プライマリ・コンテンツに移動
Oracle® Fusion Middleware Oracle Exalytics In-Memory Machineインストレーションおよび管理ガイドfor Linux
Exalyticsソフトウェア・リリース2.0.0.0 for Exalytics X2-4、X3-4、X4-4およびX5-4
E64857-03
  目次へ移動
目次
索引へ移動
索引

前
 
次
 

9 Exalytics Machineのハードニング

この章では、Exalytics Machineをハードニングする際に実行する作業について説明します。

Oracle Exalyticsリリース2のBase Imageは、Exalytics Hardeningスクリプト(STIGfix)にあらかじめインストールされています。

セキュリティ技術導入ガイド(STIG)は、アメリカ合衆国国防総省(DoD)の機関であるアメリカ国防情報システム局(DISA)により定められたセキュリティ構成標準です。

STIGfixスクリプトを使用して、Exalytics Machineを強化することで、STIG標準に準拠します。

この章の項目は次のとおりです。

9.1 Exalyticsハードニング・スクリプトの実行

次のようにして、Exalyticsハードニング・スクリプトを実行します。

  1. rootユーザーとしてログオンします。

  2. 次のコマンドを入力します。

    # /opt/exalytics/stigfix/bin/stigfix

9.2 STIGコンプライアンスのチェック

次に、Exalytics MachineがSTIGガイドラインのコンプライアンスに準拠しているかどうかチェックします。

次のようにして、STIGコンプライアンスをチェックします。

  1. 次のリンクに移動します。

    http://iase.disa.mil/stigs/scap/Pages/index.aspx

  2. Linuxオペレーティング・システムに応じて、次のいずれかの手順を実行します。

    • Linux 5オペレーティング・システムでは、次の手順を実行します。

      1. 「SCAP 1.1 Content」セクションで、「Red Hat 5 STIG Benchmark - Version 1, Release 11」をクリックして、U_RedHat_5_V1R11_STIG_SCAP_1-1_Benchmark.zipファイルをダウンロードします。

      2. RHEL5 STIGポリシーを使用してスキャンを実行するには、次のコマンドを実行します。

        # export PATH=/usr/bin:/usr/sbin:$PATH

        # oscap xccdf eval --results results-xccdf.xml --oval-results --cpe U_RedHat_5_V1R11_STIG_SCAP_1-1_Benchmark-cpe-dictionary.xml U_RedHat_5_V1R11_STIG_SCAP_1-1_Benchmark-xccdf.xml

        oscapコマンドで生成される出力ファイルには、特定のテストがパスした、または失敗したことが示されます。

    • Linux 6オペレーティング・システムでは、次の手順を実行します。

      1. 「SCAP 1.1 Content」セクションで、「Red Hat 6 STIG Benchmark - Version 1, Release 11」をクリックして、U_RedHat_6_V1R7_STIG_SCAP_1-1_Benchmark.zipファイルをダウンロードします。

      2. RHEL6 STIGポリシーを使用してスキャンを実行するには、次のコマンドを実行します。

        # export PATH=/usr/bin:/usr/sbin:$PATH

        # oscap xccdf eval --results results-xccdf.xml --oval-results --cpe U_RedHat_6_V1R7_STIG_SCAP_1-1_Benchmark-cpe-dictionary.xml U_RedHat_6_V1R7_STIG_SCAP_1-1_Benchmark-xccdf.xml

        oscapコマンドで生成される出力ファイルには、特定のテストがパスした、または失敗したことが示されます。

  3. 詳細を表示するには、次のコマンドを入力します。

    # oscap xccdf generate report --output results-xccdf.html results-xccdf.xml

    スキャン・レポートが表示されます。

  4. スキャン・レポートを確認して、テストがパスしたことを確認します。

    出力は、次のようなものです。

    Scan Report
    Introduction
    Test Result
    Result ID       Profile         Start time      End time        Benchmark       Benchmark version
    xccdf_org.open-scap_testresult_default-profile     (Default profile) 
            2015-04-10 12:16        2015-02-10 12:16        embedded        1
    Target info
    Targets
    <name of the Exalytics Machine>
     
            Addresses
    127.0.x.xx
    10.242.xxx.xxx
    0:0:0:0:0:0:0:x
    2606:b400:2010:504d:210:e0ff:fe46:xxx
    fe80:0:0:0:210:e0ff:fe46:xxx
     
                    Applicable platforms
    cpe:/o:redhat:enterprise_linux:5
     
    Score
    system                                                   score            max           %                bar
    urn:xccdf:scoring:default               80.79             100.00          80.79%         
    Results overview
    Rule Results Summary
    pass    fixed   fail    error   not selected    not checked     not applicable  informational   unknown         total
    286     0       68      0       0       0       0       0       0       354
    Title                                                                   Result
    The system must require authentication upon booting into single-user and maintenance modes.                                                     pass
    The Department of Defense (DoD) login banner must be displayed immediately prior to, or as part of, console login prompts.                           fail
    The system must disable accounts after three consecutive unsuccessful login attempts.                                                              pass
    The root account must be the only account having a UID of 0.             pass
    The root user's home directory must not be the root directory (/).      pass
    The root account's home directory (other than /) must have mode 0700. pass
    

9.3 修正済脆弱性のリスト

表9-1には、STIGfixスクリプトを実行して修正された脆弱性のリストを示します。

表9-1 STIGfixスクリプトによる修正済脆弱性のリスト

脆弱性ID 説明

GEN000000_LNX00380

Xserverでは、次のいずれのオプションも使用できません: -ac、-core (デバッグ以外)または-nolock

GEN000000-LNX00440

/etc/security/access.confファイルには、モード0640以下の権限が必要です。

GEN000000-LNX00520

/etc/sysctl.confファイルには、モード0600以下の権限が必要です。

GEN000000-LNX00580

x86 CTRL-ALT-DELETEキー・シーケンスを無効にする必要があります。

GEN000020

システムには、単一ユーザーおよびメンテナンス・モードの起動時に認証が必要です。(CCE-4241-6)

GEN000252

時間同期構成ファイル(/etc/ntp.confなど)には、モード0640以下の権限が必要です。

GEN000290-2

システムに不要な(news)アカウントを使用しないでください。

GEN000290-3

システムに不要な(gopher)アカウントを使用しないでください。

GEN000290-4

システムに不要な(ftp)アカウントを使用しないでください。

GEN000460

システムでは、3回連続してログインの試行が失敗した場合、アカウントを無効化する必要があります。

GEN000500_2

グラフィカル・デスクトップ環境では、アイドル・タイムアウトを15分以内に設定する必要があります。

注意: この脆弱性は、Linux 5オペレーティング・システムでのみ修正されています。Linux 6オペレーティング・システムでは、「Fail」ステータスを無視して構いません。

GEN000500_3

システムによって提供されるグラフィカル・デスクトップ環境では、自動ロックを有効化する必要があります。

GEN000540

ユーザーは、24時間の内に2回以上パスワードを変更できません。

GEN000560

システムでは、空またはnullのパスワードで構成されたアカウントを使用しないでください。

GEN000580

システムでは、少なくとも14文字を含むパスワードが必要です。

GEN000590

システムでは、アカウント・パスワード・ハッシュを生成するためのFIPS 140-2で承認された暗号化ハッシュ・アルゴリズムを使用する必要があります。

GEN000600

システムでは、パスワードに少なくとも1つの大文字のアルファベット文字を含める必要があります。

GEN000610

システムでは、パスワードに少なくとも1つの小文字のアルファベット文字を含める必要があります。

GEN000620

システムでは、パスワードに少なくとも1つの数字を含める必要があります。

GEN000640

システムでは、パスワードに少なくとも1つの特殊文字を含める必要があります。

GEN000680

システムでは、パスワードに3回までの連続した繰り返しの文字を含める必要があります。

GEN000700

ユーザー・パスワードは、少なくとも60日ごとに変更する必要があります。

GEN000750

システムには、パスワードの変更時に古いパスワードと新しいパスワードの間で少なくとも4つの文字を変更する必要があります。

GEN000800

システムでは、5回分のパスワードを繰り返し再利用するのを禁止する必要があります。

GEN000920

rootアカウントのホーム・ディレクトリ(/以外)には、モード0700が必要です。

GEN000940

rootアカウントの実行可能な検索パスは、ベンダーのデフォルトであり、絶対パスのみを含める必要があります。

GEN000980

システムでは、システム・コンソールからのログインを除き、rootアカウントによる直接ログインを防ぐ必要があります。

GEN001120

システムでは、sshなどのリモート・アクセス・プログラムを使用したrootログインを許可しないでください。

GEN001720

すべてのグローバル初期化ファイルには、モード0644以下の権限が必要です。

GEN002100

rhostsファイルをPAMでサポートしないでください。

GEN002560

システムおよびユーザーのデフォルトumaskには、077を指定してください

GEN003060

cron.allowファイルが存在しない場合、デフォルトのシステム・アカウント(rootを除く)をcron.allowファイルにリストしないか、cron.denyファイルに含める必要があります。

GEN003080

crontabファイルには、モード0600以下の権限が必要で、cronスクリプト・ディレクトリには、モード0700以下の権限が必要です。

GEN003080-2

cronスクリプト・ディレクトリ内のファイルには、モード0700以下の権限が必要です。

GEN003200

cron.denyファイルには、モード0600以下の権限が必要です。

GEN003320

at.allowファイルが存在しない場合、デフォルトのシステム・アカウント(rootを除く)をat.allowファイルにリストしないか、at.denyファイルに含める必要があります。

GEN003609

システムでは、IPv4インターネット・コントロール・メッセージ・プロトコル(ICMP)のリダイレクト・メッセージを無視する必要があります。

GEN003610

システムでは、IPv4インターネット・コントロール・メッセージ・プロトコル(ICMP)のリダイレクトを送信しないでください。

GEN003740

xinetd構成ファイルには、モード0640以下の権限が必要です。

GEN003810

必要な場合を除き、portmapまたはrpcbindサービスを実行しないでください。

注意: この脆弱性は、Linux 5オペレーティング・システムでのみ修正されています。Linux 6オペレーティング・システムでは、「Fail」ステータスを無視して構いません。

GEN004000

tracerouteファイルには、モード0700以下の権限が必要です。

GEN004540

SMTPサービスのHELPコマンドを有効にしないでください。

GEN004580

システムでは、forwardファイルを使用しないでください。

GEN005040

すべてのFTPユーザーには、077のデフォルトumaskを指定する必要があります。

注意: この脆弱性は、Linux 5オペレーティング・システムでのみ修正されています。Linux 6オペレーティング・システムでは、「Fail」ステータスを無視して構いません。

GEN005320

snmpd.confファイルには、モード0600以下の権限が必要です。

GEN005390

/etc/syslog.confファイルには、モード0640以下の権限が必要です。

注意: この脆弱性は、Linux 5オペレーティング・システムでのみ修正されています。Linux 6オペレーティング・システムでは、「Fail」ステータスを無視して構いません。

GEN005501

SSHクライアントを構成して、SSHv2プロトコルのみを使用する必要があります。

GEN005505

SSHデーモンを構成して、FIPS 140-2で承認された暗号のみを使用する必要があります。

GEN005507

SSHデーモンを構成して、FIPS 140-2で承認された暗号化ハッシュ・アルゴリズムを使用するメッセージ認証コード(MAC)のみを使用する必要があります。

GEN005550

SSHデーモンを国防総省(DoD)ログオン・バナーで構成する必要があります。このファイルには、強化されたシステムにアクセスするユーザーに表示されるバナー・メッセージが含まれます。ユーザーは、STIGfixを適用する前にこのファイルを変更して企業ポリシーまたはバナー・メッセージを追加する必要があります。

GEN007020

必要な場合を除いて、SCTP (Stream Control Transmission Protocol)を無効にする必要があります。

GEN007080

必要な場合を除いて、DCCP (Datagram Congestion Control Protocol)を無効にする必要があります。

GEN007480

必要な場合を除いて、RDS (Reliable Datagram Sockets)プロトコルを無効にするか、インストールしないようにする必要があります。

GEN007540

TIPC (Transparent Inter-Process Communication)プロトコルを無効にするか、アンインストールする必要があります。

GEN007660

Bluetoothプロトコル・ハンドラを無効にするか、インストールしないようにする必要があります。

GEN008040

システムが認証またはアカウント情報にLDAPを使用している場合、システムではLDAPサーバーの証明書が取り消されていないことを確認する必要があります。

GEN008700

システム・ブート・ローダーには認証が必要です。