Oracle AVDF安裝,
接上文:Oracle審計與資料庫防火牆(AVDF)介紹
1.Oracle AVDF安裝配置
Oracle AuditVault and Database Firewall的安裝稍微有些麻煩,並且對於安裝環境的硬體設定要求較高。由於分為Audit Vault Server和Database Firewall,所以其安裝部署至少需要2台獨立的主機。以下我們就以最簡單的inline模式為例,來搭建Oracle Audit Vault and Database Firewall針對於ZLHIS應用的實驗環境。
1.1. 前期準備
在安裝之前請按前文所述下載好完整的安裝介質。需要注意:最新版本的OracleAudit Vault and Database Firewall目前僅能安裝在OracleEnterprise Linux5.8 x86_64及以上的版本之上。
由於防火牆工作原理的特殊性要求安裝防火牆的主機至少需要配備2張網卡,如果需要防火牆工作在DPE模式下則至少需要3張網卡。同時要求安裝Audit Vault Server和Database Firewall的主機至少需要2GB的記憶體和125GB的硬碟空間。
最後,在正式安裝之前請確認用於安裝的這兩台主機都只是用於AuditVault and Database Firewall,並且已經將其中重要資料備份。因為在安裝時會重建核心鏡像並對硬碟自動重新分區格式化。
1.2. 正式安裝
確認安裝介質的一定要下載完整,以下的3個鏡像檔案缺一不可:
Oracle AVDF安裝介質
先安裝Audit Vault Server。將鏡像檔案燒錄好的Audit Vault Server安裝光碟片放入光碟機,啟動電腦開始安裝,自動載入安裝資訊後會提示需要插入Oracle Enterpries Linux系統光碟片。此時退出Audit VaultServer安裝盤,插入OEL(Oracle Enterpries Linux)安裝盤後選擇OK。
Oracle AVDF安裝(一)
識別插入的OEL光碟片,並驗證安裝所需要的包的依賴關係後,開始自動安裝。該安裝過程其實是先安裝了OEL作業系統(但系統核心鏡像檔案是根據Audit VaultServer要求重建的),然後再OEL系統上安裝AuditVault Server。
Oracle AVDF安裝(二)
作業系統安裝結束後會提示插入Audit VaultServer的安裝光碟片,其後的安裝步驟才是真正安裝Audit Vault Server了。同樣,更換光碟片後選擇OK,系統將自動運行安裝並應用配置指令碼。
Oracle AVDF安裝(三)
安裝並應用預設配置指令碼(根據機器配置情況,此過程花費時間相對較長)。
Oracle AVDF安裝(四)
安裝並應用預設指令碼後會提示設定一個”安裝密碼”,這個密碼短語在以後通過控制台關機等情況下需要使用它(設定後需要記住,安裝密碼會要求重複輸入兩次,如果密碼設定太過簡單系統會提示是否確認設定該密碼)。
Oracle AVDF安裝(五)
最後系統會自動識別到當前主機上所配備的所有網路,並要求選擇其中一張網卡作為管理介面。選擇作為管理介面的網卡後會顯示該網卡相關的資訊,並要求設定管理介面IP地址等。
Oracle AVDF安裝(六)
設定管理介面IP地址。
Oracle AVDF安裝(七)
管理介面IP地址設定好之後,選擇最後一項重起完成安裝(重起的過程也會稍微有點長,因為重起時會為Audit Vault Server安裝並配置以後儲存資料的Oracle資料庫)。
成功重起後控制台介面如示。在此介面可以實現更改IP地址、設定作業系統使用者密碼(root、support兩使用者)、更改安裝時設定的密碼以及關機等操作。這些功能在Audit Vault Server提供的Web控制台中都可以完成。到此,Audit VaultServer的安裝全部完成,後續的所有操作都將在Web控制台中來完成了。
Oracle AVDF安裝(八)
Audit VaultServer安裝完成後,就可以安裝Database Firewall(這兩者的安裝順序不用嚴格區分先後)。Database Firewall的安裝步驟與Audit Vault Server完全一樣,其中也會有兩次提示更換安裝光碟片、設定安裝密碼和管理介面IP地址等。
1.1. 配置部署
l 初始配置
在正式部署使用之前還需要先完成一些初始的設定,這些設定包括作業系統的使用者密碼(root和support使用者的)、登入Audit Vault Server和Database Firewall的管理員和審計者的密碼、當前所在時區、時間、所使用的鍵盤類型以及將Database Firewall註冊到Audit Vault Server等設定。
注意,由於Web訪問採用了HTTPS協議,所以在首次使用Web控制台登入Audit Vault Server或Database Firewall時會提示安裝安全性憑證。並且在首次登入時會要求輸入安裝時設定的密碼短語,密碼短語驗證通過後會自動轉到設定Audit Vault Server、Database Firewall的管理員和審計者以及作業系統使用者的密碼的頁面。
Oracle AVDF配置(一)
初始使用者名稱、密碼設定,使用者名稱密碼設定完成後就可以剛才設定的使用者名稱和密碼進行登入並作其它設定了(主要需要完成當前時區、時間和鍵盤類型的設定,其設定都較了簡單這裡不再贅述)。
Oracle AVDF配置(二)
使用者名稱、密碼及日期時間這些基本要素設定好以後,現就可以以管理員身份登入AuditVault Server和Database Firewall然後將Database Firewall註冊到Audit Vault Server中去。因為Database Firewall本身不論是命令列還是Web控制台都沒有提供對自身完整的配置和管理功能,其絕大部分的管理和配置都需要藉助於Audit Vault Server來完成。並且對於企業級的有批量部署的需求來講,通過AuditVault Server集中進行管理配置將更加方便。
登入Audit Vault Server控制台後,在“設定”標籤下選擇“認證”菜單,然後將右側伺服器憑證框中的內容全部複製到Database Firewall中。因為Audit Vault Server以後將承擔管理和配置Database Firewall的任務,所以其向Database Firewall提供認證的目的在於向Database Firewall中標識自己的合法身份。
Oracle AVDF配置(三)
複製Audit Vault Server中的認證後,在Database Firewall控制台的“System”標籤下選擇“Audit Vault伺服器”。然後將所複製的認證內容粘貼到認證欄中去,在Audit Vault伺服器IP地址欄內填寫好Audit Vault Server主機的IP地址,並儲存設定。
Oracle AVDF配置(四)
完成在Database Firewall中標識Audit Vault Server主機的身份後,返回Audit VaultServer控制台。選擇“防火牆”標籤下的“防火牆”菜單,在註冊防火牆表單中填寫防火牆名稱(防火牆名稱自行定義)和所在主機的IP地址,並確認註冊。
Oracle AVDF配置(五)
由於此前已在Database Firewall中標識了Audit Vault Server主機的身份,所以確認註冊後Audit VaultServer就會串連並接手對Database Firewall的管理。此時在Audit Vault Server中就可以對Database Firewall主機進行重起、關機、刪除註冊等操作。注意,如果只部署了一台Database Firewall並且Audit Vault Server已正常串連可管理的情況下狀態會顯示為“Primary”,如果Database Firewall所在主機關機或其它不可串連情況狀態會為“offline”。通過點擊註冊時設定的防火牆名稱可以查看此時防火牆狀態的詳細資料。
Oracle AVDF配置(六)
l 部署配置
初始的配置完成後,以後基本上所有的工作都只需要登入AuditVault Server就可以完成。接下來就實驗將Oracle Audit Vault andDatabase部署到生產環境中去,查看其對於安全目標的保護。這裡的安全目標是一個正在使用的ZLHIS資料庫。注意因為Audit Vault Agent是java語言編寫的代理外掛程式,要求安全目標主機需要用安裝有JDK1.5及以上版本。
登入Audit Vault Server的Web控制台選擇“主機”標籤下面的“代理”菜單,點擊右側的“下載代理”按鈕下載AuditVault Agent代理外掛程式。
Oracle AVDF配置(七)
在安全目標主機上部署並啟用Audit Vault Agent代理外掛程式。設定好JAVA_HOME後在安全目標主機上執行“java -jar agent.jar -d安裝目標目錄名”進行部署(該命令執行完成會將jar包部署到安裝目標目錄中去)。然後在安全目標主機上切換目錄到安裝目標目錄下,執行“./bin/agentctlactivate”啟用代理外掛程式。
外掛程式啟用後以管理員身份登入Audit Vault Server,選擇“主機”標籤下的“主機”菜單,點擊右側的“註冊”按鈕將安全目標主機註冊到AuditVault Server(主機名稱欄由自行定義,主機IP為安全目標主機IP地址),儲存設定。
Oracle AVDF配置(八)
接下來啟用上面註冊的主機(此操作主要是產生一個代理啟用金鑰)。在“主機”菜單下選擇剛才註冊的主機,點擊右側啟用按鈕。成功啟用後會在“代理啟用金鑰”欄產生一個密鑰,然後使用產生的啟用金鑰來啟動安全目標主機的代理外掛程式。在安全目標主機上切換目錄到安裝目標目錄下,執行“./bin/agentctl start –k key(代理啟用金鑰,即中的GE4D-ZCQF-U2TB-QKO7-TBC1)”起動代理外掛程式。Audit Vault Agent代理外掛程式啟動後“代理程式狀態”欄會變成“Running”狀態,否則表示目標主機代理未啟動成功。
Oracle AVDF配置(九)
安全目標主機註冊完成後就需要對該主機上需要受保護的資料庫目標進行註冊。AuditVault Server,“受保護目標”標籤下的“目標”菜單點擊註冊,填寫受保護目標的註冊資訊,並儲存。注意,受保護目錄位置的格式與受保護目標類型相關,樣本圖片中都是以Oracle資料庫為例。如果是其它作業系統或資料庫填寫格式請參考官方手冊。
Oracle AVDF配置(十)
受保護目錄註冊完成後就可以為受保護的目錄配置“審計線索”和“強制點”(即前文中提到的審計資料來源和執行點。審計線索是告訴代理外掛程式將哪裡審計資料發送回Audit Vault Server伺服器,強制點則是確定防火牆工作於何種模式下、使用的是哪一個防火牆。)
同上,Audit Vault Server,“受保護目標”標籤下的“審計線索”菜單點擊添加,填寫審計線索資訊。審計線索資訊簡單些可以作如下理解,即從哪台主機的哪一個受保護目標下的哪個位置擷取審計資料。詳細定義請參見官方手冊,涉及審計線索類型較多此處不再贅述。
Oracle AVDF配置(十一)
審計線索菜單下預設顯示已添加的審計線索及其收集狀態。可以通過右側的啟動或停止按鈕改變收集狀態。收集狀態列顯示綠色向上的箭頭表示為啟動狀態,紅色的向下箭頭則表示停止狀態。
Oracle AVDF配置(十二)
審計線索添加完成接著選擇“強制點”菜單,建立強制點。強制點資訊內主要是確定防火牆針對哪一個受保護的目標,採取什麼樣的監視模式。除強制點名稱外,其餘內容都是之前配置好的對你選擇使用即可。
Oracle AVDF配置(十三)
那麼至此,對於Oracle Audit Vault andDatabase Firewall在生產環境中的部署就已全部完成。接下來就可以以審計者的身份登入AuditVault Server來指定需要執行一些什麼樣的審計操作和防火牆遵循什麼樣的規則來監視SQL流量,以及查看已設定策略的工作情況、產生的審計報告和防火牆攔截報告等工作。