Oracle® Enterprise Manager Cloud Control Oracle Databaseコンプライアンス標準 12c リリース4 (12.1.0.4) B70518-04 |
|
前 |
次 |
次に示すのは、Oracleリスナーのコンプライアンス標準のコンプライアンス・ルールです。コンプライアンス標準は次のとおりです。
Oracleリスナーのコンプライアンス標準の基本的なセキュリティ構成についてのコンプライアンス・ルールは、次のとおりです。
説明: リスナー・トレース・ディレクトリに対するパブリックからの読取りまたは書込みの権限がないことを確認します。
重大度: クリティカル
理由: トレース・ディレクトリへのアクセスを許可すると、この情報が一般に公開され、セキュリティに影響を与える可能性があります。
説明: リスナー・トレース・ファイルにパブリックからアクセスできないことを確認します。
重大度: クリティカル
理由: トレース・ファイルへのアクセスを許可すると、この情報が一般に公開され、セキュリティに影響を与える可能性があります。
説明: リスナー・トレース・ディレクトリに対するパブリックからの読取りまたは書込みの権限がないことを確認します。
重大度: クリティカル
理由: トレース・ディレクトリへのアクセスを許可すると、この情報が一般に公開され、セキュリティに影響を与える可能性があります。
説明: パブリックからのリスナー・ログ・ファイルの読取りまたは書込みが不可能であることを確認します。
重大度: クリティカル
理由: ログ・ファイルの情報から、ネットワークおよびデータベース接続に関する重要な詳細情報がわかる場合があります。ログ・ファイルへのアクセスを許可すると、この情報が一般に公開され、セキュリティに影響を与える可能性があります。
Oracleリスナーのコンプライアンス標準の高度なセキュリティ構成についてのコンプライアンス・ルールは、次のとおりです。
説明: tcp.validnode_checkingパラメータがyesに設定されていることを確認します。
重大度: マイナー警告
理由: 有効ノードのチェックを設定しないと、悪質なユーザーがサーバーに接続する可能性があります。
説明: リスナー・ロギングが有効であることを確認します。
重大度: 警告
理由: リスナー・ロギングを使用しない場合、気付かないうちにリスナーが攻撃される可能性があります。
説明: listener.oraで、リスナー・ホストがホスト名としてではなくIPアドレスとして指定されていることを確認します。
重大度: 警告
理由: セキュアでないドメイン・ネーム・システム(DNS)サーバーは、なりすまし攻撃に利用される可能性があります。ネーム・サーバーで障害が発生すると、リスナーでホストを解決できなくなります。
説明: 管理リクエストはTCPSおよびIPCでのみ受け入れられることを確認します。
重大度: 警告
理由: リモート管理用のトランスポートをTCPSおよびIPCに制限すると、不正アクセスの危険性が減少します。
説明: リスナー構成の実行時変更が許可されていないことを確認します。
重大度: クリティカル
理由: 実行中のリスナーにアクセスする攻撃者によって、lsnrctlプログラムを使用した実行時変更操作(SET操作など)を受ける可能性があります。
説明: リスナーのデフォルト名が使用されていないことを確認します。
重大度: 警告
理由: リスナーにデフォルト名を使用すると、不正アクセスやDoS攻撃の危険性が増します。
説明: リスナー・ログ・ファイルがOracleソフトウェアの所有者に所有されていることを確認します。
重大度: クリティカル
理由: ログ・ファイルの情報から、ネットワークおよびデータベース接続に関する重要な詳細情報がわかる場合があります。ログ・ファイルがOracleソフトウェアの所有者に所有されていないと、この情報が一般に公開され、セキュリティに影響を与える可能性があります。
説明: リスナー・トレース・ディレクトリが、Oracleソフトウェアの所有者に所有されている有効なディレクトリであることを確認します。
重大度: クリティカル
理由: トレース・ディレクトリがOracleソフトウェアの所有者に所有されていないと、このトレース・ファイルが一般に公開され、セキュリティに影響を与える可能性があります。
説明: sqlnet.oraファイルにパブリックからアクセスできないことを確認します。
重大度: クリティカル
理由: sqlnet.oraファイルがパブリックから読取り可能な場合は、悪意のあるユーザーがこれを読み取る可能性があり、その結果、機密情報が公開される可能性があります。たとえば、クライアントおよびサーバーのログやトレースの保存先情報などです。
説明: listener.oraファイルの権限がOracleソフトウェアの所有者に制限されていることを確認します。
重大度: クリティカル
理由: listener.oraファイルがパブリックから読取り可能な場合、このファイルからパスワードが抽出される可能性があります。このため、リスナー、データベースおよびアプリケーション構成に関する詳細情報が公開される可能性があります。また、パブリックからの書込み権限がある場合、悪質なユーザーがリスナーに設定されたパスワードを削除してしまう可能性があります。
説明: リスナー・トレース・ファイルの所有者がOracleソフトウェアの所有者と同じであることを確認します。
重大度: クリティカル
理由: トレース・ファイルがOracleソフトウェアの所有者に所有されていないと、この情報が一般に公開され、セキュリティに影響を与える可能性があります。
説明: tcp.excludeded_nodesパラメータが設定されていることを確認します。
重大度: 警告
理由: 有効ノードのチェックを設定しないと、悪質なユーザーがサーバーに接続する可能性があります。
説明: 登録リクエストがTCPSおよびIPCでのみ受け入れられることを確認します。
重大度: 警告
理由: SECURE_REGISTER_listener_nameパラメータを構成していないと、接続の任意のトランスポートに対する登録リクエストをリスナーが受け入れます。
説明: リスナーへのアクセスがパスワードで保護されていることを確認します。
重大度: 警告
理由: パスワード保護を使用していない場合、ユーザーはリスナーへのアクセスが可能です。リスナーにアクセスできると、リスナーの停止が可能になります。また、パスワードを設定して、他のユーザーがリスナーを管理できないようにすることも可能です。
説明: sqlnet.oraファイルにパブリックからアクセスできないことを確認します。
重大度: クリティカル
理由: sqlnet.oraファイルがパブリックから読取り可能な場合は、悪意のあるユーザーがこれを読み取る可能性があり、その結果、機密情報が公開される可能性があります。たとえば、クライアントおよびサーバーのログやトレースの保存先情報などです。
説明: listener.oraファイルの権限がOracleソフトウェアの所有者に制限されていることを確認します。
重大度: クリティカル
理由: listener.oraファイルがパブリックから読取り可能な場合、このファイルからパスワードが抽出される可能性があります。このため、リスナー、データベースおよびアプリケーション構成に関する詳細情報が公開される可能性があります。また、パブリックからの書込み権限がある場合、悪質なユーザーがリスナーに設定されたパスワードを削除してしまう可能性があります。
説明: Oracleリスナーへのすべての不完全なインバウンド接続で存続期間が制限されていることを確認します。
重大度: 警告
理由: この制限によって、不完全なクライアント接続リクエストに対してリスナーがリソースを消費したり保持したりすることを回避します。悪質なユーザーがこれを利用して大量のリクエストをリスナーに送り、結果として正規のユーザーへのサービスが不可能になる可能性があるからです。
説明: tcp.invited_nodesパラメータが設定されていることを確認します。
重大度: 警告
理由: 有効ノードのチェックを設定しないと、悪質なユーザーがサーバーに接続する可能性があります。