Documentazione di Oracle Cloud Infrastructure

Eseguire i task dei prerequisiti per il rilevamento delle vulnerabilità e l'applicazione delle patch

Di seguito sono riportate informazioni sui prerequisiti necessari per iniziare a utilizzare il rilevamento e l'applicazione delle patch delle vulnerabilità di osservabilità e gestione.

Di seguito è riportata una lista di prerequisiti generali necessari per valutare correttamente le destinazioni del database esterno ed eseguire operazioni di patch.
Nota

Attualmente sono supportati solo i database esterni in esecuzione on-premise o le virtual machine Oracle Cloud Infrastructure sul sistema operativo Linux.
Attività descrizione;
Installare i Management Agent Il servizio Management Agent di Oracle Cloud Infrastructure consente la comunicazione e la raccolta di dati tra Gestione database e un database esterno. È necessario installare un Management Agent su un host che dispone di una connessione al database esterno. Gestione database utilizzerà il Management Agent per operazioni quali la raccolta di dati e metriche dal database esterno.

Per informazioni sull'installazione dei Management Agent, vedere Installa Management Agent o guardare il video: OCI Database Management Service: Install and Configure Management Agents.

Nota

Per i database a istanza singola, è necessario un Management Agent 201215.1850 o versione successiva e, per i database RAC, è necessario un Management Agent 210403.1349 o versione successiva.
Per concedere le autorizzazioni utente mgmt_agent, è necessario eseguire i comandi setfacl -Rm u:mgmt_agent:rwx $ORACLE_HOME e setfacl -Rm u:mgmt_agent:rwx <OraInventory Location>.
Nota

Assicurarsi che venga utilizzata la posizione OraInventory corretta. Evitare di utilizzare la posizione OraInventory locale.

In caso di problemi durante l'installazione del Management Agent, vedere Errori rilevati durante l'abilitazione di Gestione database per database esterni per la probabile causa e soluzione.

Concedere i privilegi necessari per monitorare e gestire i database esterni e salvare la password utente del database in un segreto È necessario concedere all'utente del database i privilegi necessari per monitorare e gestire i database esterni in Gestione database. Utilizza l'utente DBSNMP come utente di monitoraggio, questa è un'opzione consigliata in quanto questo utente dispone dei privilegi necessari per monitorare i database all'interno di Oracle Cloud Infrastructure e viene fornito integrato con i database Oracle. Utilizzare gli script SQL disponibili per creare un nuovo utente del database con il set di privilegi richiesto per monitorare i database esterni o per eseguire attività di diagnostica e amministrazione avanzate.

Oracle consiglia di definire un tempo di rollover graduale delle password per i database Oracle 19c e versioni successive. Ciò consente di connettersi al database utilizzando sia le password vecchie che quelle nuove durante un periodo di rollover graduale. Poiché sia le password vecchie che quelle nuove sono valide per un certo periodo di tempo, i tempi di inattività sono ridotti al minimo. Utilizzando un rollover graduale delle password, è possibile evitare interruzioni nell'uso delle funzioni di Gestione database per i database.

Per informazioni sui privilegi utente del database richiesti, vedere Database User Privileges Required for Database Management.

Per informazioni sullo script SQL, vedere Creazione delle credenziali di monitoraggio di Oracle Database per Gestione database (MOS 2857604.1).

Ottenere le autorizzazioni richieste Creare le autorizzazioni necessarie per abilitare il rilevamento delle vulnerabilità.

Per ulteriori informazioni sulla creazione delle autorizzazioni necessarie, vedere Ottieni autorizzazioni richieste.
Trova sistemi di database esterni - Aggiungi connessione Assicurarsi di registrare Oracle Database creando una risorsa o un handle nel servizio di database esterno. Questo handle funziona come una rappresentazione di Oracle Database situato al di fuori di Oracle Cloud Infrastructure. È possibile registrare un database esterno nel servizio Database esterno o facendo clic su Registra database esterni nella pagina Database gestiti per i database esterni in Gestione database.

Per informazioni su come creare un handle di database esterno, vedere Creare una gestione per un database esterno oppure

guarda il video: OCI Database Management Service: Register and Connect to an External Database.
Connettere Oracle Database all'handle del database esterno Dopo aver creato un handle di database esterno, è necessario connettere Oracle Database all'handle. Tenere presente che è possibile utilizzare il protocollo TCPS per creare in modo sicuro una connessione a Oracle Database e monitorarla e gestirla. È possibile aggiungere una connessione a un database esterno nel servizio di database esterno o facendo clic su Connetti nella colonna Stato della pagina Database gestiti per i database esterni in Gestione database.

Per informazioni su come connettere un Oracle Database a un handle di database esterno, vedere Creare una connessione a un database esterno oppure

Guarda il video: OCI Database Management Service: Enable Database Management for an External Database.
Creare una directory DBLM per l'applicazione di patch Questa directory conterrà tutti i risultati dell'esecuzione dello script, gli script di applicazione delle patch verranno copiati in questa directory per l'esecuzione.
  • Creare la directory DBLM in/opt/oracle/dblm per tutti gli host contenenti database a cui applicare le patch.
  • Impostare l'autorizzazione per la directory su 750.
  • Impostare la proprietà sull'utente Management Agent e sul relativo gruppo principale.
Esempio:
mkdir <DBLM_DIRECTORY> 
chmod 750 <DBLM_DIRECTORY>
chown <MGMT_AGENT_USER>:<MGMT_AGENT_PRIMARY_GROUP><DBLM_DIRECTORY>
Creare gli utenti della patch È necessario creare un utente della patch in tutti gli host in cui è installato il database a cui applicare la patch. Questo utente della patch verrà utilizzato per eseguire gli script di applicazione delle patch come Oracle home o come uso root. Per i database RAC, l'utente della patch deve disporre di un'equivalenza SSH senza password nei nodi per eseguire gli script sui nodi RAC in cui il Management Agent non è in esecuzione. Per ulteriori informazioni, vedere: Informazioni sulla configurazione SSH senza password. Esempio: 
useradd <PATCH_USER>
Impostare il gruppo primario dell'utente patch su uguale al gruppo primario del proprietario della Oracle home Il gruppo primario dell'utente patch deve essere uguale al gruppo primario del proprietario della Oracle home.

Esempio: 

/usr/sbin/usermod -g
<DB_HOME_OWNER_PRIMARY_GROUP> <PATCH_USER>

Esempio di dettagli utente patch:

uid=5436(patchUser) 
gid=59968(oinstall)
groups=59968(oinstall)
Aggiungere l'utente patch al gruppo primario dell'utente Management Agent L'utente della patch deve essere aggiunto al gruppo principale dell'utente Management Agent per l'applicazione delle patch.

Esempio:

/usr/sbin/usermod -a <PATCH_USER> -G
<MGMT_AGENT_PRIMARY_GROUP>
Aggiungere l'utente Management Agent al gruppo primario del proprietario della Oracle home L'utente Management Agent deve essere aggiunto al gruppo primario del proprietario della Oracle home per l'applicazione delle patch.

Esempio: 

/usr/sbin/usermod -a <MGMT_AGENT_USER> -G
<DB_HOME_OWNER_PRIMARY_GROUP>

Esempio: dettagli utente Management Agent

uid=495(mgmt_agent) 
gid=1486 (mgmt_agent) 
groups=1486 (mgmt_agent),8500 (oinstall)
Aggiungere il proprietario della Oracle home al gruppo principale dell'utente Management Agent Il proprietario della Oracle home deve essere aggiunto alla home principale dell'utente Management Agent per l'applicazione delle patch.

Esempio:

/usr/sbin/usermod -a <DB_HOME_OWNER> -G
<MGMT_AGENT_PRIMARY_GROUP>

Esempio dei dettagli del proprietario della Oracle home:

uid=54326(oracle) 
gid=8500(oinstall) 
groups=8500(oinstall), 8502(dba),1486 (mgmt_agent)
Impostare SUDO su tutti gli host del database È necessario aggiungere le autorizzazioni nel file SUDOERS per consentire i seguenti switch utente
  • Passa all'utente del Management Agent per applicare le patch
  • Passare all'utente della patch alla Oracle home/utente root
  • Passare l'utente della Oracle home a un utente Patch e concedere la possibilità di eseguire script e comandi limitati.
Nota

Negli host in cui è in esecuzione il Management Agent, l'utente del Management Agent passerà solo come utente della patch e l'utente della patch passerà all'utente della Oracle home/root per l'applicazione delle patch.

Management Agent è installato solo su uno dei nodi RAC, tutti gli altri nodi RAC devono disporre delle autorizzazioni nel file SUDOERS per passare l'utente patch all'utente Oracle home/root e all'utente Oracle home come utente patch.

Per ulteriori informazioni sulla concessione dell'accesso SUDO agli utenti, vedere: Concessione dell'accesso sudo agli utenti.

Esempio di autorizzazione Sudoers sugli host agente:

PASSWD: /opt/oracle/dblm/executions/*/run_perl_script.sh /opt/oracle/dblm/scripts/patchmgmt/*/*.pl *, /bin/kill *
patchUser ALL=(oracle) NOPASSWD: /opt/oracle/dblm/executions/*/run_perl_script.sh /opt/oracle/dblm/scripts/patchmgmt/*/*.pl *, /bin/kill *
patchUser ALL=(root) NOPASSWD: /opt/oracle/dblm/executions/*/run_perl_script.sh /opt/oracle/dblm/scripts/patchmgmt/root/*.pl *, /bin/kill *

Esempio di autorizzazioni Sudoers sui nodi RAC:

patchUser ALL=(oracle)       NOPASSWD: /opt/oracle/dblm/executions/*/run_perl_script.sh /opt/oracle/dblm/scripts/patchmgmt/*/*.pl *, /bin/kill *
patchUser ALL=(root)        NOPASSWD: /opt/oracle/dblm/executions/*/run_perl_script.sh /opt/oracle/dblm/scripts/patchmgmt/root/*.pl *, /bin/kill *,/opt/oracle/dblm/executions/*/*/runfixup.sh
oracle ALL=(patchUser)     NOPASSWD: /bin/rsync *

Aggiunte al file sudoers:

cuser  ALL=(ALL)    NOPASSWD: ALL
duser  ALL=(ALL)    NOPASSWD: ALL
mgmt_agent  ALL=(ALL)    NOPASSWD: ALL

Utenti, directory e utility obbligatori

Per orchestrare correttamente il processo di applicazione delle patch sono necessari i seguenti utenti, directory e utility:
Utente Esempio
Utente patch patchUser
Proprietario home database oracle
Gruppo primario proprietario home del database oinstall
Utente Management Agent mgmt_agent
Gruppo primario utente Management Agent mgmt_agent
Directory e utility obbligatorie Esempio di posizione
Posizione SUDO /scratch/sudo_setup/bin/sudo
Posizione file Sudoers /scratch/sudo_setup/etc/sudoers
Directory DBLM /opt/oracle/dblm