausfallzeit minimiert. Durch einen schrittweisen Passwort-Rollover können Sie Unterbrechungen bei der Verwendung von Datenbankmanagement-Features für Ihre Datenbanken vermeiden.

Informationen zu den erforderlichen Datenbankbenutzerberechtigungen finden Sie unter Für Datenbankmanagement erforderliche Datenbankbenutzerberechtigungen.

Informationen zum SQL-Skript finden Sie unter Oracle Database Monitoring Credentials for Database Management (MOS 2857604.1) erstellen.

Erforderliche Berechtigungen abrufen Erstellen Sie die erforderlichen Berechtigungen, um Vulnerability Detection zu aktivieren.

Weitere Informationen zum Erstellen der erforderlichen Berechtigungen finden Sie unter Erforderliche Berechtigungen abrufen.
Externe Datenbanksysteme ermitteln - Verbindung hinzufügen Registrieren Sie die Oracle Database, indem Sie eine Ressource oder ein Handle im externen Datenbankservice erstellen. Dieses Handle dient als Darstellung der Oracle-Datenbank außerhalb von Oracle Cloud Infrastructure. Sie können eine externe Datenbank im externen Datenbankservice registrieren oder indem Sie auf der Seite "Verwaltete Datenbanken" für externe Datenbanken im Datenbankmanagement auf "Externe Datenbanken registrieren" klicken.

Informationen zum Erstellen eines externen Datenbank-Handles finden Sie unter Handles für eine externe Datenbank erstellen oder

Video ansehen: OCI Database Management Service: Registrieren und Verbindung zu einer externen Datenbank herstellen.
Oracle-Datenbank mit dem externen Datenbank-Handle verbinden Nachdem Sie ein externes Datenbank-Handle erstellt haben, müssen Sie die Oracle Database mit dem Handle verbinden. Sie können das TCPS-Protokoll verwenden, um eine sichere Verbindung zur Oracle-Datenbank zu erstellen und diese zu überwachen und zu verwalten. Sie können eine Verbindung zu einer externen Datenbank im externen Datenbankservice hinzufügen, oder indem Sie in der Spalte "Status" auf der Seite "Verwaltete Datenbanken" für externe Datenbanken im Datenbankmanagement auf "Verbinden" klicken.

Informationen zum Verbinden einer Oracle Database mit einem externen Datenbank-Handle finden Sie unter Verbindung zu einer externen Datenbank erstellen oder

Video ansehen: OCI Database Management Service: Datenbankmanagement für eine externe Datenbank aktivieren.
DBLM-Verzeichnis für Patching erstellen Dieses Verzeichnis enthält alle Ergebnisse der Skriptausführung. Die Patchingskripte werden zur Ausführung in dieses Verzeichnis kopiert.
  • Erstellen Sie das DBLM-Verzeichnis unter /opt/oracle/dblm für alle Hosts, die Datenbanken enthalten, die gepatcht werden sollen.
  • Legen Sie die Verzeichnisberechtigung als 750 fest.
  • Legen Sie die Eigentümerschaft für den Management Agent-Benutzer und seine primäre Gruppe fest.
Beispiel:
mkdir <DBLM_DIRECTORY> 
chmod 750 <DBLM_DIRECTORY>
chown <MGMT_AGENT_USER>:<MGMT_AGENT_PRIMARY_GROUP><DBLM_DIRECTORY>
Erstellen der Patchbenutzer Ein Patchbenutzer muss auf allen Hosts erstellt werden, auf denen die zu patchende Datenbank installiert ist. Dieser Patchbenutzer wird zur Ausführung der Patchingskripte als Oracle Home- oder Root-Verwendung verwendet. Bei RAC-Datenbanken muss der Patchbenutzer über eine passwortlose SSH-Äquivalenz auf den Knoten verfügen, um die Skripte auf RAC-Knoten auszuführen, auf denen der Management Agent nicht ausgeführt wird. Weitere Informationen finden Sie unter Info zur passwortlosen SSH-Konfiguration. Beispiel: 
useradd <PATCH_USER>
Primäre Gruppe des Patchbenutzers auf dieselbe Gruppe wie primäre Gruppe des Oracle Home-Eigentümers setzen Die primäre Gruppe des Patchbenutzers muss mit der primären Gruppe des Oracle Home-Eigentümers identisch sein.

Beispiel: 

/usr/sbin/usermod -g
<DB_HOME_OWNER_PRIMARY_GROUP> <PATCH_USER>

Beispiel für Patch-Benutzerdetails:

uid=5436(patchUser) 
gid=59968(oinstall)
groups=59968(oinstall)
Patchbenutzer zur primären Gruppe des Management Agent-Benutzers hinzufügen Der Patchbenutzer muss der primären Gruppe des Management Agent-Benutzers zum Patching hinzugefügt werden.

Beispiel:

/usr/sbin/usermod -a <PATCH_USER> -G
<MGMT_AGENT_PRIMARY_GROUP>
Management Agent-Benutzer zur primären Gruppe des Oracle Home-Eigentümers hinzufügen Der Management Agent-Benutzer muss der primären Gruppe des Oracle Home-Eigentümers zum Patching hinzugefügt werden.

Beispiel: 

/usr/sbin/usermod -a <MGMT_AGENT_USER> -G
<DB_HOME_OWNER_PRIMARY_GROUP>

Management Agent-Benutzerdetails – Beispiel:

uid=495(mgmt_agent) 
gid=1486 (mgmt_agent) 
groups=1486 (mgmt_agent),8500 (oinstall)
Oracle Home-Eigentümer zur primären Gruppe des Management Agent-Benutzers hinzufügen Der Eigentümer des Oracle Home-Verzeichnisses muss zum Patching zum primären Home des Management Agent-Benutzers hinzugefügt werden.

Beispiel:

/usr/sbin/usermod -a <DB_HOME_OWNER> -G
<MGMT_AGENT_PRIMARY_GROUP>

Beispiel für Details zum Eigentümer des Oracle Home:

uid=54326(oracle) 
gid=8500(oinstall) 
groups=8500(oinstall), 8502(dba),1486 (mgmt_agent)
SUDO auf allen Datenbankhosts einrichten Berechtigungen müssen in der Datei SUDOERS hinzugefügt werden, damit die folgenden Benutzer-Switches zulässig sind
  • Management Agent-Benutzer zu Patch-Benutzer wechseln
  • Patchbenutzer zu Oracle Home/root-Benutzer wechseln
  • Wechseln Sie zum Oracle Home-Benutzer zu einem Patchbenutzer, und erteilen Sie ihm die Möglichkeit, begrenzte Skripte und Befehle auszuführen.
Hinweis

Auf Hosts, auf denen der Management Agent ausgeführt wird, wechselt der Management Agent-Benutzer nur als Patchbenutzer. Anschließend wechselt der Patchbenutzer zum Oracle Home-/Root-Benutzer für das Patching.

Der Management Agent wird nur auf einem der RAC-Knoten installiert. Alle anderen RAC-Knoten müssen über Berechtigungen in der Datei SUDOERS verfügen, um den Patchbenutzer zu Oracle Home/Root-Benutzer und den Oracle Home-Benutzer als Patchbenutzer zu wechseln.

Weitere Informationen zum Erteilen von SUDOZugriff für Benutzer finden Sie unter Sudo-Zugriff für Benutzer erteilen.

Beispiel für Sudoers-Berechtigung auf Agent-Hosts:

PASSWD: /opt/oracle/dblm/executions/*/run_perl_script.sh /opt/oracle/dblm/scripts/patchmgmt/*/*.pl *, /bin/kill *
patchUser ALL=(oracle) NOPASSWD: /opt/oracle/dblm/executions/*/run_perl_script.sh /opt/oracle/dblm/scripts/patchmgmt/*/*.pl *, /bin/kill *
patchUser ALL=(root) NOPASSWD: /opt/oracle/dblm/executions/*/run_perl_script.sh /opt/oracle/dblm/scripts/patchmgmt/root/*.pl *, /bin/kill *

Beispiel für Sudoers-Berechtigungen auf RAC-Knoten:

patchUser ALL=(oracle)       NOPASSWD: /opt/oracle/dblm/executions/*/run_perl_script.sh /opt/oracle/dblm/scripts/patchmgmt/*/*.pl *, /bin/kill *
patchUser ALL=(root)        NOPASSWD: /opt/oracle/dblm/executions/*/run_perl_script.sh /opt/oracle/dblm/scripts/patchmgmt/root/*.pl *, /bin/kill *,/opt/oracle/dblm/executions/*/*/runfixup.sh
oracle ALL=(patchUser)     NOPASSWD: /bin/rsync *

Ergänzungen zur sudoers-Datei:

cuser  ALL=(ALL)    NOPASSWD: ALL
duser  ALL=(ALL)    NOPASSWD: ALL
mgmt_agent  ALL=(ALL)    NOPASSWD: ALL

Erforderliche Benutzer, Verzeichnisse und Dienstprogramme

Die folgenden Benutzer, Verzeichnisse und Utilitys sind erforderlich, um den Patching-Prozess korrekt zu orchestrieren:
Benutzer Beispiel
Patch-Benutzer patchUser
Eigentümer von Datenbank-Home oracle
Primärgruppe des Eigentümers des Datenbank-Homes oinstall
Management Agent-Benutzer mgmt_agent
Primäre Gruppe des Management Agent-Benutzers mgmt_agent
Verzeichnisse und Dienstprogramme erforderlich Standortbeispiel
SUDO-Standort /scratch/sudo_setup/bin/sudo
Speicherort der Sudoers-Datei /scratch/sudo_setup/etc/sudoers
DBLM-Verzeichnis /opt/oracle/dblm