Documentación de Oracle Cloud Infrastructure

Realización de tareas previas necesarias para la detección y aplicación de parches de vulnerabilidades

A continuación, se muestra información sobre los requisitos previos necesarios para empezar a utilizar Observability and Management Vulnerability Detection and Patching.

A continuación se muestra una lista de requisitos generales necesarios para evaluar correctamente los destinos de bases de datos externas y realizar operaciones de parches.
Nota

Actualmente solo están soportadas las bases de datos externas que se ejecutan en las máquinas virtuales locales o en las máquinas virtuales de Oracle Cloud Infrastructure del sistema operativo Linux.
Tarea Descripción
Instalación de agentes de gestión El servicio Oracle Cloud Infrastructure Management Agent permite la comunicación y la recopilación de datos entre Database Management y una base de datos externa. Debe instalar un agente de gestión en un host que tenga una conexión a la base de datos externa. Database Management utilizará el agente de gestión para operaciones como la recopilación de datos y métricas de la base de datos externa.

Para obtener información sobre cómo instalar Management Agent, consulte Instalación de Management Agent o vea el vídeo: OCI Database Management Service: Instalación y configuración de Management Agent.

Nota

Para bases datos de instancia única, se requiere un agente de gestión 201215.1850 o posterior y, para bases del datos RAC, se requiere un agente de gestión 210403.1349 o posterior.
Para otorgar permisos de usuario mgmt_agent, debe ejecutar los comandos setfacl -Rm u:mgmt_agent:rwx $ORACLE_HOME y setfacl -Rm u:mgmt_agent:rwx <OraInventory Location>.
Nota

Asegúrese de que se utiliza la ubicación OraInventory correcta. Evite utilizar la ubicación local OraInventory.

Si experimenta problemas al instalar el agente de gestión, consulte Errores detectados al activar Database Management para bases de datos externas para obtener información sobre la causa y la solución posibles.

Otorgue los privilegios necesarios para supervisar y gestionar bases de datos externas y guardar la contraseña de usuario de la base de datos en un secreto Debe otorgar al usuario de la base de datos los privilegios necesarios para supervisar y gestionar bases de datos externas en Database Management. Utilice el usuario DBSNMP como usuario de supervisión; esta es una opción recomendada, ya que este usuario tiene los privilegios necesarios para supervisar bases de datos dentro de Oracle Cloud Infrastructure e incluye bases de datos Oracle integradas. Utilice los scripts SQL disponibles para crear un nuevo usuario de base de datos con el juego necesario de privilegios para supervisar las bases de datos externas o para realizar tareas administrativas y de diagnóstico avanzadas.

Oracle recomienda que para las bases de datos Oracle 19c y posteriores, defina un tiempo de renovación gradual de la contraseña; esto le permite conectarse a la base de datos mediante las contraseñas antiguas y nuevas durante un período de renovación gradual. Dado que tanto las contraseñas antiguas como las nuevas son válidas durante algún tiempo, el tiempo de inactividad se minimiza. Al utilizar una renovación gradual de contraseñas, puede evitar interrupciones en el uso de las funciones de Database Management para las bases de datos.

Para obtener información sobre los privilegios de usuario de base de datos necesarios, consulte Privilegios de usuario de base de datos necesarios para Database Management.

Para obtener información sobre el script SQL, consulte Creación de credenciales de supervisión de Oracle Database para Database Management (MOS 2857604.1).

Obtención de los permisos necesarios Cree los permisos necesarios para activar la detección de vulnerabilidades.

Para obtener más información sobre la creación de los permisos necesarios, consulte Obtain Required Permissions.
Detectar sistemas de bases de datos externas: agregar conexión Asegúrese de registrar Oracle Database creando un recurso o identificador en el servicio Base de Datos Externa. Este identificador funciona como una representación de la instancia de Oracle Database ubicada fuera de Oracle Cloud Infrastructure. Puede registrar una base de datos externa en el servicio de base de datos externa o haciendo clic en Registrar bases de datos externas en la página Bases de datos gestionadas para bases de datos externas en Database Management.

Para obtener información sobre cómo crear un identificador de base de datos externa, consulte Creación de un identificador para una base de datos externa o

Vea el vídeo: OCI Database Management Service: registro y conexión a una base de datos externa.
Conexión de Oracle Database al identificador de base de datos externa Después de crear un identificador de base de datos externa, debe conectar Oracle Database al identificador. Tenga en cuenta que puede utilizar el protocolo TCPS para crear una conexión de forma segura a la base de datos de Oracle, así como para supervisarla y gestionarla. Puede agregar una conexión a una base de datos externa en el servicio de base de datos externa o haciendo clic en Conectar en la columna Estado de la página Bases de datos gestionadas para bases de datos externas en Database Management.

Para obtener información sobre cómo conectar una base de datos Oracle Database a un identificador de base de datos externa, consulte Creación y gestión de una conexión a una base de datos externo o

Mira el video: OCI Database Management Service: Activación de Database Management para una base de datos externa.
Crear un directorio DBLM para aplicar parches Este directorio contendrá todos los resultados de ejecución del archivo de comandos; los archivos de comandos de aplicación de parches se copiarán en este directorio para su ejecución.
  • Cree el directorio DBLM en/opt/oracle/dblm para todos los hosts que contienen bases de datos a las que se van a aplicar parches.
  • Defina el permiso de directorio como 750.
  • Defina la propiedad para el usuario de Management Agent y su grupo principal.
Ejemplo:
mkdir <DBLM_DIRECTORY> 
chmod 750 <DBLM_DIRECTORY>
chown <MGMT_AGENT_USER>:<MGMT_AGENT_PRIMARY_GROUP><DBLM_DIRECTORY>
Crear los usuarios de parches Se debe crear un usuario de parches en todos los hosts en los que esté instalada la base de datos a la que se va a aplicar el parche. Este usuario se utilizará para ejecutar los scripts de aplicación de parches como directorio raíz de Oracle o como usuario raíz. Para las bases de datos RAC, el usuario de parches debe tener una equivalencia SSH sin contraseña en los nodos para ejecutar los scripts en los nodos de RAC en los que no se esté ejecutando Management Agent. Para obtener más información, consulte: About Passwordless SSH Configuration. Ejemplo: 
useradd <PATCH_USER>
Definir el grupo principal del usuario de parches para que sea el mismo que el grupo principal del propietario del directorio raíz de Oracle El grupo principal del usuario de parches debe ser el mismo que el grupo principal del propietario del directorio raíz de Oracle.

Ejemplo: 

/usr/sbin/usermod -g
<DB_HOME_OWNER_PRIMARY_GROUP> <PATCH_USER>

Ejemplo de detalles de usuario de parche:

uid=5436(patchUser) 
gid=59968(oinstall)
groups=59968(oinstall)
Agregar el usuario de parche al grupo principal del usuario de Management Agent El usuario de parches se debe agregar al grupo principal del usuario de Management Agent para la aplicación de parches.

Ejemplo:

/usr/sbin/usermod -a <PATCH_USER> -G
<MGMT_AGENT_PRIMARY_GROUP>
Agregar el usuario de Management Agent al grupo principal del propietario del directorio raíz de Oracle El usuario de Management Agent se debe agregar al grupo principal del propietario del directorio raíz de Oracle para la aplicación de parches.

Ejemplo: 

/usr/sbin/usermod -a <MGMT_AGENT_USER> -G
<DB_HOME_OWNER_PRIMARY_GROUP>

Detalles de usuario de Management Agent Ejemplo:

uid=495(mgmt_agent) 
gid=1486 (mgmt_agent) 
groups=1486 (mgmt_agent),8500 (oinstall)
Agregar el propietario del directorio raíz de Oracle al grupo principal del usuario de Management Agent El propietario del directorio raíz de Oracle se debe agregar al directorio raíz principal del usuario del agente de gestión para la aplicación de parches.

Ejemplo:

/usr/sbin/usermod -a <DB_HOME_OWNER> -G
<MGMT_AGENT_PRIMARY_GROUP>

Ejemplo de detalles del propietario del directorio raíz de Oracle:

uid=54326(oracle) 
gid=8500(oinstall) 
groups=8500(oinstall), 8502(dba),1486 (mgmt_agent)
Configurar SUDO en todos los hosts de base de datos Se deben agregar permisos en el archivo SUDOERS para permitir los siguientes cambios de usuario
  • Cambiar el usuario de Management Agent al usuario de parches
  • Cambiar el usuario de parche al usuario raíz/directorio raíz de Oracle
  • Cambie el usuario del directorio raíz de Oracle a un usuario de parche y otorgue la capacidad de ejecutar scripts y comandos limitados.
Nota

En los hosts en los que se ejecuta el agente de gestión, el usuario del agente de gestión solo cambiará como usuario del parche y, a continuación, el usuario del parche cambiará al usuario raíz/root de Oracle para aplicar parches.

El agente de gestión se instala solo en uno de los nodos de RAC, el resto de los nodos de RAC deben tener permisos en el archivo SUDOERS para cambiar el usuario de parche al usuario raíz/directorio raíz de Oracle y el usuario del directorio raíz de Oracle como usuario de parche.

Para obtener más información sobre cómo otorgar acceso a SUDOa los usuarios, consulte: Otorgamiento de acceso a sudo a usuarios

Ejemplo de permiso Sudoers en Hosts de Agente:

PASSWD: /opt/oracle/dblm/executions/*/run_perl_script.sh /opt/oracle/dblm/scripts/patchmgmt/*/*.pl *, /bin/kill *
patchUser ALL=(oracle) NOPASSWD: /opt/oracle/dblm/executions/*/run_perl_script.sh /opt/oracle/dblm/scripts/patchmgmt/*/*.pl *, /bin/kill *
patchUser ALL=(root) NOPASSWD: /opt/oracle/dblm/executions/*/run_perl_script.sh /opt/oracle/dblm/scripts/patchmgmt/root/*.pl *, /bin/kill *

Ejemplo de permisos Sudoers en nodos de RAC:

patchUser ALL=(oracle)       NOPASSWD: /opt/oracle/dblm/executions/*/run_perl_script.sh /opt/oracle/dblm/scripts/patchmgmt/*/*.pl *, /bin/kill *
patchUser ALL=(root)        NOPASSWD: /opt/oracle/dblm/executions/*/run_perl_script.sh /opt/oracle/dblm/scripts/patchmgmt/root/*.pl *, /bin/kill *,/opt/oracle/dblm/executions/*/*/runfixup.sh
oracle ALL=(patchUser)     NOPASSWD: /bin/rsync *

Adiciones al archivo sudoers:

cuser  ALL=(ALL)    NOPASSWD: ALL
duser  ALL=(ALL)    NOPASSWD: ALL
mgmt_agent  ALL=(ALL)    NOPASSWD: ALL

Usuarios, directorios y utilidades necesarios

Los siguientes usuarios, directorios y utilidades son necesarios para orquestar correctamente el proceso de aplicación de parches:
Usuario Ejemplo
Usuario de parche patchUser
Propietario del directorio raíz de base de datos oracle
Grupo principal del propietario del directorio raíz de base de datos oinstall
Usuario de Management Agent mgmt_agent
Grupo principal de usuarios de Management Agent mgmt_agent
Directorios y utilidades necesarios Ejemplo de ubicación
Ubicación de SUDO /scratch/sudo_setup/bin/sudo
Ubicación del archivo Sudoers /scratch/sudo_setup/etc/sudoers
Directorio DBLM /opt/oracle/dblm