Oracle ACFSセキュリティ

Oracle ACFSセキュリティは、Oracle ACFSファイルシステムにレルムベースのセキュリティを提供します。それにより、ファイルシステム・オブジェクトへのアクセスを決定する、ユーザーおよびグループ用のセキュリティ・ポリシーを指定するレルムを作成することができます。このセキュリティ機能は、オペレーティング・システムが提供するアクセス制御の上の、より密なアクセス制御を提供します。Oracle ACFSセキュリティでは、暗号化機能を使用して、Oracle ACFSファイルシステムに保存されたレルム保護されたファイルの内容を保護することができます。

Oracle ACFSセキュリティはレルム、ルール、ルール・セット、コマンド・ルールを使用してセキュリティ・ポリシーを施行します。

Oracle ACFSセキュリティ・レルムは、ユーザーまたはユーザーのグループによるアクセスに対しセキュリティ保護されるファイルまたはディレクトリのグループです。レルムは密なアクセス制御を適用するルールのグループを含むルール・セットにより定義されます。Oracle ACFSセキュリティ・レルムは暗号化を可能にするコンテナとしても使用できます。
Oracle ACFSセキュリティ・ルールは、ルールが元にするシステム・パラメータに基づきtrueかfalseかを評価するブール式です。
Oracle ACFSルール・セットはルールの集合です。ルール・セットは、そこに含まれるルールの評価に基づき、TRUEまたはFALSEに評価されます。
Oracle ACFSコマンド・ルールはルール・セットへのファイルシステムの操作の関連付けです。たとえば、ルール・セットへのファイルシステムの作成、削除、または名前の変更操作の関連付けです。コマンド・ルールはOracle ACFSレルムと関連付けられます。

既存のオペレーティング・システム・ユーザーは最初のOracle ACFSセキュリティ管理者に指定され、既存のオペレーティング・システム・グループはセキュリティ管理者adminグループに指定される必要があります。セキュリティ管理者は指定されたセキュリティ・グループのメンバーである必要があります。追加のユーザーをセキュリティ管理者として指定することができます。Oracle ACFSセキュリティ管理者はレルムごとにOracle ACFSファイルシステムに対する暗号化を管理できます。Oracle ACFSセキュリティ管理者はセキュリティ・レルム・パスワードにより認証されます。ユーザーのオペレーティング・システム・パスワードではありません。

最初のセキュリティ管理者は、ルート・ユーザーが実行するacfsutil sec initコマンドによるOracle ACFSセキュリティの初期化中に作成されます。最初のセキュリティ管理者が作成されるときに、管理者にパスワードが割り当てられますが、これは管理者が変更できます。セキュリティ管理者がacfsutil secコマンドを実行するたびに、管理者はセキュリティ・パスワードを求められます。管理者のセキュリティ・レルム・パスワードは、セキュリティの初期化プロセス中に作成されるウォレットに保存されます。このウォレットは、Oracle Cluster Registry (OCR)に配置されます。

監査および診断データがOracle ACFSセキュリティ用に記録されます。ログ・ファイルには、実行したacfsutilコマンド、セキュリティまたはシステム管理者権限の使用、レルムの認可の確認障害などの実行時障害といった情報が含まれます。

レルム作成や暗号化の有効化などの監査イベントは、ファイルシステムで監査が有効になっていない場合のみ、これらのログ・ファイルに書き込まれます。監査が有効な場合、これらのイベントは監査証跡に書き込まれます。セキュリティおよび暗号化に関連する診断メッセージは、監査が有効であるかどうかにかかわらず、常にsec-hostname_fsid.logファイルに書き込まれます。Oracle ACFS監査の詳細は、「Oracle ACFS監査」を参照してください。

ログは次のファイルに書き込まれます。

mount_point/.Security/realm/logs/sec-hostname_fsid.log

このディレクトリはacfsutil sec prepareコマンドにより作成され、Oracle ACFSセキュリティにより保護されます。「acfsutil sec prepare」を参照してください。
GRID_HOME/log/hostname/acfs/security/acfssec.log

このファイルに記録されるメッセージは、acfsutil sec initなどの、特定のファイルシステムと関連付けられていないコマンドに対してのものです。このディレクトリはインストール中に作成され、ルート・ユーザーが所有します。

アクティブ・ログ・ファイルが事前に定義した最大サイズ(10MB)まで増大すると、ファイルは自動的にlog_file_name.bakに移動し、管理者に通知され、ログは通常のログ・ファイル名で継続します。管理者に通知されると、管理者はlog_file_name.bakファイルをアーカイブするか削除する必要があります。アクティブ・ログ・ファイルが最大サイズまで増大し、log_file_name.bakファイルが存在する場合は、バックアップ・ファイルが削除されるまでログは停止します。バックアップ・ファイルが削除されると、ログは自動的に再開します。

Oracle ACFSセキュリティは次のオブジェクトを認証されないアクセスから保護します。

レルム保護されたディレクトリおよびユーザー・ファイル

Oracle ACFSセキュリティにより保護されたファイルシステムに存在するディレクトリおよびファイル。
Oracle ACFSセキュリティ・ディレクトリ(mount_point/.Security)およびその内容

セキュリティ・ディレクトリには、プレーンテキスト形式のログ・ファイルとXML形式のセキュリティ・メタデータ・バックアップ・ファイルが含まれます。Oracle ACFSセキュリティにより生成されたログ・ファイルは、有効なOracle ACFSセキュリティ管理者のみがアクセスできます。
Oracle ACFSセキュリティ・オブジェクト

次のオブジェクトは、Oracle ACFSセキュリティを管理するのに使用されるセキュリティ・レルム、ルール、およびルール・セットです。

Oracle ACFSファイルシステムのセキュリティ・レルム内のファイルへのアクセスは、セキュリティ・レルムと、Linux上の権限(所有者、グループ、その他)およびWindows上のアクセス制御リスト(ACL)のような基礎となるオペレーティング・システムの権限の両方により認証される必要があります。レルム保護されたファイルへのそれぞれのアクセスは、まずセキュリティ・レルム認証でチェックされます。アクセスがセキュリティ・レルムにより認証されると、次にファイルへのアクセスが、基礎となるオペレーティング・システムのアクセス制御チェックにより確認されます。両方のチェックを通過すると、レルム保護されたファイルへのアクセスが許可されます。

Oracle ACFSセキュリティでの処理では次のことに注意してください。

Oracle ACFSセキュリティはネットワーク上に送信されたデータは保護しません。
レルム保護されたファイルのコピーは、そのコピーがレルム保護されたディレクトリで作成されないかぎり、レルム保護されません。

viエディタなど、アプリケーションによっては、ファイルが変更されるとファイルが再作成されるものがあります。変更されたファイルは一時ファイルとして保存され、元のファイルが削除され、一時ファイルがコピーされて、その名前として元のファイル名が使用されます。この処理では新しいファイルが作成されます。新しいファイルがレルム保護されたディレクトリに作成されると、レルムのセキュリティ・ポリシーが新しいファイルにも適用されます。新しいファイルがレルム保護されたディレクトリで作成されない場合は、新しいファイルはレルム保護されません。レルム保護されたファイルのコピーを計画している場合、親ディレクトリもセキュリティ・レルム保護されていることを確認する必要があります。

セキュリティ・ポリシーはレルム保護されたディレクトリで作成された一時ファイルにも適用されます。

LinuxでOracle ACFSセキュリティ機能を使用するには、ASMおよびADVMのディスク・グループの互換性属性が11.2.0.2以上に設定されていることが必要です。WindowsでOracle ACFSセキュリティ機能を使用するには、ASMおよびADVMのディスク・グループの互換性属性が11.2.0.3以上に設定されていることが必要です。ディスク・グループの互換性の詳細は、「ディスク・グループの互換性」を参照してください。

Oracle ACFSセキュリティおよびスナップショットの詳細は、「Oracle ACFSスナップショットについて」を参照してください。

Oracle ACFSファイルシステムのセキュリティ情報はV$ASM_ACFS_SECURITY_INFOビューに表示されます。V$ASM_ACFSビュー詳細は、「ビューを使用したOracle ACFS情報の表示」を参照してください。

Oracle ACFSファイルシステムのセキュリティを構成するには、「Oracle ACFSファイルシステムのセキュリティ保護」および「セキュリティ用のOracle ACFSコマンドライン・ツール」で説明している、acfsutil secコマンドライン機能を使用できます。また、「ASMCAによるOracle ACFSのセキュリティおよび暗号化の管理」で説明しているASMCAを使用できます。