实施部署原理图
容器场景:需要将数据库审计Agent插件安装到宿主机操作系统,通过组件的抓包工具抓取数据库通讯端口虚拟化虚拟机、数据库服务器、应用服务器等场景:需要将数据库审计Agent插件安装到虚拟机或者物理机操作系统,通过组件的抓包工具抓取数据库通讯端口。
审计组件Agent工作原理:对安装操作系统网卡进行抓包,主要是抓取数据库网络转发流量,通过和数据库审计DAS设备的TCP4567端口进行通讯。
审计Agent部署实施
支持安装操作系统
Windows版本:
Windows 2008r2
Windows 2012
Linux版本:
Centos 567
Redhat 567
Ubuntu 1011121314
Debian 67
下载审计插件Agent
根据服务器的平台下载相应的客户端
Linux平台Agent安装
Agent解压安装
Linux服务器,在 root 帐户下解压EPS2.0_Build20161102.tgz(解包tar -zxf [路径/文件名]),并运行agent_install.bin脚本进行安装
Agent基础配置
(1) 切换到安装目录下/home/EPS2.0/20160925/eps_agent/config/,找到das_agent.ini文件:
(2) 使用VI或下载下来使用notepad++编辑该文件。
(3) 保存配置后,重启bin目录下的eps_agent服务,完成配置。
Agent主备配置(定制版)
原理说明:该定制包可以在agent与主数据库审计(DAS)无法通讯时,将审计流量发送至备主数据库审计(DAS)中,当主数据库审计(DAS)与agent恢复通讯时将审计流量重新切换回主数据库审计(DAS)中。
使用netstat -anlp | grep 4567 命令过滤4567端口可以看到当前状态是与主DAS进行了tcp连接。当与主DAS的连接无法通讯时,则会自动与备设备建立连接。
(1)将定制包导入至安装目录的bin目录下,使用解包命令tar -zxf [路径/文件名] 进行解包。
(2)进入解包出来的目录下,运行patch.sh 脚本进行定制包安装
(3)切换至config目录下,找到das_daemon.ini文件,vi进行主备agent 配置:timeout参数无需修改
(4)保存配置后,重启bin目录下的eps_agent服务,完成配置。
路由配置指导
配置路由的主要目的是服务器可以与数据库审计设备进行通讯,默认情况下业务服务器不能与数据库审计网段不能通讯
配置示例
routeadd-net192.56.76.0netmask255.255.255.0gw10.192.33.1deveth1
为了可以是使路由永久生效,需要将路由条目添加到/etc/rc.local文件内
确认安装成功
查看进程“eps”相关进程是否存在
查看日志,是否有“connect das svr cucceed”等字样(需要放通策略)
审核编辑:郭婷
-
数据库
+关注
关注
7文章
3799浏览量
64375
原文标题:深信服 | DAS数据库审计实施部署
文章出处:【微信号:网络技术干货圈,微信公众号:网络技术干货圈】欢迎添加关注!文章转载请注明出处。
发布评论请先 登录
相关推荐
评论