Install Agent GIM for Oracle DB (GIM Linux)
I. Lý thuyết1. Khái niệm
Guardium Installation Manager (GIM) để cài đặt và duy trì các thành phần của Guardium (ví dụ các Agent được cài đặt như S-TAP) trên các máy chủ được quản lý/máy chủ cần giám sát (các máy database server hoặc file systems)Thành phần GIM bao gồm một GIM server (được cài đặt sẵn như một phần của hệ thống Guardium, được tích hợp sẵn trong Central Manager hoặc Collector ) và một GIM client (phải được cài đặt trên các máy chủ lưu trữ cơ sở dữ liệu hoặc hệ thống tệp mà bạn muốn giám sát).
2. Cơ chế hoạt động
GIM client là một tập hợp các tập lệnh Perl chạy trên mỗi máy chủ được quản lý. Sau khi cài đặt, nó phối hợp với GIM server để thực hiện các tác vụ sau:- Kiểm tra các bản cập nhật cho phần mềm đã cài đặt trên database server hoặc file systems.
- Truyền tải và cài đặt phần mềm mới.
- Gỡ bỏ phần mềm.
- Cập nhật các tham số phần mềm.
- Giám sát sức khoẻ và dừng các tiến trình đang chạy trên máy chủ cơ sở dữ liệu.
Nó kiểm tra (heartbeat) của mỗi tiến trình mỗi phút một lần và chuyển các thay đổi trạng thái của tiến trình tới GIM server. Trạng thái của mỗi tiến trình được hiển thị trên bảng Process Monitoring . Các thay đổi được phản ánh trong vòng ba phút
II. Thực hành
Bước 1: Đăng ký tài khoản để tải gói cài đặt (GIM agent package)
- Truy cập vào IBM Support: Fix Central
- Tại tab Find product, trong trường Product selector, hãy nhập IBM Security Guardium.
- Nhấp vào menu Installed Version và chọn version
- Nhấp vào menu Platform và chọn nền tảng hệ điều hành.
- Nhấp Continue.
- Chọn Text và nhập GIM vào trường dữ liệu - sau đó nhấp Continue.
- Trong danh sách các bản sửa lỗi (fixes) hiện ra, hãy chọn gói sửa lỗi (fix pack) dành cho nền tảng của bạn và tải nó về
- Login xác thực tài khoản để tải Package
- Tải file cài đặt sau khi xác thực thành công
Bước 2. Cài đặt
Lưu ý: Perl 5.8 (trở lên).
- Truy câp vào thư mục chứa package cài đặt
- Thực hiện giải nén
- Tìm installer_name để thực hiện cài đặt:
- Thực hiện lệnh cài đặt: ./<installer_name> [-- --dir <install_dir> <--sqlguardip> <g-machine ip> --tapip <db server ip address> --perl <perl dir> -q]
- Các tham số cài đặt khác
| Tham số | Mô tả |
| dir | Thư mục để cài đặt GIM client. |
| tapip | Địa chỉ IP hoặc FQDN của máy chủ cơ sở dữ liệu nơi GIM client đang được cài đặt. |
| sqlguardip | Địa chỉ IP/hostname của bộ thu thập (collector/central manager) mà GIM client kết nối tới. Nếu không được chỉ định, GIM client sẽ cài đặt ở (Listener mode). |
| perl | Đường dẫn đến tập lệnh Perl. Ví dụ: /usr/bin/ |
| ca_file | Chỉ định tệp PEM của (Certificate Authority). Không sử dụng CA mặc định |
| key_file | Chỉ định tệp PEM khóa riêng (private key). Không sử dụng private key mặc định |
| cert_file | Chỉ định tệp PEM chứng chỉ (certificate). Không sử dụng certificate mặc định |
| listener_port | Cổng lắng nghe để đăng ký với thiết bị. Mặc định = 8445. Chức năng giống tham số sqlguardip |
| shared_secret | Thiết lập shared secret để xác minh khi đăng ký |
| no_listener | Vô hiệu hóa Listener mode ngay cả khi sqlguardip không được chỉ định. |
| install_customed_bundles | Cho phép GIM client cài đặt các gói tùy chỉnh. 0: không/ 1: có |
| failover_sqlguardip | Địa chỉ IP/hostname của bộ thu thập secondary mà GIM client này sẽ giao tiếp. |
| allow_ip_hostname_combo | Cho phép tính duy nhất của GIM client trên các máy chủ cơ sở dữ liệu có cùng hostname "chung". 0: không /1: có Nếu GIM_ALLOW_IP_HOST_COMBO được bật, hostname của GIM client là sự kết hợp của <hostname của server>_<GIM_CLIENT_IP>. -> loại bỏ trường hợp trùng hostname GIM client khi mà nhiều server có cùng hostname, mỗi GIM client sẽ tương ứng với 1 server duy nhất |
| auto_set_gim_tapip | Tự động gán IP cục bộ cho máy chủ nơi cài đặt GIM client. Không chỉ định cả auto_set_gim_tapip và tapip trên cùng 1 lệnh khi bạn cài đặt GIM client. 0: không /1: có Giá trị mặc định là 0. Phục vụ cho việc sao chép các máy chủ cơ sở dữ liệu và thiết lập các triển khai lớn (clone máy) |
| 8445 | Listener của GIM client, 2 chiều, GIM server trên (central manager) hoặc (collector) đều có thể giao tiếp với GIM client. GIM server Ra lệnh điều khiển các thiết bị có GIM client |
| 8443 (discovery) | Được sử dụng để giao tiếp giữa máy chủ DB và thiết bị Guardium (DB gửi các thông tin thay đổi/cập nhật về Central Manager/Collector, và để tải lên các tính năng của DB server |
| 8446 | Được sử dụng giữa GIM client và GIM server (trên central manager hoặc collector) cho TLS đã xác thực (tải file), cả hai chiều. Nếu cổng 8446 không mở, nó sẽ mặc định chuyển sang cổng 8444, nhưng TLS không có xác minh). |
| 8081 | Được sử dụng giữa GIM client và GIM server (trên central manager hoặc collector) cho các kết nối không dùng TLS, cả hai chiều |
Cấu hình mở port trên các thiết bị:
Collector phải mở inbound port:8443 (1 chiều - chỉ từ DB đẩy đến Collector/Central Manager), 8446, 8445
DB Server phải mở inbound port:8445, 8446
Mặc định cho phép khởi tạo các kết nối outbound, không cần mở chiều outbound
Bước 4: Kiểm tra sau khi cài đặt
Trên Red Hat Enterprise Linux 7 trở lên, các tệp dịch vụ GIM được quản lý bởi dịch vụ systemd và thường nằm trong /etc/systemd/system/
Lệnh kiểm tra
systemctl cat guard_gim.service
systemctl cat guard_gsvr.service
Trên Red Hat Enterprise Linux 6, các tệp dịch vụ GIM được quản lý bởi trình quản lý dịch vụ Upstart và thường nằm trong /etc/init/: /etc/init/gim* hoặc /etc/init/gsvr*
Lệnh kiểm tra
ls -la /etc/init/gim*
ls -la /etc/gsvr*
Thư mục nơi tất cả các module GIM được cài đặt: /usr/local/guardium/modules
Bước 5. Kiểm tra trên Collector/Central Manager
Lưu ý: SUPERVISOR:Theo dõi xem GIM Client có đang chạy hay không. Nếu GIM Client bị treo hoặc bị tắt đột ngột, SUPERVISOR sẽ ngay lập tức khởi động lại nó.