Abilitare FIPS, SE Linux e STIG nei componenti del sistema DB

In questo articolo viene descritta la procedura per aggiungere al sistema DB i miglioramenti alla sicurezza degli standard FIPS (Federal Information Processing Standards), SE (Security Enhanced) Linux e STIG (Security Technical Implementation Guide).

Abilitare FIPS, SE Linux e STIG

Eseguire i passi riportati di seguito su ciascun nodo di sistema.

  1. Aprire una sessione SSH al nodo del sistema DB e passare all'utente root, quindi passare a /opt/oracle/dcs/bin.
    sudo -s
    cd /opt/oracle/dcs/bin
  2. eseguire il comando seguente.
    dbcli secure-dbsystem -se -sd -fo -fd
    Output:
    Job details
    ----------------------------------------------------------------
    ID: <job_ID_number>
    Description: Secure DB System
    Status: Created
    Created: November 8, 2020 4:12:29 PM UTC
    Progress: 0%
    Message:
    
    Task Name Start Time End Time Status
  3. Verificare i dettagli del job.
    dbcli describe-job -i <job_ID_number>
    L'output fornisce informazioni sull'avanzamento, lo stato e i dettagli del job.
    Job details
    ----------------------------------------------------------------
    ID: <job_ID_number>
    Description: Secure DB System
    Status: Success
    Created: November 8, 2020 4:12:29 PM UTC
    Progress: 100%
    Message:
    
    Task Name Start Time End Time Status
    ------------------------------------------------------------------------ ----------------------------------- -------
    Enable SE Linux [<name>] November 8, 2020 4:12:31 PM UTC November 8, 2020 4:12:31 PM UTC Success
    Enable STIG for DOD [<name>] November 8, 2020 4:12:31 PM UTC November 8, 2020 4:12:49 PM UTC Success
    Enable FIPS for OS [<name>] November 8, 2020 4:12:49 PM UTC November 8, 2020 4:14:43 PM UTC Success
    Enable FIPS for DB Home [<DB_home_name_1>] November 8, 2020 4:14:43 PM UTC November 8, 2020 4:14:43 PM UTC Success
    Enable FIPS for DB[<DB_name_1>] November 8, 2020 4:14:43 PM UTC November 8, 2020 4:14:46 PM UTC Success
    Enable FIPS for DB Home [<DB_home_name_2>] November 8, 2020 4:14:46 PM UTC November 8, 2020 4:14:46 PM UTC Success
    Enable FIPS for DB[<DB_name_2>] November 8, 2020 4:14:46 PM UTC November 8, 2020 4:14:49 PM UTC Success
  4. Dopo che l'output dei dettagli del job mostra lo stato come "Operazione riuscita", è necessario riavviare il nodo del sistema DB utilizzando la console. Questa operazione è necessaria perché l'abilitazione di FIPS e SE Linux aggiorna il kernel del sistema operativo. Per le relative istruzioni, vedere Reboot a DB System.

Controllo di un nodo di sistema DB per le configurazioni FIPS e SE Linux

Per confermare che FIPS e SE Linux sono abilitati nel nodo del sistema DB, utilizzare il comando dbcli riportato di seguito.
dbcli get-dbsystemsecurestatus
Il sistema restituisce i dettagli come indicato nell'esempio seguente.
{
  "isSELinuxEnabledForOS" : true,
  "isFipsEnabledForOS" : true,
  "fipsStatusForDBs" : [ {
    "databaseResId" : "<DB_ID_number>",
    "status" : true
  } ]
}