Activation de FIPS, SE Linux et STIG sur des composants de système de base de données

Cet article décrit la procédure permettant d'ajouter au système de base de données des améliorations de sécurité apportées aux normes FIPS (Federal Information Processing Standards), SE (Security Enhanced) Linux et STIG (Security Technical Implementation Guide).

Activation de FIPS, SE Linux et STIG

Effectuez les étapes suivantes sur chaque noeud du système.

  1. Ouvrez une session SSH sur le noeud du système de base de données, basculez sur l'utilisateur root, puis accédez à /opt/oracle/dcs/bin .
    sudo -s
    cd /opt/oracle/dcs/bin
  2. Exécutez la commande suivante .
    dbcli secure-dbsystem -se -sd -fo -fd
    Sortie :
    Job details
    ----------------------------------------------------------------
    ID: <job_ID_number>
    Description: Secure DB System
    Status: Created
    Created: November 8, 2020 4:12:29 PM UTC
    Progress: 0%
    Message:
    
    Task Name Start Time End Time Status
  3. Vérifiez les détails du travail.
    dbcli describe-job -i <job_ID_number>
    La sortie fournit des informations sur la progression, le statut et les détails du travail.
    Job details
    ----------------------------------------------------------------
    ID: <job_ID_number>
    Description: Secure DB System
    Status: Success
    Created: November 8, 2020 4:12:29 PM UTC
    Progress: 100%
    Message:
    
    Task Name Start Time End Time Status
    ------------------------------------------------------------------------ ----------------------------------- -------
    Enable SE Linux [<name>] November 8, 2020 4:12:31 PM UTC November 8, 2020 4:12:31 PM UTC Success
    Enable STIG for DOD [<name>] November 8, 2020 4:12:31 PM UTC November 8, 2020 4:12:49 PM UTC Success
    Enable FIPS for OS [<name>] November 8, 2020 4:12:49 PM UTC November 8, 2020 4:14:43 PM UTC Success
    Enable FIPS for DB Home [<DB_home_name_1>] November 8, 2020 4:14:43 PM UTC November 8, 2020 4:14:43 PM UTC Success
    Enable FIPS for DB[<DB_name_1>] November 8, 2020 4:14:43 PM UTC November 8, 2020 4:14:46 PM UTC Success
    Enable FIPS for DB Home [<DB_home_name_2>] November 8, 2020 4:14:46 PM UTC November 8, 2020 4:14:46 PM UTC Success
    Enable FIPS for DB[<DB_name_2>] November 8, 2020 4:14:46 PM UTC November 8, 2020 4:14:49 PM UTC Success
  4. Lorsque la sortie des détails du travail indique que le statut est Succès, vous devez redémarrer le noeud de votre système de base de données à l'aide de la console. Cette opération est requise car l'activation de FIPS et de SE Linux entraîne la mise à jour du noyau du système d'exploitation. Pour obtenir des instructions, reportez-vous à Redémarrage d'un système de base de données.

Vérification des configurations FIPS et SE Linux sur un noeud de système de base de données

Pour vérifier que FIPS et SE Linux sont activés sur le noeud de votre système de base de données, utilisez la commande dbcli suivante .
dbcli get-dbsystemsecurestatus
Le système renvoie divers détails comme indiqué dans l'exemple suivant .
{
  "isSELinuxEnabledForOS" : true,
  "isFipsEnabledForOS" : true,
  "fipsStatusForDBs" : [ {
    "databaseResId" : "<DB_ID_number>",
    "status" : true
  } ]
}