| Oracle Enterprise Managerポリシー・リファレンス・マニュアル 10gリリース2(10.2) B28458-01 |
|
 戻る |
 次へ |
この章では、各リスナー・ポリシーについて、次の情報を提供します。
ポリシーの概要
ポリシーの主要プロパティのサマリー
ポリシーのデフォルト値: パラメータとそのデフォルト値、およびデフォルトでは除外されるオブジェクト
ポリシー違反の影響
違反が発生した際に実行する処理
リスナー・ポリシーは、次のように分類されます。
リスナー・ターゲットのUNIXのセキュリティ・ポリシーは、次のとおりです。
このポリシーは、一致するバージョン以上のクライアントからのログオンのみを、サーバーが許可することを確認します。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| 警告 | セキュリティ | リスナー | Oracleサーバー8以上 | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | はい | データベースはセキュアな状態ではありません。SQLNET.ALLOWED_LOGON_VERSIONパラメータが%version%に設定されています。 |
デフォルト
パラメータとそのデフォルト値
なし
デフォルトで除外されるオブジェクト
なし
違反の影響
sqlnet.oraでSQLNET.ALLOWED_LOGON_VERSIONパラメータをサーバーのバージョンより低く設定すると、比較的セキュアでない認証プロトコルが強制的にサーバーで使用されます。
処理
sqlnet.oraでSQLNET.ALLOWED_LOGON_VERSIONパラメータをサーバーのメジャー・バージョンに設定します。この値を古いバージョンに設定すると認証プロトコルに存在する脆弱性が公開される可能性があります。
このポリシーは、リスナーのデフォルト名が使用されていないことを確認します。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| 警告 | セキュリティ | リスナー | Oracleサーバー8以上 | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | はい | リスナーはセキュアでない状態にあります。リスナーのアドレスにデフォルト名が使用されています。 |
デフォルト
パラメータとそのデフォルト値
なし
デフォルトで除外されるオブジェクト
該当なし
違反の影響
リスナーにデフォルト名を使用すると、不正アクセスやDoS攻撃の危険性が増します。
処理
リスナーにデフォルト名(LISTENER)を使用しないようにします。
このポリシーは、リスナー構成の実行時変更が許可されていないことを確認します。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| クリティカル | セキュリティ | リスナー | Oracleサーバー8以上 | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | はい | リスナーはセキュアでない状態にあります。直接管理が有効になっています。 |
デフォルト
パラメータとそのデフォルト値
なし
デフォルトで除外されるオブジェクト
該当なし
違反の影響
悪意のあるユーザーが実行中のリスナーにアクセスできる場合は、lsnrctlプログラムを使用して実行時変更(SET操作など)を実行することが可能です。
処理
すべてのリスナーで直接管理を無効にします。listener.oraでADMIN_RESTRICTIONS_<listener_name>をONに設定します。
このポリシーは、リスナー・ログ・ファイルがOracleソフトウェアの所有者に所有されていることを確認します。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| 情報 | セキュリティ | リスナー | Oracleサーバー8以上 | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | はい | リスナーはセキュアでない状態にあります。リスナー・ログ・ファイル%file_name%は%file_owner%が所有しています。 |
デフォルト
パラメータとそのデフォルト値
該当なし
デフォルトで除外されるオブジェクト
該当なし
違反の影響
ログ・ファイルの情報から、ネットワークおよびデータベース接続に関する重要な詳細情報がわかる場合があります。ログ・ファイルがOracleソフトウェアの所有者に所有されていないと、この情報が一般に公開され、セキュリティに影響を与える可能性があります。
処理
Oracleソフトウェアの所有者を、リスナー・ログ・ファイルの所有者にします。
このポリシーは、パブリックからのリスナー・ログ・ファイルの読取りまたは書込みが不可能であることを確認します。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| 情報 | セキュリティ | リスナー | Oracleサーバー8以上 | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | はい | リスナーはセキュアでない状態にあります。リスナー・ログ・ファイル%file_name%には権限%file_permission%があります。 |
デフォルト
パラメータとそのデフォルト値
該当なし
デフォルトで除外されるオブジェクト
該当なし
違反の影響
ログ・ファイルの情報から、ネットワークおよびデータベース接続に関する重要な詳細情報がわかる場合があります。ログ・ファイルへのアクセスを許可すると、この情報が一般に公開され、セキュリティに影響を与える可能性があります。
処理
リスナー・ログ・ファイルの読取りまたは書込みの権限をパブリックに付与しないようにします。ファイル・アクセス権をOracleソフトウェア所有者とDBAグループに制限します。
このポリシーは、リスナー・ロギングが有効であることを確認します。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| 警告 | セキュリティ | リスナー | Oracleサーバー8以上 | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | はい | リスナーはセキュアでない状態にあります。ロギングは有効ではありません。 |
デフォルト
パラメータとそのデフォルト値
なし
デフォルトで除外されるオブジェクト
該当なし
違反の影響
リスナー・ロギングを使用しない場合、気付かないうちにリスナーが攻撃される可能性があります。
処理
LOG_STATUSパラメータをONに設定して、リスナー・ロギングを有効にします。
このポリシーは、リスナーへのアクセスがパスワードで保護されていることを確認します。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| 警告 | セキュリティ | リスナー | Oracleサーバー8以上 | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | はい | リスナーはセキュアでない状態にあります。リスナー%listener%は、パスワード保護を使用せずに実行されています。 |
デフォルト
パラメータとそのデフォルト値
なし
デフォルトで除外されるオブジェクト
該当なし
違反の影響
パスワード保護を使用していない場合、ユーザーはリスナーへのアクセスが可能です。リスナーにアクセスできると、リスナーの停止が可能になります。また、パスワードを設定して、他のユーザーがリスナーを管理できないようにすることも可能です。
処理
CHANGE_PASSWORDコマンドを使用して、すべてのリスナーをパスワード保護します。
このポリシーは、リスナー・トレース・ディレクトリが、Oracleソフトウェアの所有者に所有されている有効なディレクトリであることを確認します。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| 情報 | セキュリティ | リスナー | Oracleサーバー8以上 | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | はい | リスナーはセキュアでない状態にあります。リスナー・トレース・ディレクトリ%dir_name%は%dir_owner%が所有しています。 |
デフォルト
パラメータとそのデフォルト値
該当なし
デフォルトで除外されるオブジェクト
該当なし
違反の影響
トレース・ディレクトリがOracleソフトウェアの所有者に所有されていないと、このトレース・ファイルが一般に公開され、セキュリティに影響を与える可能性があります。
処理
Oracleソフトウェアの所有者を、リスナー・トレース・ファイルの所有者にします。
このポリシーは、リスナー・トレース・ディレクトリに対するパブリックからの読取りまたは書込みの権限がないことを確認します。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| 情報 | セキュリティ | リスナー | Oracleサーバー8以上 | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | はい | リスナーはセキュアでない状態にあります。リスナー・トレース・ディレクトリ%dir_name%には権限%dir_permission%があります。 |
デフォルト
パラメータとそのデフォルト値
該当なし
デフォルトで除外されるオブジェクト
該当なし
違反の影響
トレース・ディレクトリへのアクセスを許可すると、この情報が一般に公開され、セキュリティに影響を与える可能性があります。
処理
リスナー・トレース・ディレクトリに対して、パブリックからの読取りまたは書込みを許可しないようにします。このディレクトリの権限を、Oracleソフトウェアの所有者およびDBAグループに制限します。
このポリシーは、リスナー・トレース・ファイルの所有者がOracleソフトウェアの所有者と同じであることを確認します。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| 情報 | セキュリティ | リスナー | Oracleサーバー8以上 | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | はい | リスナーはセキュアでない状態にあります。リスナー・トレース・ファイル%file_name%は%file_owner%が所有しています。 |
デフォルト
パラメータとそのデフォルト値
該当なし
デフォルトで除外されるオブジェクト
該当なし
違反の影響
トレース・ファイルがOracleソフトウェアの所有者に所有されていないと、この情報が一般に公開され、セキュリティに影響を与える可能性があります。
処理
Oracleソフトウェアの所有者を、リスナー・トレース・ファイルの所有者にします。
このポリシーは、リスナー・トレース・ファイルにパブリックからアクセスできないことを確認します。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| 情報 | セキュリティ | リスナー | Oracleサーバー8以上 | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | はい | リスナーはセキュアでない状態にあります。リスナー・トレース・ファイル%file_name%には権限%file_permission%があります。 |
デフォルト
パラメータとそのデフォルト値
該当なし
デフォルトで除外されるオブジェクト
該当なし
違反の影響
トレース・ファイルへのアクセスを許可すると、この情報が一般に公開され、セキュリティに影響を与える可能性があります。
処理
リスナー・トレース・ファイルの読取りまたは書込みの権限をパブリックに付与しないようにします。ファイル・アクセス権をOracleソフトウェア所有者とDBAグループに制限します。
このポリシーは、listener.oraファイルの権限がOracleソフトウェアの所有者に制限されていることを確認します。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| 警告 | セキュリティ | リスナー | Oracleサーバー8以上 | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | はい | リスナーはセキュアでない状態にあります。listener.oraの権限はOracleセットに制限されていません |
デフォルト
パラメータとそのデフォルト値
なし
デフォルトで除外されるオブジェクト
該当なし
違反の影響
listener.oraファイルがパブリックから読取り可能な場合、このファイルからパスワードが抽出される可能性があります。このため、リスナー、データベースおよびアプリケーション構成に関する詳細情報が公開される可能性があります。また、パブリックからの書込み権限がある場合、悪質なユーザーがリスナーに設定されたパスワードを削除してしまう可能性があります。
処理
listener.oraに対する権限を、Oracleソフトウェア・インストールの所有者およびDBAグループに制限します。
このポリシーは、クライアント・ログ・ディレクトリがOracleセットに所有された有効なディレクトリであり、PUBLICロールには権限がないことを確認します。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| クリティカル | セキュリティ | リスナー | Oracleサーバー8以上 | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | はい | データベースはセキュアな状態ではありません。クライアント・ログ・ディレクトリ%dir_name%には権限%permissions%があります。 |
デフォルト
パラメータとそのデフォルト値
該当なし
デフォルトで除外されるオブジェクト
該当なし
違反の影響
ログ・ファイルでは、エラー・スタックに含まれる情報が提供されます。エラー・スタックは、Oracle通信スタックの各レイヤーによって作成された情報をネットワーク・エラーの結果として参照します。ログ・ファイルの情報から、ネットワークおよびデータベース接続に関する重要な詳細情報がわかる場合があります。ログ・ディレクトリへのアクセスを許可すると、ログ・ファイルが一般に公開される可能性があります。
処理
クライアント・ログ・ディレクトリは、パブリックに権限のないOracleセットに所有された有効なディレクトリにする必要があります。
このポリシーは、クライアント・ログ・ディレクトリがOracleセットに所有された有効なディレクトリであり、PUBLICロールには権限がないことを確認します。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| クリティカル | セキュリティ | リスナー | Oracleサーバー8以上 | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | はい | データベースはセキュアな状態ではありません。クライアント・ログ・ディレクトリ%dir_name%には権限%permissions%があります。 |
デフォルト
パラメータとそのデフォルト値
該当なし
デフォルトで除外されるオブジェクト
該当なし
違反の影響
ログ・ファイルでは、エラー・スタックに含まれる情報が提供されます。エラー・スタックは、Oracle通信スタックの各レイヤーによって作成された情報をネットワーク・エラーの結果として参照します。ログ・ファイルの情報から、ネットワークおよびデータベース接続に関する重要な詳細情報がわかる場合があります。ログ・ディレクトリへのアクセスを許可すると、ログ・ファイルが一般に公開される可能性があります。
処理
クライアント・ログ・ディレクトリは、パブリックに権限のないOracleセットに所有された有効なディレクトリにする必要があります。
このポリシーは、クライアント・トレース・ディレクトリがOracleセットに所有された有効なディレクトリであり、パブリックには権限がないことを確認します。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| クリティカル | セキュリティ | リスナー | Oracleサーバー8以上 | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | はい | データベースはセキュアな状態ではありません。クライアント・トレース・ディレクトリ%dir_name%には権限%permissions%があります。 |
デフォルト
パラメータとそのデフォルト値
該当なし
デフォルトで除外されるオブジェクト
該当なし
違反の影響
トレースにより、ネットワーク・イベントを実行時に記述する一連の詳細な文が作成されます。操作をトレースすると、Oracle Net Servicesのコンポーネントの内部操作に関して、ログ・ファイルよりも詳しい情報を取得できます。このファイルの情報から、ネットワークおよびデータベース接続に関する重要な詳細情報がわかる場合があります。ログ・ディレクトリへのアクセスを許可すると、ログ・ファイルが一般に公開される可能性があります。
処理
クライアント・トレース・ディレクトリは、パブリックに権限のないOracleセットに所有された有効なディレクトリにする必要があります。
このポリシーは、クライアント・トレース・ディレクトリがOracleセットに所有された有効なディレクトリであり、パブリックには権限がないことを確認します。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| クリティカル | セキュリティ | リスナー | Oracleサーバー8以上 | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | はい | データベースはセキュアな状態ではありません。クライアント・トレース・ディレクトリ%dir_name%には権限%permissions%があります。 |
デフォルト
パラメータとそのデフォルト値
該当なし
デフォルトで除外されるオブジェクト
該当なし
違反の影響
トレースにより、ネットワーク・イベントを実行時に記述する一連の詳細な文が作成されます。操作をトレースすると、Oracle Net Servicesのコンポーネントの内部操作に関して、ログ・ファイルよりも詳しい情報を取得できます。このファイルの情報から、ネットワークおよびデータベース接続に関する重要な詳細情報がわかる場合があります。ログ・ディレクトリへのアクセスを許可すると、ログ・ファイルが一般に公開される可能性があります。
処理
クライアント・トレース・ディレクトリは、パブリックに権限のないOracleセットに所有された有効なディレクトリにする必要があります。
このポリシーは、サーバー・ログ・ディレクトリがOracleセットに所有された有効なディレクトリであり、パブリックには権限がないことを確認します。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| クリティカル | セキュリティ | リスナー | Oracleサーバー8以上 | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | はい | データベースはセキュアな状態ではありません。サーバー・ログ・ディレクトリ%dir_name%には権限%permissions%があります。 |
デフォルト
パラメータとそのデフォルト値
該当なし
デフォルトで除外されるオブジェクト
該当なし
違反の影響
ログ・ファイルでは、エラー・スタックに含まれる情報が提供されます。エラー・スタックは、Oracle通信スタックの各レイヤーによって作成された情報をネットワーク・エラーの結果として参照します。ログ・ファイルの情報から、ネットワークおよびデータベース接続に関する重要な詳細情報がわかる場合があります。ログ・ディレクトリへのアクセスを許可すると、ログ・ファイルが一般に公開される可能性があります。
処理
サーバー・ログ・ディレクトリは、パブリックに権限のないOracleセットに所有された有効なディレクトリにする必要があります。
このポリシーは、サーバー・ログ・ディレクトリがOracleセットに所有された有効なディレクトリであり、パブリックには権限がないことを確認します。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| クリティカル | セキュリティ | リスナー | Oracleサーバー8以上 | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | はい | データベースはセキュアな状態ではありません。サーバー・ログ・ディレクトリ%dir_name%には権限%permissions%があります。 |
デフォルト
パラメータとそのデフォルト値
該当なし
デフォルトで除外されるオブジェクト
該当なし
違反の影響
ログ・ファイルでは、エラー・スタックに含まれる情報が提供されます。エラー・スタックは、Oracle通信スタックの各レイヤーによって作成された情報をネットワーク・エラーの結果として参照します。ログ・ファイルの情報から、ネットワークおよびデータベース接続に関する重要な詳細情報がわかる場合があります。ログ・ディレクトリへのアクセスを許可すると、ログ・ファイルが一般に公開される可能性があります。
処理
サーバー・ログ・ディレクトリは、パブリックに権限のないOracleセットに所有された有効なディレクトリにする必要があります。
このポリシーは、サーバー・トレース・ディレクトリがOracleセットに所有された有効なディレクトリであり、パブリックには権限がないことを確認します。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| クリティカル | セキュリティ | リスナー | Oracleサーバー8以上 | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | はい | データベースはセキュアな状態ではありません。サーバー・トレース・ディレクトリ%dir_name%には権限%permissions%があります。 |
デフォルト
パラメータとそのデフォルト値
該当なし
デフォルトで除外されるオブジェクト
該当なし
違反の影響
トレースにより、ネットワーク・イベントを実行時に記述する一連の詳細な文が作成されます。操作をトレースすると、Oracle Net Servicesのコンポーネントの内部操作に関して、ログ・ファイルよりも詳しい情報を取得できます。このファイルの情報から、ネットワークおよびデータベース接続に関する重要な詳細情報がわかる場合があります。ログ・ディレクトリへのアクセスを許可すると、ログ・ファイルが一般に公開される可能性があります。
処理
サーバー・トレース・ディレクトリは、パブリックに権限のないOracleセットに所有された有効なディレクトリにする必要があります。
このポリシーは、サーバー・トレース・ディレクトリがOracleセットに所有された有効なディレクトリであり、パブリックには権限がないことを確認します。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| クリティカル | セキュリティ | リスナー | Oracleサーバー8以上 | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | はい | データベースはセキュアな状態ではありません。サーバー・トレース・ディレクトリ%dir_name%には権限%permissions%があります。 |
デフォルト
パラメータとそのデフォルト値
該当なし
デフォルトで除外されるオブジェクト
該当なし
違反の影響
トレースにより、ネットワーク・イベントを実行時に記述する一連の詳細な文が作成されます。操作をトレースすると、Oracle Net Servicesのコンポーネントの内部操作に関して、ログ・ファイルよりも詳しい情報を取得できます。このファイルの情報から、ネットワークおよびデータベース接続に関する重要な詳細情報がわかる場合があります。ログ・ディレクトリへのアクセスを許可すると、ログ・ファイルが一般に公開される可能性があります。
処理
サーバー・トレース・ディレクトリは、パブリックに権限のないOracleセットに所有された有効なディレクトリにする必要があります。
このポリシーは、sqlnet.oraファイルにパブリックからアクセスできないことを確認します。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| クリティカル | セキュリティ | リスナー | Oracleサーバー8以上 | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | はい | リスナーはセキュアでない状態にあります。sqlnet.oraファイルには権限%permission%があります。 |
デフォルト
パラメータとそのデフォルト値
該当なし
デフォルトで除外されるオブジェクト
該当なし
違反の影響
sqlnet.oraファイルがパブリックから読取り可能な場合は、悪意のあるユーザーがこのファイルを読み取る可能性があり、その結果、機密情報が公開される可能性があります。たとえば、クライアントおよびサーバーのログやトレースの保存先情報などが公開される可能性があります。
処理
パブリックに対して、sqlnet.oraファイルのいずれの権限も付与しないようにします。
このポリシーは、listener.oraファイルで、リスナー・ホストがホスト名としてではなくIPアドレスとして指定されていることを確認します。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| 警告 | セキュリティ | リスナー | Oracleサーバー8以上 | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | はい | listener.oraでホストがIPアドレスとして指定されていません。 |
デフォルト
パラメータとそのデフォルト値
なし
デフォルトで除外されるオブジェクト
該当なし
違反の影響
セキュアでないドメイン・ネーム・システム(DNS)サーバーは、なりすまし攻撃に利用される可能性があります。ネーム・サーバーで障害が発生すると、リスナーでホストを解決できなくなります。
処理
listener.oraでホストをIPアドレスとして指定します。
Windowsのリスナー・ターゲットのセキュリティ・ポリシーは、次のとおりです。
このポリシーは、パブリックからのリスナー・ログ・ファイルの読取りまたは書込みが不可能であることを確認します。Windows NTベースのプラットフォームに対しては、DELETE、WRITE_DAC、WRITE_OWNER、CHANGE、ADDおよびFULLの権限はクリティカルと判断されます。ポリシーは、前述の権限を付与されたユーザーまたはユーザー・グループ数を示し、ユーザーとユーザー・グループをカッコ囲みでリストします。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| 情報 | セキュリティ | リスナー | Oracleサーバー8以上 | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | はい | リスナーはセキュアでない状態にあります。ユーザー%users%はリスナー・ログ・ファイル%file_name%に対する重要な権限を所有しています。 |
デフォルト
パラメータとそのデフォルト値
該当なし
デフォルトで除外されるオブジェクト
該当なし
違反の影響
ログ・ファイルの情報から、ネットワークおよびデータベース接続に関する重要な詳細情報がわかる場合があります。ログ・ファイルへのアクセスを許可すると、この情報が一般に公開され、セキュリティに影響を与える可能性があります。
処理
リスナー・ログ・ファイルの読取りまたは書込みの権限をパブリックに付与しないようにします。ファイル・アクセス権をOracleソフトウェア所有者とDBAグループに制限します。
このポリシーは、リスナー・トレース・ディレクトリに対するパブリックからの読取りまたは書込みの権限がないことを確認します。Windows NTベースのプラットフォームに対しては、DELETE、WRITE_DAC、WRITE_OWNER、CHANGE、ADDおよびFULLの権限はクリティカルと判断されます。ポリシーは、前述の権限を付与されたユーザーまたはユーザー・グループ数を示し、ユーザーとユーザー・グループをカッコ囲みでリストします。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| 情報 | セキュリティ | リスナー | Oracleサーバー8以上 | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | はい | リスナーはセキュアでない状態にあります。ユーザー%users%はリスナー・トレース・ディレクトリ%dir_name%に対する重要な権限を所有しています。 |
デフォルト
パラメータとそのデフォルト値
該当なし
デフォルトで除外されるオブジェクト
該当なし
違反の影響
トレース・ディレクトリへのアクセスを許可すると、この情報が一般に公開され、セキュリティに影響を与える可能性があります。
処理
リスナー・トレース・ディレクトリに対して、パブリックからの読取りまたは書込みを許可しないようにします。このディレクトリの権限を、Oracleソフトウェアの所有者およびDBAグループに制限します。
このポリシーは、リスナー・トレース・ファイルにパブリックからアクセスできないことを確認します。Windows NTベースのプラットフォームに対しては、DELETE、WRITE_DAC、WRITE_OWNER、CHANGE、ADDおよびFULLの権限はクリティカルと判断されます。ポリシーは、前述の権限を付与されたユーザーまたはユーザー・グループ数を示し、ユーザーとユーザー・グループをカッコ囲みでリストします。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| 情報 | セキュリティ | リスナー | Oracleサーバー8以上 | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | はい | リスナーはセキュアでない状態にあります。ユーザー%users%はリスナー・トレース・ファイル%file_name%に対する重要な権限を所有しています。 |
デフォルト
パラメータとそのデフォルト値
該当なし
デフォルトで除外されるオブジェクト
該当なし
違反の影響
トレース・ファイルへのアクセスを許可すると、この情報が一般に公開され、セキュリティに影響を与える可能性があります。
処理
リスナー・トレース・ファイルの読取りまたは書込みの権限をパブリックに付与しないようにします。ファイル・アクセス権をOracleソフトウェア所有者とDBAグループに制限します。
このポリシーは、listener.oraファイルの権限がOracleソフトウェアの所有者に制限されていることを確認します。Windows NTベースのプラットフォームに対しては、DELETE、WRITE_DAC、WRITE_OWNER、CHANGE、ADDおよびFULLの権限はクリティカルと判断されます。ポリシーは、前述の権限を付与されたユーザーまたはユーザー・グループ数を示し、ユーザーとユーザー・グループをカッコ囲みでリストします。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| 警告 | セキュリティ | リスナー | Oracleサーバー8以上 | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | はい | リスナーはセキュアでない状態にあります。listener.oraの権限はOracleセットに制限されていません |
デフォルト
パラメータとそのデフォルト値
なし
デフォルトで除外されるオブジェクト
該当なし
違反の影響
listener.oraファイルがパブリックから読取り可能な場合、このファイルからパスワードが抽出される可能性があります。このため、リスナー、データベースおよびアプリケーション構成に関する詳細情報が公開される可能性があります。また、パブリックからの書込み権限がある場合、悪質なユーザーがリスナーに設定されたパスワードを削除してしまう可能性があります。
処理
listener.oraに対する権限を、Oracleソフトウェア・インストールの所有者およびDBAグループに制限します。
このポリシーは、クライアント・ログ・ディレクトリがOracleセットに所有された有効なディレクトリであり、PUBLICロールには権限がないことを確認します。Windows NTベースのプラットフォームに対しては、DELETE、WRITE_DAC、WRITE_OWNER、CHANGE、ADDおよびFULLの権限はクリティカルと判断されます。ポリシーは、前述の権限を付与されたユーザーまたはユーザー・グループ数を示し、ユーザーとユーザー・グループをカッコ囲みでリストします。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| クリティカル | セキュリティ | リスナー | Oracleサーバー8以上 | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | はい | データベースはセキュアな状態ではありません。ユーザー%users%はクライアント・ログ・ディレクトリ%dir_name%に対する重要な権限を所有しています。 |
デフォルト
パラメータとそのデフォルト値
該当なし
デフォルトで除外されるオブジェクト
該当なし
違反の影響
ログ・ファイルでは、エラー・スタックに含まれる情報が提供されます。エラー・スタックは、Oracle通信スタックの各レイヤーによって作成された情報をネットワーク・エラーの結果として参照します。ログ・ファイルの情報から、ネットワークおよびデータベース接続に関する重要な詳細情報がわかる場合があります。ログ・ディレクトリへのアクセスを許可すると、ログ・ファイルが一般に公開される可能性があります。
処理
クライアント・ログ・ディレクトリは、パブリックに権限のないOracleセットに所有された有効なディレクトリにする必要があります。
このポリシーは、クライアント・トレース・ディレクトリがOracleセットに所有された有効なディレクトリであり、パブリックには権限がないことを確認します。Windows NTベースのプラットフォームに対しては、DELETE、WRITE_DAC、WRITE_OWNER、CHANGE、ADDおよびFULLの権限はクリティカルと判断されます。ポリシーは、前述の権限を付与されたユーザーまたはユーザー・グループ数を示し、ユーザーとユーザー・グループをカッコ囲みでリストします。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| クリティカル | セキュリティ | リスナー | Oracleサーバー8以上 | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | はい | データベースはセキュアな状態ではありません。ユーザー%users%はクライアント・トレース・ディレクトリ%dir_name%に対する重要な権限を所有しています。 |
デフォルト
パラメータとそのデフォルト値
該当なし
デフォルトで除外されるオブジェクト
該当なし
違反の影響
トレースにより、ネットワーク・イベントを実行時に記述する一連の詳細な文が作成されます。操作をトレースすると、Oracle Net Servicesのコンポーネントの内部操作に関して、ログ・ファイルよりも詳しい情報を取得できます。このファイルの情報から、ネットワークおよびデータベース接続に関する重要な詳細情報がわかる場合があります。ログ・ディレクトリへのアクセスを許可すると、ログ・ファイルが一般に公開される可能性があります。
処理
クライアント・トレース・ディレクトリは、パブリックに権限のないOracleセットに所有された有効なディレクトリにする必要があります。
このポリシーは、サーバー・ログ・ディレクトリがOracleセットに所有された有効なディレクトリであり、パブリックには権限がないことを確認します。Windows NTベースのプラットフォームに対しては、DELETE、WRITE_DAC、WRITE_OWNER、CHANGE、ADDおよびFULLの権限はクリティカルと判断されます。ポリシーは、前述の権限を付与されたユーザーまたはユーザー・グループ数を示し、ユーザーとユーザー・グループをカッコ囲みでリストします。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| クリティカル | セキュリティ | リスナー | Oracleサーバー8以上 | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | はい | データベースはセキュアな状態ではありません。ユーザー%users%はサーバー・ログ・ディレクトリ%dir_name%に対する重要な権限を所有しています。 |
デフォルト
パラメータとそのデフォルト値
該当なし
デフォルトで除外されるオブジェクト
該当なし
違反の影響
ログ・ファイルでは、エラー・スタックに含まれる情報が提供されます。エラー・スタックは、Oracle通信スタックの各レイヤーによって作成された情報をネットワーク・エラーの結果として参照します。ログ・ファイルの情報から、ネットワークおよびデータベース接続に関する重要な詳細情報がわかる場合があります。ログ・ディレクトリへのアクセスを許可すると、ログ・ファイルが一般に公開される可能性があります。
処理
サーバー・ログ・ディレクトリは、パブリックに権限のないOracleセットに所有された有効なディレクトリにする必要があります。
このポリシーは、サーバー・トレース・ディレクトリがOracleセットに所有された有効なディレクトリであり、パブリックには権限がないことを確認します。Windows NTベースのプラットフォームに対しては、DELETE、WRITE_DAC、WRITE_OWNER、CHANGE、ADDおよびFULLの権限はクリティカルと判断されます。ポリシーは、前述の権限を付与されたユーザーまたはユーザー・グループ数を示し、ユーザーとユーザー・グループをカッコ囲みでリストします。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| クリティカル | セキュリティ | リスナー | Oracleサーバー8以上 | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | はい | データベースはセキュアな状態ではありません。ユーザー%users%はサーバー・トレース・ディレクトリ%dir_name%に対する重要な権限を所有しています。 |
デフォルト
パラメータとそのデフォルト値
該当なし
デフォルトで除外されるオブジェクト
該当なし
違反の影響
トレースにより、ネットワーク・イベントを実行時に記述する一連の詳細な文が作成されます。操作をトレースすると、Oracle Net Servicesのコンポーネントの内部操作に関して、ログ・ファイルよりも詳しい情報を取得できます。このファイルの情報から、ネットワークおよびデータベース接続に関する重要な詳細情報がわかる場合があります。ログ・ディレクトリへのアクセスを許可すると、ログ・ファイルが一般に公開される可能性があります。
処理
サーバー・トレース・ディレクトリは、パブリックに権限のないOracleセットに所有された有効なディレクトリにする必要があります。
このポリシーは、sqlnet.oraファイルにパブリックからアクセスできないことを確認します。Windows NTベースのプラットフォームに対しては、DELETE、WRITE_DAC、WRITE_OWNER、CHANGE、ADDおよびFULLの権限はクリティカルと判断されます。ポリシーは、前述の権限を付与されたユーザーまたはユーザー・グループ数を示し、ユーザーとユーザー・グループをカッコ囲みでリストします。
ポリシー・サマリー
次の表に、ポリシーの主要プロパティを示します。
| 重大度 | カテゴリ | ターゲット・タイプ | 影響のあるバージョン | ポリシー・ルールの評価脚注 1 | 自動的に有効化されるか | アラート・メッセージ |
|---|---|---|---|---|---|---|
| クリティカル | セキュリティ | リスナー | Oracleサーバー8以上 | 基礎となるメトリックは、24時間に1度の頻度で収集を行います。 | はい | データベースはセキュアな状態ではありません。ユーザー%users%はsqlnet.oraファイルに対する重要な権限を所有しています。 |
デフォルト
パラメータとそのデフォルト値
該当なし
デフォルトで除外されるオブジェクト
該当なし
違反の影響
sqlnet.oraファイルがパブリックから読取り可能な場合は、悪意のあるユーザーがこのファイルを読み取る可能性があり、その結果、機密情報が公開される可能性があります。たとえば、クライアントおよびサーバーのログやトレースの保存先情報などが公開される可能性があります。
処理
パブリックに対して、sqlnet.oraファイルのいずれの権限も付与しないようにします。
