Documentation sur Oracle Cloud Infrastructure

Effectuer les tâches préalables pour la détection des vulnérabilités et l'application de correctifs

Voici des informations sur les préalables requis pour démarrer avec Observability and Management Vulnerability Detection and Patching.

Voici une liste des préalables généraux requis pour évaluer avec succès les cibles de base de données externes et effectuer des opérations de correctifs.
Note

Actuellement, seules les bases de données externes s'exécutant sur des machines virtuelles sur place ou Oracle Cloud Infrastructure sur un système d'exploitation Linux sont prises en charge.
Tâche Description
Installer les agents de gestion Le service Agent de gestion pour Oracle Cloud Infrastructure permet la communication et la collecte de données entre le service Gestion de bases de données et une base de données externe. Vous devez installer un agent de gestion sur un hôte ayant une connexion à la base de données externe. Le service Gestion de bases de données utilisera l'agent de gestion pour des opérations telles que la collecte des données et des mesures à partir de la base de données externe.

Pour plus d'informations sur l'installation des agents de gestion, voir Installer les agents de gestion ou regarder la vidéo : Service de gestion de bases de données OCI : Installer et configurer les agents de gestion.

Note

Pour les bases de données à instance unique, un agent de gestion 201215.1850 ou plus récente est requis et pour les bases de données RAC, un agent de gestion 210403.1349 ou plus récente est requis.
Pour accorder des autorisations à l'utilisateur mgmt_agent, vous devez exécuter les commandes setfacl -Rm u:mgmt_agent:rwx $ORACLE_HOME et setfacl -Rm u:mgmt_agent:rwx <OraInventory Location>.
Note

Assurez-vous que l'emplacement OraInventory correct est utilisé. Évitez d'utiliser l'emplacement OraInventory local.

Si vous rencontrez un problème lors de l'installation de l'agent de gestion, voir Erreurs lors de l'activation du service de gestion de bases de données pour les bases de données externes pour connaître la cause probable et trouver une solution.

Accorder les privilèges requis pour surveiller et gérer les bases de données externes et enregistrer le mot de passe de l'utilisateur de la base de données dans une clé secrète Vous devez accorder à l'utilisateur de base de données les privilèges requis pour surveiller et gérer les bases de données externes dans le service de gestion de bases de données. Utilisez l'utilisateur DBSNMP comme utilisateur de surveillance, il s'agit d'une option recommandée car cet utilisateur dispose des privilèges requis pour surveiller les bases de données dans Oracle Cloud Infrastructure et est intégré aux bases de données Oracle. Utilisez les scripts SQL disponibles pour créer un utilisateur de base de données avec le jeu de privilèges requis pour surveiller les bases de données externes ou pour effectuer des diagnostics avancés et des tâches d'administration.

Oracle recommande que pour les bases de données Oracle 19c et versions ultérieures, vous définissiez un délai de report progressif des mots de passe. Cela vous permet de vous connecter à la base de données à l'aide des anciens et des nouveaux mots de passe au cours d'une période de report progressif. Étant donné que les anciens et les nouveaux mots de passe sont valides pendant un certain temps, le temps d'arrêt est réduit. En utilisant un report progressif des mots de passe, vous pouvez éviter les interruptions dans l'utilisation des fonctions de gestion de bases de données pour vos bases de données.

Pour plus d'informations sur les privilèges d'utilisateur de base de données requis, voir Privilèges d'utilisateur de base de données requis pour le service de gestion de bases de données.

Pour plus d'informations sur le script SQL, voir Création des données d'identification du service de surveillance pour Oracle Database pour le service de gestion de bases de données (MOS 2857604.1).

Obtenir les autorisations requises Créez les autorisations requises pour activer la détection des vulnérabilités.

Pour plus d'informations sur la création des autorisations requises, voir Obtenir les autorisations requises.
Détecter des systèmes de base de données externes - Ajouter une connexion Assurez-vous d'enregistrer Oracle Database en créant une ressource ou un descripteur dans le service de base de données externe. Ce descripteur fonctionne comme une représentation de la base de données Oracle située en dehors d'Oracle Cloud Infrastructure. Vous pouvez enregistrer une base de données externe dans le service de base de données externe ou en cliquant sur Enregistrer des bases de données externes dans la page Bases de données gérées pour des bases de données externes dans le service de gestion de bases de données.

Pour plus d'informations sur la création d'un descripteur de base de données externe, voir Créer un descripteur pour une base de données externe ou

Regardez la vidéo : Service de gestion de bases de données OCI : Enregistrer et se connecter à une base de données externe.
Connecter la base de données Oracle au descripteur de base de données externe Après avoir créé un descripteur de base de données externe, vous devez connecter Oracle Database à ce descripteur. Notez que vous pouvez utiliser le protocole TCPS pour créer une connexion à la base de données Oracle en toute sécurité, la surveiller et la gérer. Vous pouvez ajouter une connexion à une base de données externe dans le service de base de données externe ou en cliquant sur Connexion dans la colonne Statut de la page Bases de données gérées pour les bases de données externes dans le service de gestion de bases de données.

Pour plus d'informations sur la connexion d'une base de données Oracle Database à un descripteur de base de données externe, voir Créer une connexion à une base de données externe ou

Regardez la vidéo : Service de gestion de bases de données OCI : Activer le service de gestion de bases de données pour une base de données externe.
Créer un répertoire DBLM pour l'application de correctifs Ce répertoire contiendra tous les résultats d'exécution du script. Les scripts d'application de correctifs seront copiés dans ce répertoire pour exécution.
  • Créez le répertoire DBLM sous /opt/oracle/dblm pour tous les hôtes contenant des bases de données à corriger.
  • Réglez l'autorisation du répertoire à 750.
  • Affectez la responsabilité à l'utilisateur de l'agent de gestion et à son groupe principal.
Exemple :
mkdir <DBLM_DIRECTORY> 
chmod 750 <DBLM_DIRECTORY>
chown <MGMT_AGENT_USER>:<MGMT_AGENT_PRIMARY_GROUP><DBLM_DIRECTORY>
Créer les utilisateurs de correctifs Un utilisateur de correctif doit être créé sur tous les hôtes où la base de données à corriger est installée. Cet utilisateur de correctif sera utilisé pour exécuter les scripts d'application de correctifs en tant que répertoire de base Oracle ou utilisation racine. Pour les bases de données RAC, l'utilisateur de correctif doit avoir une équivalence SSH sans mot de passe entre les noeuds pour exécuter les scripts sur les noeuds RAC où l'agent de gestion n'est pas en cours d'exécution. Pour plus d'informations, voir À propos de la configuration SSH sans mot de passe. Exemple : 
useradd <PATCH_USER>
Définir le groupe principal de l'utilisateur du correctif comme étant le même que le groupe principal du propriétaire du répertoire de base Oracle Le groupe principal de l'utilisateur du correctif doit être identique au groupe principal du responsable du répertoire de base Oracle.

Exemple : 

/usr/sbin/usermod -g
<DB_HOME_OWNER_PRIMARY_GROUP> <PATCH_USER>

Exemple de détails d'utilisateur de correctif :

uid=5436(patchUser) 
gid=59968(oinstall)
groups=59968(oinstall)
Ajouter l'utilisateur du correctif au groupe principal de l'utilisateur de l'agent de gestion L'utilisateur du correctif doit être ajouté au groupe principal de l'utilisateur de l'agent de gestion pour l'application de correctifs.

Exemple :

/usr/sbin/usermod -a <PATCH_USER> -G
<MGMT_AGENT_PRIMARY_GROUP>
Ajouter l'utilisateur de l'agent de gestion au groupe principal du responsable du répertoire de base Oracle L'utilisateur de l'agent de gestion doit être ajouté au groupe principal du responsable du répertoire de base Oracle pour l'application de correctifs.

Exemple : 

/usr/sbin/usermod -a <MGMT_AGENT_USER> -G
<DB_HOME_OWNER_PRIMARY_GROUP>

Exemple de détails sur l'utilisateur de l'agent de gestion :

uid=495(mgmt_agent) 
gid=1486 (mgmt_agent) 
groups=1486 (mgmt_agent),8500 (oinstall)
Ajouter le responsable du répertoire de base Oracle au groupe principal de l'utilisateur de l'agent de gestion Le responsable du répertoire de base Oracle doit être ajouté au répertoire de base principal de l'utilisateur de l'agent de gestion pour l'application de correctifs.

Exemple :

/usr/sbin/usermod -a <DB_HOME_OWNER> -G
<MGMT_AGENT_PRIMARY_GROUP>

Exemple de détails sur le propriétaire du répertoire de base Oracle :

uid=54326(oracle) 
gid=8500(oinstall) 
groups=8500(oinstall), 8502(dba),1486 (mgmt_agent)
Configurer SUDO sur tous les hôtes de base de données Des autorisations doivent être ajoutées dans le fichier SUDOERS pour autoriser les commutateurs d'utilisateur suivants
  • Changer l'utilisateur de l'agent OMA en utilisateur Patch
  • Basculer l'utilisateur du correctif vers l'utilisateur racine/de répertoire de base Oracle
  • Passez de l'utilisateur du répertoire d'origine Oracle Home à l'utilisateur Patch et accordez la possibilité d'exécuter des scripts et des commandes limités.
Note

Sur les hôtes sur lesquels l'agent de gestion est exécuté, l'utilisateur de l'agent de gestion passera uniquement en tant qu'utilisateur du correctif, puis l'utilisateur du correctif passera au répertoire de base/utilisateur racine Oracle pour l'application de correctifs.

L'agent de gestion n'est installé que sur l'un des noeuds RAC, tous les autres noeuds RAC doivent disposer des autorisations dans le fichier SUDOERS pour passer de l'utilisateur Patch à l'utilisateur Oracle Home/root et de l'utilisateur Oracle Home en tant qu'utilisateur Patch.

Pour plus d'informations sur l'octroi de l'accès SUDO aux utilisateurs, voir : Octroi de l'accès sudo aux utilisateurs.

Exemple d'autorisation Sudoers sur les hôtes d'agent :

PASSWD: /opt/oracle/dblm/executions/*/run_perl_script.sh /opt/oracle/dblm/scripts/patchmgmt/*/*.pl *, /bin/kill *
patchUser ALL=(oracle) NOPASSWD: /opt/oracle/dblm/executions/*/run_perl_script.sh /opt/oracle/dblm/scripts/patchmgmt/*/*.pl *, /bin/kill *
patchUser ALL=(root) NOPASSWD: /opt/oracle/dblm/executions/*/run_perl_script.sh /opt/oracle/dblm/scripts/patchmgmt/root/*.pl *, /bin/kill *

Exemples d'autorisations subdivisées sur les noeuds RAC :

patchUser ALL=(oracle)       NOPASSWD: /opt/oracle/dblm/executions/*/run_perl_script.sh /opt/oracle/dblm/scripts/patchmgmt/*/*.pl *, /bin/kill *
patchUser ALL=(root)        NOPASSWD: /opt/oracle/dblm/executions/*/run_perl_script.sh /opt/oracle/dblm/scripts/patchmgmt/root/*.pl *, /bin/kill *,/opt/oracle/dblm/executions/*/*/runfixup.sh
oracle ALL=(patchUser)     NOPASSWD: /bin/rsync *

Ajouts au fichier sudoers :

cuser  ALL=(ALL)    NOPASSWD: ALL
duser  ALL=(ALL)    NOPASSWD: ALL
mgmt_agent  ALL=(ALL)    NOPASSWD: ALL

Utilisateurs, répertoires et utilitaires requis

Les utilisateurs, répertoires et utilitaires suivants sont requis pour orchestrer correctement le processus d'application de correctifs :
Utilisateur Exemple
Utilisateur de correctif patchUser
Responsable du répertoire de base de la base de données oracle
Groupe principal du responsable du répertoire de base de base de données oinstall
Utilisateur de l'agent de gestion mgmt_agent
Groupe principal d'utilisateurs d'agent de gestion mgmt_agent
Répertoires et utilitaires requis Exemple d'emplacement
Emplacement SUDO /scratch/sudo_setup/bin/sudo
Emplacement du fichier Sudoers /scratch/sudo_setup/etc/sudoers
Répertoire DBLM /opt/oracle/dblm