Cómo instalar y configurar el complemento de auditoría de seguridad de base de datos para la base de datos PostgreSQL para su uso con el Database Activity Monitoring Sensor
Artículos técnicos ID:
KB89299
Última modificación: 2022-09-13 12:41:51 Etc/GMT
Última modificación: 2022-09-13 12:41:51 Etc/GMT
Entorno
Database Activity Monitoring (DAM) Sensor 4.x
Auditar complemento para base de datos 1.0.1 PostgreSQL-64 y posterior
Base de datos 9.4.x de PostgreSQL, 9.5.x9.6.x ,, 11.x10.x , (64 bits), 12.x (64 bits), 13.x (64 bits), 14.x (64-bit): solo
versiones de código abierto. Base de datos 9.4 de PostgreSQL estándar de edb, 9.5 y 9.6 : Utilice las versiones habituales del complemento de auditoría de seguridad de la base de datos.
Importante: Actualmente, el complemento de auditoría de DAM solo está disponible para las versiones 9.4 , 9.5 y y 9.6 en EDB Enterprise PostgreSQL.
No se puede instalar el complemento en una edición Enterprise distinta de las versiones mencionadas anteriormente de la base de datos de PostgreSQL.
Nota: Para obtener información actualizada acerca de las versiones compatibles de la base de datos PostgreSQL, consulte las notas de la versión de seguridad de la base de datos.
EDB Enterprise PostgreSQL Database 9.4.2.11 , 9.5.7.12 y 9.6.2.7 : Utilice las versiones de complemento de auditoría de seguridad de base de datos integradas para EDB para estas versiones de la base de datos.
Soporte técnico espera que estas versiones de complementos funcionen para las versiones secundarias subsiguientes de cada versión principal; por ejemplo 9.4.2.129.5.7.13 ,, y 9.6.2.8.
Auditar complemento para base de datos 1.0.1 PostgreSQL-64 y posterior
Base de datos 9.4.x de PostgreSQL, 9.5.x9.6.x ,, 11.x10.x , (64 bits), 12.x (64 bits), 13.x (64 bits), 14.x (64-bit): solo
versiones de código abierto. Base de datos 9.4 de PostgreSQL estándar de edb, 9.5 y 9.6 : Utilice las versiones habituales del complemento de auditoría de seguridad de la base de datos.
Importante: Actualmente, el complemento de auditoría de DAM solo está disponible para las versiones 9.4 , 9.5 y y 9.6 en EDB Enterprise PostgreSQL.
No se puede instalar el complemento en una edición Enterprise distinta de las versiones mencionadas anteriormente de la base de datos de PostgreSQL.
Nota: Para obtener información actualizada acerca de las versiones compatibles de la base de datos PostgreSQL, consulte las notas de la versión de seguridad de la base de datos.
EDB Enterprise PostgreSQL Database 9.4.2.11 , 9.5.7.12 y 9.6.2.7 : Utilice las versiones de complemento de auditoría de seguridad de base de datos integradas para EDB para estas versiones de la base de datos.
Soporte técnico espera que estas versiones de complementos funcionen para las versiones secundarias subsiguientes de cada versión principal; por ejemplo 9.4.2.129.5.7.13 ,, y 9.6.2.8.
Resumen
En este artículo se describe lo siguiente:
Instale y configure la instalación del complemento de auditoría de la seguridad de la base de datos PostgreSQL.
Al supervisar una base de datos PostgreSQL, la Sensor de seguridad de la base de datos requiere la instalación del complemento Database Security PostgreSQL Audit junto con el Sensor:
El Sensor necesita conectarse a la base de datos y emitir comandos en los siguientes casos de uso:
Nota: Aunque definir un usuario alternativo no es un requisito, se recomienda hacerlo así para activar la función.
Cree el usuario en la base de datos de PostgreSQL y realice una configuración adicional para que el Sensor DAM pueda conectarse correctamente a la base de datos:
Solución de problemas
Puede utilizar los numerosos archivos de registro creados por PostgreSQL y el Sensor para la solución de problemas. Para verificar que ha configurado el complemento correctamente, consulte el archivopgstartup.log .
Este archivo se encuentra en el directorio que contiene el directorio de datos; por ejemplo,/var/lib/pgsql/9.5/pgstartup.log
Look for a line similar to the following:
En cuanto a la Sensor, si especifica una conexión DBMS alternativa, puede revisar los registros de Sensor para comprobar que se puede conectar. Si no se puede conectar, puede ver algunos mensajes de error.
- Cómo instalar y configurar el complemento Database Security Audit para la base de datos PostgreSQL para su uso con la Sensor DAM.
- Cómo configurar un usuario alternativo en el servidor de DAM para activar la madre Sensor para comunicarse con la base de datos de PostgreSQL.
- La arquitectura general de cómo el sensor de complementos y de DAM funciona conjuntamente para proporcionar auditorías de PostgreSQL.
Instale y configure la instalación del complemento de auditoría de la seguridad de la base de datos PostgreSQL.
- Descargue e instale el complemento. Siga las instrucciones proporcionadas en este artículo de instalación.
- Configure el complemento para que se comunique con el Sensor mediante la
json_socket configuración de la opción en el archivo de configuración de PostgreSQL (postgresql.conf ):
audit.json_socket = 1
Por ejemplo:
audit.json_unix_socket = 1
audit.json_file = 0
Nota: no establezca elaudit.json_file valor en 1.
- Guarde el archivo y reinicie
PostgreSQL .
El Sensor necesita conectarse a la base de datos y emitir comandos en los siguientes casos de uso:
- Para cerrar una sesión
- Para consultar la versión del servidor
- Para recibir una lista de todas las sesiones abiertas
Nota: Aunque definir un usuario alternativo no es un requisito, se recomienda hacerlo así para activar la función.
- En el servidor de DAM, haga clic en la base de datos de PostgreSQL. Verá la página de configuración de la base de datos abierta en la pestaña DBMS .
- Seleccione conexión de DBMS alternativa e introduzca el nombre de usuario y la contraseña que ha elegido.
Nota: En este ejemplo, se establece el nombre de usuario y la contraseña comotrellix .
- Haga clic en Guardar.
- Descargue el
pgsql_create_user_mc.sql archivo mediante el vínculo. Este script se guarda en la carpeta de descargas . - Edite este archivo y sustituya las siguientes entradas:
SENSOR_USER -Sustituya este valor por el nombre de usuariotrellix .
Nota: Utilice el mismo nombre de usuario introducido en el campo Nombre de usuario de la página conexión de DBMS alternativa.
SENSOR_PWD -Sustituya este valor por la contraseñatrellix .
Nota: Utilice la misma contraseña introducida en el campo contraseña de la página conexión de DBMS alternativa.
- Guarde el archivo editado.
- [Opcional] De forma predeterminada, la script crea una base de datos con el mismo nombre que el usuario. Esta base de datos es necesaria si se elimina la base de datos de Template1. Si la base de datos de Template1 existe, elimine las instrucciones que crean una base de datos. Para eliminar estas instrucciones, comente o elimine las entradas correspondientes a las siguientes instrucciones:
- Abra el script en un editor.
- Elimine las siguientes líneas:
CREATE USER SENSOR_USER WITH PASSWORD 'SENSOR_PWD';
CREATE DATABASE SENSOR_USER; -- OPTIONAL, if not defined, will use PostgreSQL 'template1' DB
ALTER USER SENSOR_USER WITH SUPERUSER
- Guarde el script.
Cree el usuario en la base de datos de PostgreSQL y realice una configuración adicional para que el Sensor DAM pueda conectarse correctamente a la base de datos:
- Abra una sesión de línea de comandos y ejecute el
pgsql_create_user_mc.sql archivo que creó anteriormente para crear el usuario. - Active la conexión de usuario/contraseña para este usuario:
Nota: En el siguiente ejemplo se presupone que está utilizando PostgreSQL. 9.5.x.
- Abra el
pg_hba.conf archivo en el directorio con el editor que prefiera./var/lib/pgsql/9.5/data/ - Busque las siguientes entradas hacia la parte inferior del archivo y agregue líneas como las que se resaltan a continuación:
# TYPE DATABASE USER ADDRESS METHOD
# "local" is for Unix domain socket connections only
local all <replace with username you created> password
…
…
# IPv4 local connections:
host all <replace with username you created> 127.0.0.1/32 password
For example, if you created the DB user called ‘trellix’, edit the pg_hba.conf file as shown below:
# TYPE DATABASE USER ADDRESS METHOD
# "local" is for Unix domain socket connections only
local all trellix password
…
…
# IPv4 local connections:
host all trellix 127.0.0.1/32 password
- Abra el
- Guarde el archivo y reinicie PostgreSQL.
Solución de problemas
Puede utilizar los numerosos archivos de registro creados por PostgreSQL y el Sensor para la solución de problemas. Para verificar que ha configurado el complemento correctamente, consulte el archivo
Este archivo se encuentra en el directorio que contiene el directorio de datos; por ejemplo,
Look for a line similar to the following:
- Para la versión 1.0.11 de complemento y posteriores:
< 2022-04-17 17:47:44.732 IDT >LOG: Trellix postgresql-audit extension initialized
- Para la versión 1.0.10 de complemento y anteriores:
< 2017-04-17 17:47:44.732 IDT >LOG: Intel Security postgresql-audit extension initialized
En cuanto a la Sensor, si especifica una conexión DBMS alternativa, puede revisar los registros de Sensor para comprobar que se puede conectar. Si no se puede conectar, puede ver algunos mensajes de error.
Información relacionada
Liberar descarga
Sensor conexiones a PostgreSQL: información adicional
El Sensor intenta conectar con la base de datos mediante varios métodos, desde la mayor a la preferible.
Con los sistemas DBMS tradicionales, como Oracle o Sybase, el monitor de base de datos funciona mediante la supervisión de la memoria del sistema de base de datos y la extracción de instrucciones SQL de las sesiones de red.
Con, Dam funciona dePostgreSQL forma diferente.
Para extraer información sobre la ejecución de consultas SQL, la DAM se basa en la información que le envía el complemento de auditoría de seguridad de la base de datos para PostgreSQL. Cuando el complemento se instala en laPostgreSQL base de datos y se configura correctamente, envía mensajes en formato JSON al sensor de Dam a través de un socket de dominio de Unix.
El sensor recibe estos mensajes y extrae la información necesaria en sus propias estructuras de datos. A continuación, procesa las instrucciones SQL y cualquier información asociada a cada instrucción, como lo haría de otros sistemas DBMS.
![Diagrama de flujo de la base de datos SQL a la madre mediante el complemento](/library/MCAFEE/KB89299%20postgresql%20install%20diagram.png)
Nota: El complemento puede registrar JSON en un archivo. No obstante, esta función no se utiliza cuando el complemento se utiliza junto con el sensor de DAM. Desactive el registro en un archivo.
Sensor conexiones a PostgreSQL: información adicional
El Sensor intenta conectar con la base de datos mediante varios métodos, desde la mayor a la preferible.
- La conexión se realiza mediante el nombre de usuario y la contraseña tal y como se ha descrito anteriormente. El usuario debe estar configurado en el servidor de y también en el
pg_hba.conf archivo.- El Sensor primero intenta conectar con una base de datos con el mismo nombre que el usuario.
- Si se produce un error, el Sensor utiliza la base de datos de Template1 .
- Suponga que no hay ningún nombre de usuario ni contraseña configurados en el servidor. El Sensor intenta conectar utilizando el nombre de usuario del sistema operativo en el que está instalado.
Nota: Normalmente, este nombre de usuario esmfedbs . Para que este método funcione, debe editar lospg_hba.conf archivos y, tal ypg_ident.conf como se muestra a continuación.
- Si se produce un error en la conexión con el usuario del sistema operativo, la Sensor funciona sin conexión; en este caso, la finalización de la sesión no está disponible.
- Abra el
pg_hba.conf archivo en un editor. - Compruebe que las siguientes líneas estén presentes:
# TYPE DATABASE USER ADDRESS METHOD
# "local" is for Unix domain socket connections only
local all all peer NOTE: Identify this line is present, if not add it.
…
…
# IPv4 local connections:
host all all 127.0.0.1/32 ident NOTE: Identify this line is present, if not add it.
- Agregue el texto resaltado adicional:
# TYPE DATABASE USER ADDRESS METHOD
# "local" is for Unix domain socket connections only
local all all peer map=trellix NOTE: add the bolded map=mcafee entry.
…
…
# IPv4 local connections:
host all all 127.0.0.1/32 ident map=trellix NOTE: add the bolded map=mcafee entry.
- Guarde el archivo.
Nota: Hemos utilizado el nombre detrellix la asignación en este ejemplo, pero podría utilizar cualquier nombre que elija.
- Edite el
pg_ident.conf archivo y agregue las siguientes entradas de mapa:
# MAPNAME SYSTEM-USERNAME PG-USERNAME trellix postgres postgres trellix mfedbs postgres mfedbs postgres mfedbs NOTE: The final row can be omitted unless you see the error message below in your
PostgreSQL log:provided user name (postgres) and authenticated user (mfebds) do not match
- La ubicación del registro:
/var/log/postgresql/postgresql-XX-main.log. XX denota el número actual de registros; se supone que el máximo es el más reciente
Por ejemplo:
/var/log/postgresql/postgresql-11-main.log
- Guarde el archivo y reinicie
PostgreSQL .
Con los sistemas DBMS tradicionales, como Oracle o Sybase, el monitor de base de datos funciona mediante la supervisión de la memoria del sistema de base de datos y la extracción de instrucciones SQL de las sesiones de red.
Con, Dam funciona de
Para extraer información sobre la ejecución de consultas SQL, la DAM se basa en la información que le envía el complemento de auditoría de seguridad de la base de datos para PostgreSQL. Cuando el complemento se instala en la
El sensor recibe estos mensajes y extrae la información necesaria en sus propias estructuras de datos. A continuación, procesa las instrucciones SQL y cualquier información asociada a cada instrucción, como lo haría de otros sistemas DBMS.
![Diagrama de flujo de la base de datos SQL a la madre mediante el complemento](/library/MCAFEE/KB89299%20postgresql%20install%20diagram.png)
Nota: El complemento puede registrar JSON en un archivo. No obstante, esta función no se utiliza cuando el complemento se utiliza junto con el sensor de DAM. Desactive el registro en un archivo.
Descargo de responsabilidad
El contenido de este artículo se creó en inglés. En caso de darse cualquier diferencia entre el contenido en inglés y su traducción, el primero siempre será el más preciso. La traducción de algunas partes de este contenido la ha proporcionado Microsoft mediante el uso de traducción automática.
Productos implicados
Idiomas:
Este artículo se encuentra disponible en los siguientes idiomas: