Documentação do Oracle Cloud Infrastructure

Executar Tarefas de Pré-requisitos para Detecção e Aplicação de Patches de Vulnerabilidade

Veja aqui as informações sobre os pré-requisitos necessários para começar a usar a Detecção e a Aplicação de Patches de Vulnerabilidade do Observability and Management.

Veja a seguir uma lista de pré-requisitos gerais necessários para avaliar com sucesso os destinos do banco de dados externo e executar operações de patch.
Observação

No momento, só há suporte para Bancos de Dados Externos em execução em Máquinas Virtuais locais ou no sistema operacional Oracle Cloud Infrastructure no Linux.
Tarefa Descrição
Instalar Management Agents O serviço Oracle Cloud Infrastructure Management Agent permite a comunicação e a coleta de dados entre o serviço Database Management e um Banco de Dados Externo. Você deve instalar um Management Agent em um host que tenha uma conexão com o Banco de Dados Externo. O serviço Database Management usará o Management Agent para operações como coletar dados e métricas do Banco de Dados Externo.

Para obter informações sobre como instalar Management Agents, consulte Instalar Management Agents ou assista ao vídeo: OCI Database Management Service: Install and Configure Management Agents.

Observação

Para bancos e dados de instância única, é obrigatório um Management Agent 201215.1850 ou mais recente e, para bancos e dados RAC, é obrigatório um Management Agent 210403.1349 ou mais recente.
Para conceder permissões de usuário mgmt_agent, você deve executar os comandos setfacl -Rm u:mgmt_agent:rwx $ORACLE_HOME e setfacl -Rm u:mgmt_agent:rwx <OraInventory Location>.
Observação

Certifique-se de que o local OraInventory correto seja usado. Evite usar o local OraInventory local.

Se você encontrar problemas ao instalar o Management Agent, consulte Erros Encontrados ao Habilitar o Database Management para bancos de dados externos para ver a causa e solução prováveis.

Conceder os privilégios necessários para monitorar e gerenciar bancos de dados externos e salvar a senha do usuário do banco de dados em um segredo Você deve conceder ao usuário do banco de dados os privilégios necessários para monitorar e gerenciar bancos de dados externos no serviço Database Management. Use o usuário DBSNMP como o usuário de monitoramento. Essa é uma opção recomendada, pois esse usuário tem os privilégios necessários para monitorar bancos de dados no Oracle Cloud Infrastructure e vem incorporado com bancos de dados Oracle. Use os scripts SQL disponíveis para criar um novo usuário do banco de dados com o conjunto necessário de privilégios para monitorar os bancos de dados externos ou para executar diagnósticos avançados e tarefas administrativas.

A Oracle recomenda que, para bancos de dados Oracle 19c e posteriores, você defina um tempo de substituição gradual da senha; isso permite que você se conecte ao banco de dados usando as senhas antiga e nova durante um período de substituição gradual. Como as senhas antigas e novas são válidas por algum tempo, o tempo de inatividade é minimizado. Ao usar uma substituição gradual de senhas, você pode evitar interrupções no uso de recursos do Database Management para seus bancos de dados.

Para obter informações sobre os privilégios de usuário necessários do banco de dados, consulte Privilégios de Usuário do Banco de Dados Necessários para o Serviço Database Management.

Para obter informações sobre o script SQL, consulte Criando as Credenciais de Monitoramento do Oracle Database para o Database Management (MOS 2857604.1).

Obter Permissões Obrigatórias Crie as permissões necessárias para ativar a Detecção de Vulnerabilidade.

Para obter mais informações sobre como criar as permissões necessárias, consulte Obter Permissões Necessárias
Descobrir Sistemas de Banco de Dados Externo - Adicionar conexão Certifique-se de registrar o Oracle Database criando um recurso ou um identificador no serviço External Database. Esse handle funciona como uma representação do Oracle Database localizado fora do Oracle Cloud Infrastructure. Você pode registrar um Banco de Dados Externo no serviço External Database ou clicando em Registrar bancos de dados externos na página Bancos de Dados Gerenciados para Bancos de Dados Externos no serviço Database Management.

Para obter informações sobre como criar um identificador de banco de dados externo, consulte Criar um identificador para um banco de dados externo ou

assista ao vídeo: OCI Database Management Service: Register and Connect to an External Database.
Conectar o Oracle Database ao handle do Serviço External Database Depois de criar um handle de Banco de Dados Externo, você deverá conectar o Oracle Database ao handle. Observe que você pode usar o protocolo TCPS para criar com segurança uma conexão com o Oracle Database e monitorá-la e gerenciá-la. Você pode adicionar uma conexão a um Banco de Dados Externo no serviço External Database ou clicando em Conectar na coluna Status da página Bancos de Dados Gerenciados para Bancos de Dados Externos no serviço Database Management.

Para obter informações sobre como conectar um Oracle Database a um handle de Banco de Dados Externo, consulte Criar uma Conexão com um Banco de Dados Externo ou

assista ao vídeo: OCI Database Management Service: Enable Database Management for an External Database.
Criar um diretório DBLM para aplicação de patches Este diretório conterá todos os resultados da execução do script, os scripts de aplicação de patch serão copiados para este diretório para execução.
  • Crie o diretório DBLM em/opt/oracle/dblm para todos os hosts que contêm bancos de dados a serem submetidos a patch.
  • Defina a permissão de diretório como 750.
  • Defina a propriedade para o usuário do Agente de Gerenciamento e seu grupo principal.
Exemplo:
mkdir <DBLM_DIRECTORY> 
chmod 750 <DBLM_DIRECTORY>
chown <MGMT_AGENT_USER>:<MGMT_AGENT_PRIMARY_GROUP><DBLM_DIRECTORY>
Criar os usuários do patch Um usuário de patch deve ser criado em todos os hosts em que o banco de dados a ser corrigido está instalado. Esse usuário de patch será usado para executar os scripts de patch como Oracle Home ou uso raiz. Para bancos de dados RAC, o usuário do patch deve ter equivalência SSH sem senha nos nós para executar os scripts nos nós RAC nos quais o Management Agent não está em execução. Para obter mais informações, consulte: Sobre Configuração de SSH sem Senha. Exemplo: 
useradd <PATCH_USER>
Definir o grupo principal do usuário do Patch como igual ao grupo principal do proprietário do Oracle Home O grupo principal do usuário do Patch deve ser igual ao grupo principal do proprietário do Oracle Home.

Exemplo: 

/usr/sbin/usermod -g
<DB_HOME_OWNER_PRIMARY_GROUP> <PATCH_USER>

Exemplo de detalhes do usuário do patch:

uid=5436(patchUser) 
gid=59968(oinstall)
groups=59968(oinstall)
Adicionar o usuário do Patch ao grupo principal do usuário do Management Agent O usuário do patch deve ser adicionado ao grupo principal do usuário do Management Agent para aplicação de patches.

Exemplo:

/usr/sbin/usermod -a <PATCH_USER> -G
<MGMT_AGENT_PRIMARY_GROUP>
Adicionar o usuário do Management Agent ao grupo principal do proprietário do Oracle Home O usuário do Agente de Gerenciamento deve ser adicionado ao grupo principal do proprietário do Oracle Home para aplicação de patches.

Exemplo: 

/usr/sbin/usermod -a <MGMT_AGENT_USER> -G
<DB_HOME_OWNER_PRIMARY_GROUP>

Exemplo de detalhes do usuário do agente de gerenciamento:

uid=495(mgmt_agent) 
gid=1486 (mgmt_agent) 
groups=1486 (mgmt_agent),8500 (oinstall)
Adicionar o proprietário do Oracle Home ao grupo principal do usuário do Agente de Gerenciamento O proprietário do Oracle home deve ser adicionado ao home principal do usuário do Management Agent para aplicação de patches.

Exemplo:

/usr/sbin/usermod -a <DB_HOME_OWNER> -G
<MGMT_AGENT_PRIMARY_GROUP>

Exemplo de detalhes do proprietário do Oracle home:

uid=54326(oracle) 
gid=8500(oinstall) 
groups=8500(oinstall), 8502(dba),1486 (mgmt_agent)
Configurar SUDO em todos os hosts do banco de dados As permissões devem ser adicionadas no arquivo SUDOERS para permitir os seguintes switches de usuário
  • Alternar o usuário do Management Agent para o usuário do Patch
  • Alternar o usuário do Patch para o usuário do Oracle Home/root
  • Alterne o usuário do Oracle Home para um usuário do Patch e conceda a capacidade de executar scripts e comandos limitados.
Observação

Nos hosts em que o Agente de Gerenciamento está em execução, o usuário do Agente de Gerenciamento só alternará como usuário do Patch e, em seguida, o usuário do Patch alternará para o usuário do Oracle Home/raiz para aplicação de patches.

O Agente de Gerenciamento é instalado em apenas um dos nós RAC, todos os outros nós RAC devem ter permissões no arquivo SUDOERS para alternar o usuário Patch para o usuário Oracle Home/root e o usuário Oracle Home como usuário Patch.

Para obter mais informações sobre como conceder o acesso SUDO aos usuários, consulte: Concedendo Acesso sudo aos Usuários

Permissão Sudoers no exemplo de Hosts do Agente:

PASSWD: /opt/oracle/dblm/executions/*/run_perl_script.sh /opt/oracle/dblm/scripts/patchmgmt/*/*.pl *, /bin/kill *
patchUser ALL=(oracle) NOPASSWD: /opt/oracle/dblm/executions/*/run_perl_script.sh /opt/oracle/dblm/scripts/patchmgmt/*/*.pl *, /bin/kill *
patchUser ALL=(root) NOPASSWD: /opt/oracle/dblm/executions/*/run_perl_script.sh /opt/oracle/dblm/scripts/patchmgmt/root/*.pl *, /bin/kill *

Exemplo de permissões Sudoers em nós RAC:

patchUser ALL=(oracle)       NOPASSWD: /opt/oracle/dblm/executions/*/run_perl_script.sh /opt/oracle/dblm/scripts/patchmgmt/*/*.pl *, /bin/kill *
patchUser ALL=(root)        NOPASSWD: /opt/oracle/dblm/executions/*/run_perl_script.sh /opt/oracle/dblm/scripts/patchmgmt/root/*.pl *, /bin/kill *,/opt/oracle/dblm/executions/*/*/runfixup.sh
oracle ALL=(patchUser)     NOPASSWD: /bin/rsync *

Adições ao arquivo sudoers:

cuser  ALL=(ALL)    NOPASSWD: ALL
duser  ALL=(ALL)    NOPASSWD: ALL
mgmt_agent  ALL=(ALL)    NOPASSWD: ALL

Usuários, Diretórios e Utilitários Obrigatórios

Os seguintes usuários, diretórios e utilitários são necessários para orquestrar corretamente o processo de aplicação de patches:
Usuário Exemplo
Usuário de patch patchUser
Proprietário do Home de Banco de dados oracle
Grupo principal do proprietário do Home do Banco de Dados oinstall
Usuário do Management Agent mgmt_agent
Grupo principal de usuários do Management Agent mgmt_agent
Diretórios e Utilitários Obrigatórios Exemplo de local
Localização SUDO /scratch/sudo_setup/bin/sudo
Localização do arquivo Sudoers /scratch/sudo_setup/etc/sudoers
Diretório DBLM /opt/oracle/dblm