Documentation Oracle Cloud Infrastructure

Effectuer les tâches requises pour la détection des vulnérabilités et l'application de patches

Voici des informations sur les prérequis nécessaires à la prise en main de l'application de patches et de la détection des vulnérabilités d'observation et de gestion.

Vous trouverez ci-dessous la liste des prérequis généraux requis pour évaluer les cibles de base de données externes et effectuer des opérations de patch.
Remarque

Actuellement, seules les bases de données externes exécutées sur des machines virtuelles sur site ou sur le système d'exploitation Oracle Cloud Infrastructure sur Linux sont prises en charge.
Tâche Description
Installer des agents de gestion Le service Oracle Cloud Infrastructure Management Agent permet la communication et la collecte de données entre Database Management et une base de données externe. Vous devez installer un agent de gestion sur un hôte qui dispose d'une connexion à la base de données externe. Database Management utilise l'agent de gestion pour des opérations telles que la collecte de données et de mesures à partir de la base de données externe.

Pour plus d'informations sur l'installation des agents de gestion, reportez-vous à Installation des agents de gestion ou regardez la vidéo : OCI Database Management Service : Install and Configure Management Agents.

Remarque

Pour une base de données à instance unique, un agent de gestion 201215.1850 ou version ultérieure est requis. Pour une base de données RAC, un agent de gestion 210403.1349 ou version ultérieure est requis.
Pour accorder des droits d'accès utilisateur mgmt_agent, vous devez exécuter les commandes setfacl -Rm u:mgmt_agent:rwx $ORACLE_HOME et setfacl -Rm u:mgmt_agent:rwx <OraInventory Location>.
Remarque

Assurez-vous que l'emplacement OraInventory correct est utilisé. Evitez d'utiliser l'emplacement OraInventory local.

Si vous rencontrez des problèmes lors de l'Installation de l'agent de Gestion, reportez-vous à la section Erreurs rencontrées lors de l'activation de Database Management pour les bases d'informations externes afin de détecter la cause probable et de trouver la solution.

Accorder les privilèges requis pour surveiller et gérer les bases de données externes et enregistrer le mot de passe de l'utilisateur de base de données dans une clé secrète Vous devez accorder à l'utilisateur de base de données les privilèges requis pour surveiller et gérer les bases de données externes dans Database Management. Utilisez l'utilisateur DBSNMP en tant qu'utilisateur de surveillance. Cette option est recommandée car cet utilisateur dispose des privilèges requis pour surveiller les bases de données dans Oracle Cloud Infrastructure et est intégré aux bases de données Oracle. Utilisez les scripts SQL disponibles pour créer un utilisateur de base de données avec l'ensemble de privilèges requis pour surveiller les bases de données externes, ou pour effectuer des tâches de diagnostic et d'administration avancées.

Oracle recommande que pour les bases de données Oracle 19c et ultérieures, vous définissiez une période de report progressif du mot de passe. Cela vous permet de vous connecter à la base de données à l'aide des anciens et des nouveaux mots de passe au cours d'une période de report progressif. Les anciens mots de passe et les nouveaux mots de passe étant valides pendant un certain temps, le temps d'arrêt est réduit. Grâce à la reconduction progressive des mots de passe, vous pouvez éviter les interruptions dans l'utilisation des fonctionnalités Database Management pour vos bases de données.

Pour plus d'informations sur les privilèges utilisateur de base de données requis, reportez-vous à Privilèges utilisateur de base de données requis pour Database Management.

Pour plus d'informations sur le script SQL, reportez-vous à Création des informations d'identification de surveillance Oracle Database pour Database Management (MOS 2857604.1).

Obtention des droits d'accès requis Créez les droits d'accès requis pour activer la détection de vulnérabilité.

Pour plus d'informations sur la création des autorisations requises, reportez-vous à Obtention des autorisations requises.
Repérer les systèmes de base de données externes - Ajouter une connexion Veillez à inscrire Oracle Database en créant une ressource ou un descripteur dans le service External Database. Ce descripteur fait office de représentation de la base de données Oracle située en dehors d'Oracle Cloud Infrastructure. Vous pouvez inscrire une base de données externe dans le service External Database ou cliquer sur Inscrire des bases de données externes sur la page Bases de données gérées pour les bases de données externes dans Database Management.

Pour obtenir des informations sur la création d'un descripteur de base de données externe, reportez-vous àCréation d'un descripteur pour une base de données externe ou

Regardez la vidéo : OCI Database Management Service : Inscription et connexion à une base de données externe.
Connecter la base de données Oracle au descripteur de base de données externe Après avoir créé un descripteur de base de données externe, vous devez le connecter à Oracle Database. Vous pouvez utiliser le protocole TCPS pour créer une connexion à une base de données Oracle en toute sécurité afin de surveiller et de gérer cette dernière. Vous pouvez ajouter une connexion à une base de données externe dans le service External Database ou cliquer sur Connect dans la colonne Status de la page Managed databases pour les bases de données externes dans Database Management.

Pour plus d'informations sur la connexion d'une base de données Oracle Database à un descripteur de base de données externe, reportez-vous à Création d'une connexion à une base de données externe ou

Regardez la vidéo : OCI Database Management Service : Activer Database Management pour une base de données externe.
Créer un répertoire DBLM pour l'application de patches Ce répertoire contiendra tous les résultats de l'exécution du script. Les scripts d'application de patches seront copiés dans ce répertoire pour exécution.
  • Créez le répertoire DBLM sous /opt/oracle/dblm pour tous les hôtes contenant les bases de données auxquelles appliquer des patches.
  • Définissez le droit d'accès au répertoire sur 750.
  • Définissez la propriété sur l'utilisateur de l'agent OMA et son groupe principal.
Exemple :
mkdir <DBLM_DIRECTORY> 
chmod 750 <DBLM_DIRECTORY>
chown <MGMT_AGENT_USER>:<MGMT_AGENT_PRIMARY_GROUP><DBLM_DIRECTORY>
Créer les utilisateurs de patch Un utilisateur de patch doit être créé dans tous les hôtes sur lesquels la base de données à appliquer des patches est installée. Cet utilisateur de patch sera utilisé pour exécuter les scripts d'application de patches en tant qu'utilisation du répertoire de base Oracle ou de la racine. Pour les bases de données RAC, l'utilisateur de patch doit disposer d'une équivalence SSH sans mot de passe entre les noeuds pour exécuter les scripts sur les noeuds RAC sur lesquels l'agent OMA n'est pas exécuté. Pour plus d'informations, reportez-vous à A propos de la configuration SSH sans mot de passe. Exemple : 
useradd <PATCH_USER>
Définir le groupe principal de l'utilisateur de patch comme étant identique au groupe principal du propriétaire du répertoire de base Oracle Le groupe principal de l'utilisateur de patch doit être identique au groupe principal du propriétaire du répertoire de base Oracle.

Exemple : 

/usr/sbin/usermod -g
<DB_HOME_OWNER_PRIMARY_GROUP> <PATCH_USER>

Exemple de détails d'utilisateur de patch :

uid=5436(patchUser) 
gid=59968(oinstall)
groups=59968(oinstall)
Ajouter l'utilisateur de patch au groupe principal de l'utilisateur de l'agent OMA L'utilisateur de patch doit être ajouté au groupe principal de l'utilisateur de l'agent OMA pour l'application de patches.

Exemple :

/usr/sbin/usermod -a <PATCH_USER> -G
<MGMT_AGENT_PRIMARY_GROUP>
Ajouter l'utilisateur de l'agent OMA au groupe principal du propriétaire du répertoire de base Oracle L'utilisateur de l'agent OMA doit être ajouté au groupe principal du propriétaire du répertoire de base Oracle pour l'application de patches.

Exemple : 

/usr/sbin/usermod -a <MGMT_AGENT_USER> -G
<DB_HOME_OWNER_PRIMARY_GROUP>

Détails de l'utilisateur de l'agent de gestion Exemple :

uid=495(mgmt_agent) 
gid=1486 (mgmt_agent) 
groups=1486 (mgmt_agent),8500 (oinstall)
Ajouter le propriétaire du répertoire de base Oracle au groupe principal de l'utilisateur de l'agent OMA Le propriétaire du répertoire de base Oracle doit être ajouté au répertoire de base principal de l'utilisateur de l'agent OMA pour l'application de patches.

Exemple :

/usr/sbin/usermod -a <DB_HOME_OWNER> -G
<MGMT_AGENT_PRIMARY_GROUP>

Exemple de détails du propriétaire du répertoire de base Oracle :

uid=54326(oracle) 
gid=8500(oinstall) 
groups=8500(oinstall), 8502(dba),1486 (mgmt_agent)
Configurer SUDO sur tous les hôtes de base de données Des droits d'accès doivent être ajoutés dans le fichier SUDOERS pour autoriser les commutateurs utilisateur suivants
  • Basculer l'utilisateur de l'agent OMA vers l'utilisateur de patch
  • Basculer l'utilisateur de patch vers le répertoire de base Oracle/utilisateur root
  • Basculez l'utilisateur du répertoire de base Oracle vers un utilisateur de patch et accordez la possibilité d'exécuter des scripts et des commandes limités.
Remarque

Sur les hôtes sur lesquels l'agent de gestion est en cours d'exécution, l'utilisateur de l'agent de gestion bascule uniquement en tant qu'utilisateur de patch, puis l'utilisateur de patch bascule vers le répertoire de base Oracle/l'utilisateur root pour l'application de patches.

L'agent OMA est installé sur un seul des noeuds RAC. Tous les autres noeuds RAC doivent disposer des droits d'accès dans le fichier SUDOERS pour basculer l'utilisateur de patch vers le répertoire de base Oracle/utilisateur root et l'utilisateur de répertoire de base Oracle en tant qu'utilisateur de patch.

Pour plus d'informations sur l'octroi de l'accès SUDOaux utilisateurs, reportez-vous à la section Granting sudo Access to Users.

Exemple de droit d'accès Sudoers sur les hôtes d'agent :

PASSWD: /opt/oracle/dblm/executions/*/run_perl_script.sh /opt/oracle/dblm/scripts/patchmgmt/*/*.pl *, /bin/kill *
patchUser ALL=(oracle) NOPASSWD: /opt/oracle/dblm/executions/*/run_perl_script.sh /opt/oracle/dblm/scripts/patchmgmt/*/*.pl *, /bin/kill *
patchUser ALL=(root) NOPASSWD: /opt/oracle/dblm/executions/*/run_perl_script.sh /opt/oracle/dblm/scripts/patchmgmt/root/*.pl *, /bin/kill *

Exemple de droits d'accès Sudoers sur les noeuds RAC :

patchUser ALL=(oracle)       NOPASSWD: /opt/oracle/dblm/executions/*/run_perl_script.sh /opt/oracle/dblm/scripts/patchmgmt/*/*.pl *, /bin/kill *
patchUser ALL=(root)        NOPASSWD: /opt/oracle/dblm/executions/*/run_perl_script.sh /opt/oracle/dblm/scripts/patchmgmt/root/*.pl *, /bin/kill *,/opt/oracle/dblm/executions/*/*/runfixup.sh
oracle ALL=(patchUser)     NOPASSWD: /bin/rsync *

Ajouts au fichier sudoers :

cuser  ALL=(ALL)    NOPASSWD: ALL
duser  ALL=(ALL)    NOPASSWD: ALL
mgmt_agent  ALL=(ALL)    NOPASSWD: ALL

Utilisateurs, répertoires et utilitaires requis

Les utilisateurs, répertoires et utilitaires suivants sont requis pour orchestrer correctement le processus d'application de patches :
Utilisateur Exemple
Utilisateur de patch patchUser
Propriétaire du répertoire de base de base de données oracle
Groupe principal de propriétaires de répertoire de base de base de données oinstall
Utilisateur d'agent de gestion mgmt_agent
Groupe principal d'utilisateurs de l'agent de gestion mgmt_agent
Répertoires et utilitaires requis Exemple d'emplacement
Emplacement SUDO /scratch/sudo_setup/bin/sudo
Emplacement du fichier Sudoers /scratch/sudo_setup/etc/sudoers
Répertoire DBLM /opt/oracle/dblm