| Oracle Enterprise Managerポリシー・リファレンス・マニュアル 10gリリース2(10.2) B28458-01 |
|
 戻る |
 次へ |
この章では、Oracle HTTP(ハイパーテキスト転送プロトコル)Serverの各ポリシーについて、次の情報を提供します。
ポリシーの概要
ポリシーの主要プロパティのサマリー
ポリシーのデフォルト値: パラメータとそのデフォルト値、およびデフォルトでは除外されるオブジェクト
ポリシー違反の影響
違反が発生した際に実行する処理
Oracle HTTP Serverポリシーは、次のように分類されます。
HTTPターゲットの構成ポリシーは、次のとおりです。
このポリシーは、HTTPサーバーでHostNameLookupsディレクティブがoffに設定されていることを検証します。
すべてのDNS参照は、Apacheのパフォーマンスに影響します。ApacheのHostNameLookupsディレクティブは、Apacheに対して情報を提供します。この情報に従って、Apacheは、IPアドレスに基づいて情報をログに記録するか(ディレクティブがoffに設定されている場合)、DNSシステムでの各リクエストのIPアドレスに関連付けられているホスト名をインターネット上で参照します(ディレクティブがonに設定されている場合)。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| クリティカル | 構成 | HTTP Server | Oracle Application Server 10g(9.0.4.x)、Oracle Application Server 10gリリース2(10.1.2.x) | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | はい | HTTPサーバーのHostNameLookupsディレクティブがonに設定されています。 |
デフォルト
パラメータとそのデフォルト値
該当なし
デフォルトで除外されるオブジェクト
該当なし
違反の影響
HostNameLookupsディレクティブをonまたはdoubleに設定すると、追加のDNS参照が実行されます。すべてのDNS参照は、HTTPサーバーのパフォーマンスに影響します。
オラクル社のテストでは、HostNameLookupsをonに設定した場合には、パフォーマンスが少なくとも3%程度低下することが判明しています。
処理
構成ファイル(httpd.conf)で、HostNameLookupsディレクティブをoffに設定します。
このポリシーは、このHTTPサーバー上のMaxKeepAliveRequestsディレクティブがゼロ以外の値に設定されていることを検証します。
MaxKeepAliveRequestsディレクティブの値がゼロの場合、後続のクライアント・リクエストがあるため維持される接続数に制限がありません。ただし、httpdサーバー・プロセスは、クライアントが接続を解除するか接続がタイムアウトになるまで他のリクエストを処理できません。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| クリティカル | 構成 | HTTP Server | Oracle Application Server 10g(9.0.4.x)、Oracle Application Server 10gリリース2(10.1.2.x) | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | はい | MaxKeepAliveRequestsディレクティブがHTTPサーバー構成ファイル(httpd.conf)でゼロに設定されています。 |
デフォルト
パラメータとそのデフォルト値
該当なし
デフォルトで除外されるオブジェクト
該当なし
違反の影響
MaxKeepAliveRequestsディレクティブがゼロ(接続数の制限なし)に設定されている場合は、クライアントが接続を解除するか接続がタイムアウトになるまで、httpdサーバーのプロセスを使用してその他のリクエストを処理できません。
処理
MaxKeepAliveRequestsディレクティブをゼロに設定しないようにします。
HTTPターゲットのセキュリティ・ポリシーは、次のとおりです。
HTTPサーバーを効率的に管理するには、サーバーのアクティビティとパフォーマンス、および発生の可能性があるすべての問題についてのフィードバックを取得することが必要です。サーバーのアクセス・ログは、サーバーによって処理されたすべてのリクエストを記録します。このアクセス・ログの場所と内容は、CustomLogディレクティブによって制御されます。LogFormatディレクティブを使用すると、ログの内容を選択して単純化できます。
アクセス・ロギングを構成して、リクエストおよびHTTPサーバーにアクセスするユーザーについての重要な情報を含めることができます。このポリシーは、アクセス・ロギングが有効であることを確認します。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| クリティカル | セキュリティ | HTTP Server | Oracle Application Server 10g(9.0.4.x)、Oracle Application Server 10gリリース2(10.1.2.x) | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | はい | アクセス・ロギングがHTTPサーバーに対して有効化されていません。 |
デフォルト
パラメータとそのデフォルト値
該当なし
デフォルトで除外されるオブジェクト
該当なし
違反の影響
アクセス・ログが存在しない場合、悪質な攻撃を監視する管理者の機能が使用できない可能性があります。
処理
HTTPサーバーのアクセス・ロギングを有効にします。
HTTPサーバーは、ディレクトリの索引を自動的に生成できます。IndexOptionsディレクティブを使用すると、この索引作成を構成できます。
このポリシーは、ディレクトリの索引作成が無効になっていることを検証します。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| クリティカル | セキュリティ | HTTP Server | Oracle Application Server 10g(9.0.4.x)、Oracle Application Server 10gリリース2(10.1.2.x) | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | はい | HTTPサーバー・ディレクトリの索引作成がonになっています。 |
デフォルト
パラメータとそのデフォルト値
該当なし
デフォルトで除外されるオブジェクト
該当なし
違反の影響
索引作成がonになっている場合、悪質なユーザーによって、ドキュメント・ルート・ディレクトリ内の制限付きのファイルおよびディレクトリが閲覧される可能性があります。
処理
ディレクトリ索引作成を無効にします。
HTTPサーバーには、SSL認証に使用される事前構成済ウォレットが付属しています。ssl.confファイルは、このウォレットを使用できるように、すでに構成されています。ウォレットの場所は、このファイル内でSSLWalletパラメータによって指定されます。デフォルトでは、このパラメータはewallet.p12ファイルを指定します。このファイルは、$ORACLE_HOME/Apache/Apache/conf/ssl.wlt/defaultディレクトリにあります。
このポリシーは、仮ウォレットがHTTPサーバーで使用されているかどうかをチェックします。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| クリティカル | セキュリティ | HTTP Server | Oracle Application Server 10g(9.0.4.x)、Oracle Application Server 10gリリース2(10.1.2.x) | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | はい | HTTPサーバーによって仮ウォレットが使用されています。 |
デフォルト
パラメータとそのデフォルト値
該当なし
デフォルトで除外されるオブジェクト
該当なし
違反の影響
Oracle提供の仮ウォレットを使用すると、サイトのセキュリティが大幅に損われる可能性があります。
処理
本番SSLロードでは、仮ウォレットを使用しないようにします。
このポリシーは、httpdバイナリがスーパーユーザーによって所有されておらず、suid bitが設定されていないことを検証します。
suid権限を持つバイナリは、ホストの特別な権限を取得するために利用される可能性があります。スーパーユーザーがhttpdバイナリを所有し、suid bitが設定されている場合は、悪意のあるユーザーがそのバイナリを利用して、ホストのスーパーユーザー権限を取得する可能性があります。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| クリティカル | セキュリティ | HTTP Server | Oracle Application Server 10g(9.0.4.x)、Oracle Application Server 10gリリース2(10.1.2.x) | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | はい | HTTPサーバーはrootに所有されており、setuid bitが設定されています。 |
デフォルト
パラメータとそのデフォルト値
該当なし
デフォルトで除外されるオブジェクト
該当なし
違反の影響
httpdの所有者がrootで、setuid bitが設定されていると、悪質なユーザーが、スーパーユーザーとしてシステムにアクセスする可能性があります。
処理
root以外のユーザーをhttpdバイナリの所有者にします。
opmn.xmlファイルに含まれているias-component要素は、Secure Socket Layer(SSL)の使用を有効または無効にするために使用されます。このファイルはORACLE_HOME/opmn/conf/opmn.xmlにあります。
このポリシーは、HTTPサーバー上でシングル・サインオン(SSO)に対してSecure Socket Layer(SSL)が有効になっているかどうかをチェックします。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| クリティカル | セキュリティ | HTTP Server | Oracle Application Server 10g(9.0.4.x)、Oracle Application Server 10gリリース2(10.1.2.x) | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | はい | HTTPサーバー上でSSOに対してSSLが有効になっていません。 |
デフォルト
パラメータとそのデフォルト値
該当なし
デフォルトで除外されるオブジェクト
該当なし
違反の影響
HTTPサーバー上でSSLが有効化されていない場合、悪質なユーザーによって、ユーザーが入力したユーザー名やパスワードが検出される可能性があります。
処理
ユーザー名およびパスワードを安全に送信するために、HTTPサーバー上でSSLを有効にします。
このポリシーは、所有者以外のユーザーがDocumentRootフォルダ内の書込み権限を持つかどうかをチェックします。
DocumentRootディレクティブは、HTTPサーバーによるファイル処理の起点となるディレクトリを設定します。Aliasなどのディレクティブと一致しないかぎり、サーバーはドキュメント・ルートにリクエストされたURLからのパスを追加して、ドキュメントへのパスを作成します。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| クリティカル | セキュリティ | HTTP Server | Oracle Application Server 10g(9.0.4.x)、Oracle Application Server 10gリリース2(10.1.2.x) | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | はい | HTTPサーバー上のドキュメント・ルート・フォルダに書込み可能なファイルがあります。 |
デフォルト
パラメータとそのデフォルト値
該当なし
デフォルトで除外されるオブジェクト
該当なし
違反の影響
悪質なユーザーによって、ドキュメント・ルート・ディレクトリの書込み可能ファイルが上書きされる可能性があります。
処理
ドキュメント・ルート・フォルダに、group writableまたはworld writableなファイルを含めないようにします。
