Oracle® Fusion Middleware Oracle Exalytics In-Memory Machineインストレーションおよび管理ガイドfor Linux Exalyticsソフトウェア・リリース2.0.0.0 for Exalytics X2-4、X3-4、X4-4およびX5-4 E64857-03 |
|
![]() 前 |
![]() 次 |
この章では、Exalytics Machineをハードニングする際に実行する作業について説明します。
Oracle Exalyticsリリース2のBase Imageは、Exalytics Hardeningスクリプト(STIGfix)にあらかじめインストールされています。
セキュリティ技術導入ガイド(STIG)は、アメリカ合衆国国防総省(DoD)の機関であるアメリカ国防情報システム局(DISA)により定められたセキュリティ構成標準です。
STIGfixスクリプトを使用して、Exalytics Machineを強化することで、STIG標準に準拠します。
この章の項目は次のとおりです。
次のようにして、Exalyticsハードニング・スクリプトを実行します。
rootユーザーとしてログオンします。
次のコマンドを入力します。
# /opt/exalytics/stigfix/bin/stigfix
次に、Exalytics MachineがSTIGガイドラインのコンプライアンスに準拠しているかどうかチェックします。
次のようにして、STIGコンプライアンスをチェックします。
次のリンクに移動します。
Linuxオペレーティング・システムに応じて、次のいずれかの手順を実行します。
Linux 5オペレーティング・システムでは、次の手順を実行します。
「SCAP 1.1 Content」セクションで、「Red Hat 5 STIG Benchmark - Version 1, Release 11」をクリックして、U_RedHat_5_V1R11_STIG_SCAP_1-1_Benchmark.zipファイルをダウンロードします。
RHEL5 STIGポリシーを使用してスキャンを実行するには、次のコマンドを実行します。
# export PATH=/usr/bin:/usr/sbin:$PATH
# oscap xccdf eval --results results-xccdf.xml --oval-results --cpe U_RedHat_5_V1R11_STIG_SCAP_1-1_Benchmark-cpe-dictionary.xml U_RedHat_5_V1R11_STIG_SCAP_1-1_Benchmark-xccdf.xml
oscapコマンドで生成される出力ファイルには、特定のテストがパスした、または失敗したことが示されます。
Linux 6オペレーティング・システムでは、次の手順を実行します。
「SCAP 1.1 Content」セクションで、「Red Hat 6 STIG Benchmark - Version 1, Release 11」をクリックして、U_RedHat_6_V1R7_STIG_SCAP_1-1_Benchmark.zipファイルをダウンロードします。
RHEL6 STIGポリシーを使用してスキャンを実行するには、次のコマンドを実行します。
# export PATH=/usr/bin:/usr/sbin:$PATH
# oscap xccdf eval --results results-xccdf.xml --oval-results --cpe U_RedHat_6_V1R7_STIG_SCAP_1-1_Benchmark-cpe-dictionary.xml U_RedHat_6_V1R7_STIG_SCAP_1-1_Benchmark-xccdf.xml
oscapコマンドで生成される出力ファイルには、特定のテストがパスした、または失敗したことが示されます。
詳細を表示するには、次のコマンドを入力します。
# oscap xccdf generate report --output results-xccdf.html results-xccdf.xml
スキャン・レポートが表示されます。
スキャン・レポートを確認して、テストがパスしたことを確認します。
出力は、次のようなものです。
Scan Report Introduction Test Result Result ID Profile Start time End time Benchmark Benchmark version xccdf_org.open-scap_testresult_default-profile (Default profile) 2015-04-10 12:16 2015-02-10 12:16 embedded 1 Target info Targets <name of the Exalytics Machine> Addresses 127.0.x.xx 10.242.xxx.xxx 0:0:0:0:0:0:0:x 2606:b400:2010:504d:210:e0ff:fe46:xxx fe80:0:0:0:210:e0ff:fe46:xxx Applicable platforms cpe:/o:redhat:enterprise_linux:5 Score system score max % bar urn:xccdf:scoring:default 80.79 100.00 80.79% Results overview Rule Results Summary pass fixed fail error not selected not checked not applicable informational unknown total 286 0 68 0 0 0 0 0 0 354 Title Result The system must require authentication upon booting into single-user and maintenance modes. pass The Department of Defense (DoD) login banner must be displayed immediately prior to, or as part of, console login prompts. fail The system must disable accounts after three consecutive unsuccessful login attempts. pass The root account must be the only account having a UID of 0. pass The root user's home directory must not be the root directory (/). pass The root account's home directory (other than /) must have mode 0700. pass
表9-1には、STIGfixスクリプトを実行して修正された脆弱性のリストを示します。
表9-1 STIGfixスクリプトによる修正済脆弱性のリスト
脆弱性ID | 説明 |
---|---|
GEN000000_LNX00380 |
Xserverでは、次のいずれのオプションも使用できません: -ac、-core (デバッグ以外)または-nolock |
GEN000000-LNX00440 |
/etc/security/access.confファイルには、モード0640以下の権限が必要です。 |
GEN000000-LNX00520 |
/etc/sysctl.confファイルには、モード0600以下の権限が必要です。 |
GEN000000-LNX00580 |
x86 CTRL-ALT-DELETEキー・シーケンスを無効にする必要があります。 |
GEN000020 |
システムには、単一ユーザーおよびメンテナンス・モードの起動時に認証が必要です。(CCE-4241-6) |
GEN000252 |
時間同期構成ファイル(/etc/ntp.confなど)には、モード0640以下の権限が必要です。 |
GEN000290-2 |
システムに不要な(news)アカウントを使用しないでください。 |
GEN000290-3 |
システムに不要な(gopher)アカウントを使用しないでください。 |
GEN000290-4 |
システムに不要な(ftp)アカウントを使用しないでください。 |
GEN000460 |
システムでは、3回連続してログインの試行が失敗した場合、アカウントを無効化する必要があります。 |
GEN000500_2 |
グラフィカル・デスクトップ環境では、アイドル・タイムアウトを15分以内に設定する必要があります。 注意: この脆弱性は、Linux 5オペレーティング・システムでのみ修正されています。Linux 6オペレーティング・システムでは、「Fail」ステータスを無視して構いません。 |
GEN000500_3 |
システムによって提供されるグラフィカル・デスクトップ環境では、自動ロックを有効化する必要があります。 |
GEN000540 |
ユーザーは、24時間の内に2回以上パスワードを変更できません。 |
GEN000560 |
システムでは、空またはnullのパスワードで構成されたアカウントを使用しないでください。 |
GEN000580 |
システムでは、少なくとも14文字を含むパスワードが必要です。 |
GEN000590 |
システムでは、アカウント・パスワード・ハッシュを生成するためのFIPS 140-2で承認された暗号化ハッシュ・アルゴリズムを使用する必要があります。 |
GEN000600 |
システムでは、パスワードに少なくとも1つの大文字のアルファベット文字を含める必要があります。 |
GEN000610 |
システムでは、パスワードに少なくとも1つの小文字のアルファベット文字を含める必要があります。 |
GEN000620 |
システムでは、パスワードに少なくとも1つの数字を含める必要があります。 |
GEN000640 |
システムでは、パスワードに少なくとも1つの特殊文字を含める必要があります。 |
GEN000680 |
システムでは、パスワードに3回までの連続した繰り返しの文字を含める必要があります。 |
GEN000700 |
ユーザー・パスワードは、少なくとも60日ごとに変更する必要があります。 |
GEN000750 |
システムには、パスワードの変更時に古いパスワードと新しいパスワードの間で少なくとも4つの文字を変更する必要があります。 |
GEN000800 |
システムでは、5回分のパスワードを繰り返し再利用するのを禁止する必要があります。 |
GEN000920 |
rootアカウントのホーム・ディレクトリ(/以外)には、モード0700が必要です。 |
GEN000940 |
rootアカウントの実行可能な検索パスは、ベンダーのデフォルトであり、絶対パスのみを含める必要があります。 |
GEN000980 |
システムでは、システム・コンソールからのログインを除き、rootアカウントによる直接ログインを防ぐ必要があります。 |
GEN001120 |
システムでは、sshなどのリモート・アクセス・プログラムを使用したrootログインを許可しないでください。 |
GEN001720 |
すべてのグローバル初期化ファイルには、モード0644以下の権限が必要です。 |
GEN002100 |
rhostsファイルをPAMでサポートしないでください。 |
GEN002560 |
システムおよびユーザーのデフォルトumaskには、077を指定してください |
GEN003060 |
cron.allowファイルが存在しない場合、デフォルトのシステム・アカウント(rootを除く)をcron.allowファイルにリストしないか、cron.denyファイルに含める必要があります。 |
GEN003080 |
crontabファイルには、モード0600以下の権限が必要で、cronスクリプト・ディレクトリには、モード0700以下の権限が必要です。 |
GEN003080-2 |
cronスクリプト・ディレクトリ内のファイルには、モード0700以下の権限が必要です。 |
GEN003200 |
cron.denyファイルには、モード0600以下の権限が必要です。 |
GEN003320 |
at.allowファイルが存在しない場合、デフォルトのシステム・アカウント(rootを除く)をat.allowファイルにリストしないか、at.denyファイルに含める必要があります。 |
GEN003609 |
システムでは、IPv4インターネット・コントロール・メッセージ・プロトコル(ICMP)のリダイレクト・メッセージを無視する必要があります。 |
GEN003610 |
システムでは、IPv4インターネット・コントロール・メッセージ・プロトコル(ICMP)のリダイレクトを送信しないでください。 |
GEN003740 |
xinetd構成ファイルには、モード0640以下の権限が必要です。 |
GEN003810 |
必要な場合を除き、portmapまたはrpcbindサービスを実行しないでください。 注意: この脆弱性は、Linux 5オペレーティング・システムでのみ修正されています。Linux 6オペレーティング・システムでは、「Fail」ステータスを無視して構いません。 |
GEN004000 |
tracerouteファイルには、モード0700以下の権限が必要です。 |
GEN004540 |
SMTPサービスのHELPコマンドを有効にしないでください。 |
GEN004580 |
システムでは、forwardファイルを使用しないでください。 |
GEN005040 |
すべてのFTPユーザーには、077のデフォルトumaskを指定する必要があります。 注意: この脆弱性は、Linux 5オペレーティング・システムでのみ修正されています。Linux 6オペレーティング・システムでは、「Fail」ステータスを無視して構いません。 |
GEN005320 |
snmpd.confファイルには、モード0600以下の権限が必要です。 |
GEN005390 |
/etc/syslog.confファイルには、モード0640以下の権限が必要です。 注意: この脆弱性は、Linux 5オペレーティング・システムでのみ修正されています。Linux 6オペレーティング・システムでは、「Fail」ステータスを無視して構いません。 |
GEN005501 |
SSHクライアントを構成して、SSHv2プロトコルのみを使用する必要があります。 |
GEN005505 |
SSHデーモンを構成して、FIPS 140-2で承認された暗号のみを使用する必要があります。 |
GEN005507 |
SSHデーモンを構成して、FIPS 140-2で承認された暗号化ハッシュ・アルゴリズムを使用するメッセージ認証コード(MAC)のみを使用する必要があります。 |
GEN005550 |
SSHデーモンを国防総省(DoD)ログオン・バナーで構成する必要があります。このファイルには、強化されたシステムにアクセスするユーザーに表示されるバナー・メッセージが含まれます。ユーザーは、STIGfixを適用する前にこのファイルを変更して企業ポリシーまたはバナー・メッセージを追加する必要があります。 |
GEN007020 |
必要な場合を除いて、SCTP (Stream Control Transmission Protocol)を無効にする必要があります。 |
GEN007080 |
必要な場合を除いて、DCCP (Datagram Congestion Control Protocol)を無効にする必要があります。 |
GEN007480 |
必要な場合を除いて、RDS (Reliable Datagram Sockets)プロトコルを無効にするか、インストールしないようにする必要があります。 |
GEN007540 |
TIPC (Transparent Inter-Process Communication)プロトコルを無効にするか、アンインストールする必要があります。 |
GEN007660 |
Bluetoothプロトコル・ハンドラを無効にするか、インストールしないようにする必要があります。 |
GEN008040 |
システムが認証またはアカウント情報にLDAPを使用している場合、システムではLDAPサーバーの証明書が取り消されていないことを確認する必要があります。 |
GEN008700 |
システム・ブート・ローダーには認証が必要です。 |