ここでのトピック:
セキュリティ技術導入ガイドについて学習します。
セキュリティ技術導入ガイド(STIG)は、コンピュータ・システムおよびネットワークの攻撃対象となる面を減らすために米国国防総省(DOD)の求める手法であり、これにより、DODのネットワークに格納されている機密性の高い情報の封鎖を確実にします。STIGにより、DODの情報保証(IA)、およびIAが有効なデバイスやシステムのセキュアな構成の標準が提供されます。STIGは、国防情報システム局(DISA)によって作成されています。
10年以上の間、オラクル社はDODと緊密に協働しながら、次のような様々な中核的なOracle製品およびテクノロジに対する、増加するSTIGのリストを開発、発行およびメンテナンスしてきました。
Oracle Database
Oracle Solaris
Oracle Linux
Oracle WebLogic
STIGが更新されると、オラクル社は、製品のセキュリティを改善する次のような新しい方法を確認するため、最新の推奨事項を分析します。
STIGの将来のアップデートに追加される新しい、革新的なセキュリティ機能の実装
STIGの推奨事項の評価や実装を自動化する機能の提供
Oracle Audit Vault and Database FirewallでSTIGルールを使用可能にした後は、アップグレードを実行した場合に設定が保持されます。
STIGの推奨事項に基づく、「即時利用可能」なセキュリティ構成設定の改善
STIGの推奨事項
Oracle Audit Vault Serverは、高度にチューニングされテストされたソフトウェア・アプライアンスです。このサーバーにインストールされた追加のソフトウェアによって、動作が不安定になる場合があります。そのため、Oracle Audit Vault Serverにはソフトウェアをインストールしないことをお薦めします。ウイルスをスキャンする必要がある場合は、できるかぎり外部のスキャナを使用してください。
次に、外部スキャナを使用できず、Audit Vault Serverにアンチウイルスがインストールされている場合の例を示します。
問題がある場合は、トラブルシューティングを有効にするために、アンチウイルス・ソフトウェアをアンインストールしてください。
問題がなく、Oracle Audit Vault and Database Firewallに適用する新しいバンドル・パッチがある場合、Oracleサポートでは、ウイルス対策ソフトウェアをアンインストールし、パッチを適用した後、Oracle Audit Vault Serverでウイルス対策ソフトウェアを再インストールするよう求める場合があります。これによって、パッチを適用した後のいくつかの問題を回避できます。
問題はないが、アンチウイルス・スキャナによってウイルスまたはマルウェアが検出された場合は、アンチウイルス・スキャナのベンダーに連絡して、検出結果が正しいかどうかを確認してください。
アンチウイルス・ソフトウェアを前もって削除しておらず、バンドル・パッチ・アップグレードが失敗した場合は、Oracle Audit Vault and Database Firewallをフレッシュ・インストールし、続いてバンドル・パッチ・アップグレードを実行してください。これを行ってから、アンチウイルス・スキャナをインストールしてください。
オラクル社が指示した手順に従っても、アンチウイルス・スキャナを完全にアンインストールできず、バンドル・パッチ・アップグレードが失敗する場合は、アンチウイルスのベンダーにソフトウェアを完全に削除する方法を問い合せてください。これが完了してから、Oracle Audit Vault and Database Firewallバンドル・パッチをインストールしてください。インストールが失敗した場合、クリーン・インストールが保証されます。
厳密モードを有効にすることで、Oracle Audit Vault and Database FirewallでSTIGルールを有効にできます。
Oracle Audit Vault and Database FirewallでSTIGルールを有効化する方法を学習します。
厳密モードを有効にするには:
オラクル社は、米国国防総省のセキュリティ技術導入ガイド(STIG)の推奨事項をサポートする、セキュリティを強化した構成のOracle Audit Vault and Database Firewallを開発しています。
表F-1は、STIG推奨事項の3つの脆弱性のカテゴリをリストしています。
表F-1 脆弱性のカテゴリ
カテゴリ | 説明 |
---|---|
CAT I |
その搾取により、直接的および即時的に機密性、可用性または整合性の損失がもたらされる、任意の脆弱性。 |
CAT II |
その搾取により、潜在的に機密性、可用性または整合性の損失がもたらされる、任意の脆弱性。 |
CAT III |
その存在により、機密性、可用性または整合性の損失に対する保護対策が損われる、任意の脆弱性。 |
Oracle Audit Vault and Database FirewallでのデータベースのSTIGルールの現在の実装について学習します。
表F-2は、Oracle Audit Vault and Database FirewallでのデータベースのSTIGルールの現在の実装を示しています。
表F-2 データベースのSTIGルールの現在の実装
STIG ID | タイトル | 重大度 | スクリプトでの対応 | ドキュメントでの対応 | 必要なアクション | 実装済 | ノート |
---|---|---|---|---|---|---|---|
DG0004-ORACLE11 |
DBMSアプリケーション・オブジェクトの所有者アカウント |
CAT II |
不要 |
不要 |
なし |
いいえ |
アプリケーション・オブジェクトの所有者アカウント |
DG0008-ORACLE11 |
DBMSアプリケーション・オブジェクトの所有権 |
不要 |
不要 |
可能 |
不要 |
いいえ |
詳細は、「DG0008-ORACLE11 STIGルール」を参照してください。 |
DG0014-ORACLE11 |
DBMSのデモおよびサンプル・データベース |
CAT II |
不要 |
不要 |
なし |
いいえ |
すべてのデフォルトのデモおよびサンプル・データベースのオブジェクトが削除されています。 |
DG0071-ORACLE11 |
DBMSのパスワード変更の多様性 |
CAT II |
不要 |
不要 |
不要 |
いいえ |
現在はサポートされていません |
DG0073-ORACLE11 |
DBMSの失敗したログイン・アカウントのロック |
CAT II |
可能 |
不要 |
不要 |
いいえ |
|
DG0075-ORACLE11 |
DBMSの外部データベースへのリンク |
CAT II |
不要 |
可能 |
不要 |
いいえ |
詳細は、「DG0075-ORACLE11、DO0250-ORACLE11 STIGルール」を参照してください。 |
DG0077-ORACLE11 |
共有システムでの本番データの保護 |
CAT II |
不要 |
不要 |
なし |
いいえ |
なし |
DG0116-ORACLE11 |
DBMSの特権ロールの割当て |
CAT II |
可能 |
可能 |
不要 |
いいえ |
|
DG0117-ORACLE11 |
DBMSの管理者特権の割当て |
CAT II |
不要 |
不要 |
不要 |
いいえ |
現在はサポートされていません |
DG0121-ORACLE11 |
DBMSのアプリケーション・ユーザー特権の割当て |
CAT II |
不要 |
不要 |
不要 |
いいえ |
現在はサポートされていません |
DG0123-ORACLE11 |
DBMSの管理データ・アクセス |
CAT II |
不要 |
不要 |
不要 |
いいえ |
現在はサポートされていません |
DG0125-ORACLE11 |
DBMSのアカウント・パスワードの有効期限 |
CAT II |
可能 |
不要 |
不要 |
いいえ |
|
DG0126-ORACLE11 |
DBMSのアカウント・パスワードの再利用 |
CAT II |
不要 |
不要 |
なし |
いいえ |
Oracle Audit Vault and Database Firewallでは、パスワードの再利用は許可されていません。 |
DG0128-ORACLE11 |
DBMSのデフォルトのパスワード |
CAT I |
可能 |
不要 |
不要 |
いいえ |
アカウント |
DG0133-ORACLE11 |
DBMSのアカウント・ロック時間 |
CAT II |
可能 |
不要 |
不要 |
いいえ |
なし |
DG0141-ORACLE11 |
DBMSのアクセス制御のバイパス |
CAT II |
可能 |
不要 |
不要 |
いいえ |
ユーザーは、次のイベントの監査にスクリプトを使用できます。
|
DG0142-ORACLE11 |
DBMSの特権アクションの監査 |
CAT II |
不要 |
不要 |
なし |
いいえ |
なし |
DG0192-ORACLE11 |
DBMSのリモート・アクセスの完全修飾名 |
CAT II |
可能 |
不要 |
不要 |
いいえ |
現在はサポートされていません |
DO0231-ORACLE11 |
Oracleアプリケーション・オブジェクトの所有者の表領域 |
CAT II |
不要 |
不要 |
不要 |
いいえ |
現在はサポートされていません |
DO0250-ORACLE11 |
Oracleデータベースのリンクの使用方法 |
CAT II |
不要 |
可能 |
不要 |
いいえ |
詳細は、「DG0075-ORACLE11、DO0250-ORACLE11 STIGルール」を参照してください。 |
DO0270-ORACLE11 |
OracleのREDOログ・ファイルの可用性 |
CAT II |
不要 |
不要 |
不要 |
いいえ |
現在はサポートされていません |
DO0350-ORACLE11 |
Oracleのシステム特権の割当て |
CAT II |
不要 |
不要 |
不要 |
いいえ |
現在はサポートされていません |
DO3475-ORACLE11 |
制限されたパッケージへのOracle |
CAT II |
不要 |
不要 |
不要 |
いいえ |
現在はサポートされていません |
DO3536-ORACLE11 |
Oracle |
CAT II |
可能 |
不要 |
不要 |
いいえ |
なし |
DO3540-ORACLE11 |
Oracle |
CAT II |
不要 |
不要 |
なし |
いいえ |
パラメータ |
DO3609-ORACLE11 |
WITH ADMIN OPTIONで付与されたシステム権限 |
CAT II |
不要 |
不要 |
不要 |
いいえ |
現在はサポートされていません |
DO3610-ORACLE11 |
Oracle最小オブジェクトの監査 |
CAT II |
不要 |
不要 |
不要 |
いいえ |
現在はサポートされていません |
DO3689-ORACLE11 |
Oracleオブジェクトの権限のPUBLICへの割当て |
CAT II |
不要 |
不要 |
不要 |
いいえ |
現在はサポートされていません |
DO3696-ORACLE11 |
Oracle RESOURCE_LIMITパラメータ |
CAT II |
不要 |
不要 |
不要 |
いいえ |
現在はサポートされていません |
O121-BP-021900 |
Oracle |
CAT I |
不要 |
不要 |
不要 |
可能 |
なし |
O121-BP-022000 |
Oracle |
CAT I |
不要 |
不要 |
不要 |
可能 |
なし |
O121-BP-022700 |
|
CAT I |
不要 |
不要 |
不要 |
可能 |
なし |
O121-C1-004500 |
DBA OSアカウントには、DBMSの管理に必要なホスト・システム権限のみが付与されていなければなりません。 |
CAT I |
不要 |
不要 |
不要 |
可能 |
Audit Vault and Database Firewallでは、OracleユーザーのみがSYSDBAとしてデータベースに接続できます。Oracleユーザーには必要な権限のみが付与されます。 |
O121-C1-011100 |
Oracleソフトウェアは、新しく検出された脆弱性に関して評価され、パッチ適用されていなければなりません。 |
CAT I |
不要 |
不要 |
不要 |
いいえ |
Audit Vault and Database Firewallリリースの四半期ごとのバンドル・パッチを適用して、Audit Vault ServerおよびDatabase Firewall上のOS、DBおよびJavaにパッチを適用してください。 |
O121-C1-015000 |
DBMSのデフォルト・アカウントには、カスタム・パスワードが割り当てられていなければなりません。 |
CAT I |
可能 |
不要 |
不要 |
可能 |
DVSYSには、製品のカスタム・パスワードが割り当てられます。他のユーザーには、STIGスクリプトによってパスワードが割り当てられます。 |
O121-C1-015400 |
DBMSは、PKIベースの認証を使用するときに、対応する秘密キーへの認可されたアクセスを強制しなければなりません。 |
CAT I |
不要 |
不要 |
不要 |
可能 |
なし |
O121-C1-019700 |
DBMSは、送信データが別の物理的な手段で保護されていないかぎり、暗号メカニズムを採用して送信中の情報の不正な開示を避けなければなりません。 |
CAT I |
不要 |
不要 |
不要 |
可能 |
Audit Vault Serverのsqlnet.oraに次の暗号化アルゴリズムのリストが設定されています: SQLNET.ENCRYPTION_TYPES_SERVER = (AES256,AES192,AES128)。エージェントとAudit Vault Server間の通信は暗号化されています。 |
O121-N1-015601 |
アプリケーションは、認証プロセス中の認証情報のフィードバックを隠蔽して、起こり得る搾取や未認可の個人による使用から情報を保護しなければなりません。 |
CAT I |
不要 |
不要 |
不要 |
可能 |
Audit Vault and Database Firewallのすべてのパスワードは、Oracleウォレットに格納されているか、データベースで暗号化されています。すべてのパスワードは暗号化されたチャネルを介して送信されます。 |
O121-N1-015602 |
プレーン・テキストのパスワードを受け入れるOracle SQL*Plusなどのコマンドライン・ツールを使用する場合、ユーザーはパスワードが公開されない代替のログイン方法を使用しなければなりません。 |
CAT I |
不要 |
不要 |
不要 |
完全には準拠できません。 |
Audit Vault and Database FirewallにはAVCLIコマンドライン・インタフェースがあります。パスワードをクリア・テキストで問題なく入力できます。しかし、AVCLIにはパスワードがクリア・テキストで公開されない代替のログイン手段も用意されています。 |
O121-OS-004600 |
DBMSソフトウェアのインストール・アカウントの使用は、DBMSソフトウェアのインストールのみに制限されていなければなりません。 |
CAT I |
不要 |
不要 |
不要 |
可能 |
なし |
O121-BP-021300 |
Oracleのインスタンス名にOracleのバージョン番号を含めてはなりません。 |
CAT II |
不要 |
不要 |
不要 |
可能 |
なし |
O121-BP-021400 |
固定ユーザー・リンクとパブリック・データベース・リンクは、使用を認可されていなければなりません。 |
CAT II |
不要 |
「ノート」を参照してください。 |
不要 |
いいえ |
|
O121-BP-022100 |
SQL92_SECURITYパラメータは、TRUEに設定されていなければなりません。 |
CAT II |
不要 |
不要 |
不要 |
可能 |
なし |
O121-BP-022200 |
Oracle |
CAT II |
不要 |
不要 |
不要 |
可能 |
なし |
O121-BP-022300 |
|
CAT II |
不要 |
不要 |
不要 |
可能 |
なし |
O121-BP-022400 |
|
CAT II |
不要 |
不要 |
不要 |
可能 |
なし |
O121-BP-022500 |
|
CAT II |
不要 |
不要 |
不要 |
可能 |
なし |
O121-BP-022600 |
|
CAT II |
不要 |
不要 |
不要 |
可能 |
なし |
O121-BP-022800 |
アプリケーション・ロール権限をOracle |
CAT II |
不要 |
不要 |
不要 |
可能 |
なし |
O121-BP-023000 |
中間層のWebおよびアプリケーション・システムによるOracle DBMSへの接続は、データベース、Web、アプリケーション、エンクレーブおよびネットワークの要件に従って保護、暗号化および認証されていなければなりません。 |
CAT II |
不要 |
不要 |
不要 |
可能 |
なし |
O121-BP-023200 |
未認可のデータベース・リンクを定義してアクティブ状態のままにしてはなりません。 |
CAT II |
不要 |
「ノート」を参照してください。 |
不要 |
いいえ |
|
O121-BP-023600 |
認可されたシステム・アカウントのみが |
CAT II |
不要 |
不要 |
不要 |
可能 |
なし |
O121-BP-023900 |
Oracle |
CAT II |
不要 |
不要 |
不要 |
可能 |
なし |
O121-BP-025200 |
DBMSがリモートのデータベースまたはアプリケーションにアクセスするために保存して使用する資格証明は、認可され、認可されたユーザーのみに制限されていなければなりません。 |
CAT II |
不要 |
「ノート」を参照してください。 |
不要 |
いいえ |
|
O121-BP-025700 |
DBMSのデータ・ファイルは、個々のアプリケーションのサポート専用でなければなりません。 |
CAT II |
不要 |
不要 |
不要 |
可能 |
なし |
O121-BP-025800 |
構成オプションの変更は、監査されていなければなりません。 |
CAT II |
不要 |
不要 |
不要 |
可能 |
なし |
O121-BP-026600 |
ネットワーク・クライアントの接続は、サポートされているバージョンのみに制限されていなければなりません。 |
CAT II |
不要 |
不要 |
不要 |
可能 |
Audit Vault Serverのsqlnet.oraに次のパラメータが設定されています: |
O121-C2-002100 |
アカウントが非アクティブだった期間が35日を超えた場合は、DBMSが自動的にアカウントを無効化しなければなりません。 |
CAT II |
可能 |
不要 |
不要 |
いいえ |
なし |
O121-C2-003000 |
DBMSは、任意アクセス制御(DAC)ポリシーを強制して、ユーザーが指定した個人、個人のグループまたはその両方によって共有を指定および制御したり、アクセス権の伝播を制限したり、単一ユーザーの粒度へのアクセスを包含または除外したりできるようにしなければなりません。 |
CAT II |
不要 |
不要 |
不要 |
可能 |
なし |
O121-C2-003400 |
DBMSのプロセスまたはサービスをカスタムの専用OSアカウントで実行しなければなりません。 |
CAT II |
不要 |
不要 |
不要 |
可能 |
なし |
O121-C2-003600 |
1つのデータベース接続構成ファイルですべてのデータベース・クライアントを構成してはなりません。 |
CAT II |
不要 |
不要 |
不要 |
可能 |
なし |
O121-C2-004900 |
DBMSは、アカウントのロックアウトが管理者によってリセットされるまで続くことを確認しなければなりません。 |
CAT II |
Audit Vault and Database Firewall 12.2.0.1.0のSTIGスクリプトで対応されています。 |
不要 |
不要 |
いいえ |
なし |
O121-C2-006700 |
任意アクセス制御(DAC)を利用するDBMSは、単一ユーザーの粒度へのアクセスを包含または排除するポリシーを強制しなければなりません。 |
CAT II |
不要 |
不要 |
不要 |
可能 |
なし |
O121-C2-006900 |
DBMSは、指定された組織担当者がデータベースによって監査される可能性があるイベントを選択できるようにしなければなりません。 |
CAT II |
不要 |
不要 |
不要 |
可能 |
なし |
O121-C2-011500 |
デフォルトのデモンストレーション、サンプル・データベース、データベース・オブジェクトおよびアプリケーションは、削除されていなければなりません。 |
CAT II |
不要 |
不要 |
不要 |
可能 |
なし |
O121-C2-011600 |
未使用のデータベース・コンポーネント、DBMSソフトウェアおよびデータベース・オブジェクトは、削除されていなければなりません。 |
CAT II |
不要 |
不要 |
不要 |
可能 |
なし |
O121-C2-011700 |
DBMSに統合され、アンインストールできない未使用のデータベース・コンポーネントは、無効にされていなければなりません。 |
CAT II |
不要 |
不要 |
不要 |
可能 |
なし |
O121-C2-013800 |
DBMSは、組織によって設定された定義済の非アクティブ期間が経過したユーザー・アカウントを無効化するという組織要件をサポートしなければなりません。 |
CAT II |
可能 |
不要 |
不要 |
いいえ |
なし |
O121-C2-014600 |
DBMSは、パスワードの保存時に暗号化を強制するという組織要件をサポートしなければなりません。 |
CAT II |
不要 |
不要 |
不要 |
可能 |
なし |
O121-C2-015100 |
DBMSのパスワードを、コンパイル、エンコードまたは暗号化されたバッチ・ジョブ、あるいはコンパイル、エンコードまたは暗号化されたアプリケーション・ソース・コードに保存してはなりません。 |
CAT II |
不要 |
不要 |
不要 |
可能 |
なし。 |
O121-C2-015200 |
DBMSは、パスワードの最大存続期間の制限を強制しなければなりません。 |
CAT II |
可能 |
不要 |
不要 |
いいえ |
なし |
ノート:
DBリンクの使用については、Audit Vault and Database Firewall 12.2.0.1.0のSTIGドキュメントにすでに記載されています。
STIG IDに関するその他のノートは、表F-2にあります。
Audit Vault Serverでのオブジェクト所有者のアカウントは次のとおりです。
AVSYS
APEX_040100
MANAGEMENT
AVRULEOWNER
SECURELOG
AVREPORTUSER
Database Firewallでのオブジェクト所有者のアカウントは次のとおりです。
APEX_040100
MANAGEMENT
SECURELOG
Oracle Audit Vault Serverで使用されるデータベース・リンクは次のとおりです。
AVRPTUSR_LINK.DBFWDB: (DESCRIPTION=(ADDRESS=(PROTOCOL=TCP)(HOST=127.0.0.1)(PORT=1521)) (CONNECT_DATA=(SERVICE_NAME=dbfwdb)))
データベース・リンクは、Oracle Audit Vault Serverのインストール中に作成され、REDOコレクタで使用されます。
表F-3は、Audit Vault Serverでのアカウントおよびロール割当てをリストしています。
表F-3 Audit Vault Serverでのアカウントおよびロール割当て
アカウント | ロール割当て |
---|---|
|
|
|
|
|
|
|
|
|
|
|
|
表F-4は、Database Firewallでのアカウントおよびロール割当てをリストしています。
表F-4 Database Firewallでのアカウントおよびロール割当て
アカウント | ロール割当て |
---|---|
|
|
|
|
オペレーティング・システムのSTIGルールの現在の実装について学習します。
このトピックには、Oracle Audit Vault and Database Firewallでのオペレーティング・システムのSTIGルールの現在の実装に関する情報が含まれています。
ノート:
オペレーティング・システムのSTIGルール・セットのリファレンスは次のとおりです。
表F-5 オペレーティング・システムのSTIGルール・セットのリファレンス
参照 | 詳細 |
---|---|
ドキュメント |
Oracle Linux 6セキュリティ技術導入ガイド |
バージョン |
1 |
リリース |
6 |
リリース日 |
2016年4月22日 |
ドキュメントのリンク |
表F-6 ユーザー・アクション: 定義およびガイドライン
ユーザー・アクション | ガイドラインの説明 |
---|---|
なし |
このガイドラインはデフォルトで実装されているため、ユーザー・アクションは不要です。 |
厳密モードの有効化 |
このガイドラインは、アプライアンスを厳密モードに切り替えることで実装できます。 |
サイト・ポリシー |
このガイドラインはローカル・ポリシーに応じて実装できますが、それには管理者のアクションが必要です。実装に関する追加情報は、ノート列を参照してください。 |
管理タスク |
このガイドラインの実装は、インストールまたはアップグレード後の管理者の構成アクションです。定期的に使用および定義される管理手順になることもあります。 |
表F-7は、Oracle Audit Vault and Database Firewallでのオペレーティング・システムのSTIGルールの現在の実装を示しています。
表F-7 オペレーティング・システムのSTIGルールの現在の実装
STIG ID | 重大度 | ユーザー・アクション | タイトル | ノート |
---|---|---|---|---|
OL6-00-000008 |
CAT I |
なし |
システム・ソフトウェアの整合性を確認するため、ベンダーから提供される暗号証明書がインストールされていなければなりません。 |
デフォルトで実装済 |
OL6-00-000019 |
CAT I |
なし |
システム上に |
デフォルトで実装済 |
OL6-00-000030 |
CAT I |
なし |
システムでは、空またはnullのパスワードで構成されたアカウントを使用しないでください。 |
デフォルトで実装済 |
OL6-00-000206 |
CAT I |
なし |
|
デフォルトで実装済 |
OL6-00-000211 |
CAT I |
なし |
telnetデーモンが実行されていてはなりません。 |
デフォルトで実装済 |
OL6-00-000213 |
CAT I |
なし |
|
デフォルトで実装済 |
OL6-00-000214 |
CAT I |
なし |
|
デフォルトで実装済 |
OL6-00-000216 |
CAT I |
なし |
|
デフォルトで実装済 |
OL6-00-000218 |
CAT I |
なし |
|
デフォルトで実装済 |
OL6-00-000227 |
CAT I |
なし |
SSHデーモンは、SSHv2プロトコルのみを使用するように構成しなければなりません。 |
デフォルトで実装済 |
OL6-00-000239 |
CAT I |
なし |
SSHデーモンは、空のパスワードを使用した認証を許可してはなりません。 |
デフォルトで実装済 |
OL6-00-000284 |
CAT I |
管理タスク |
システムは、DoDによって承認されたウイルス・スキャン・プログラムを使用および更新しなければなりません。 |
Audit Vault and Database Firewallにアンチウイルスは付属していません。管理者がインストールできます。 |
OL6-00-000286 |
CAT I |
なし |
x86 |
デフォルトで実装済 |
OL6-00-000309 |
CAT I |
なし |
NFSサーバーで、セキュアでないファイル・ロック・オプションを有効にしてはなりません。 |
デフォルトで実装済 |
OL6-00-000338 |
CAT I |
なし |
TFTPデーモンは、ホストのファイルシステムの1つのディレクトリにのみアクセスできるセキュア・モードで動作しなければなりません。 |
デフォルトで実装済 |
OL6-00-000341 |
CAT I |
管理タスク |
|
Audit Vault and Database Firewallにより、インストール時にSNMPコミュニティ文字列がランダム化されます。特定の値を設定するには、WUIを使用します。 |
OL6-00-000005 |
CAT II |
管理タスク |
監査記憶域ボリュームが最大容量に近づいた場合、監査システムから指定されたスタッフ・メンバーに警告しなければなりません。 |
リモート |
OL6-00-000011 |
CAT II |
管理タスク |
システム・セキュリティ・パッチおよび更新がインストールされ、最新の状態になっていなければなりません。 |
バンドル・パッチを適切なタイミングで適用してください。 |
OL6-00-000013 |
CAT II |
なし |
システム・パッケージ管理ツールは、インストール中にシステム・ソフトウェア・パッケージの信頼性を暗号で確認しなければなりません。 |
デフォルトで実装済 |
OL6-00-000016 |
CAT II |
なし |
ファイル整合性ツールがインストールされていなければなりません。 |
デフォルトで実装済 |
OL6-00-000017 |
CAT II |
なし |
システムは、ブート時にLinux Security Moduleを使用しなければなりません。 |
デフォルトで実装済 |
OL6-00-000027 |
CAT II |
なし |
システムは、仮想コンソールからのrootアカウントでのログインを防止しなければなりません。 |
デフォルトで実装済 |
OL6-00-000031 |
CAT II |
なし |
|
デフォルトで実装済 |
OL6-00-000032 |
CAT II |
なし |
rootアカウントは、0のUIDを持つ唯一のアカウントでなければなりません。 |
デフォルトで実装済 |
OL6-00-000033 |
CAT II |
なし |
|
デフォルトで実装済 |
OL6-00-000034 |
CAT II |
なし |
|
デフォルトで実装済 |
OL6-00-000035 |
CAT II |
なし |
|
デフォルトで実装済 |
OL6-00-000036 |
CAT II |
なし |
|
デフォルトで実装済 |
OL6-00-000037 |
CAT II |
なし |
|
デフォルトで実装済 |
OL6-00-000038 |
CAT II |
なし |
|
デフォルトで実装済 |
OL6-00-000039 |
CAT II |
なし |
|
デフォルトで実装済 |
OL6-00-000040 |
CAT II |
なし |
|
デフォルトで実装済 |
OL6-00-000041 |
CAT II |
なし |
|
デフォルトで実装済 |
OL6-00-000042 |
CAT II |
なし |
|
デフォルトで実装済 |
OL6-00-000043 |
CAT II |
なし |
|
デフォルトで実装済 |
OL6-00-000044 |
CAT II |
なし |
|
デフォルトで実装済 |
OL6-00-000046 |
CAT II |
なし |
ライブラリ・ファイルの所有者は、システム・アカウントでなければなりません。 |
デフォルトで実装済 |
OL6-00-000047 |
CAT II |
なし |
すべてのシステム・コマンド・ファイルは、モード755以下の権限でなければなりません。 |
デフォルトで実装済 |
OL6-00-000048 |
CAT II |
なし |
すべてのシステム・コマンド・ファイルの所有者は、rootでなければなりません。 |
デフォルトで実装済 |
OL6-00-000050 |
CAT II |
厳密モードの有効化 |
システムでは、少なくとも15文字を含むパスワードにしなければなりません。 |
厳密モードで実装される |
OL6-00-000051 |
CAT II |
なし |
ユーザーは、24時間の内に2回以上パスワードを変更できません。 |
デフォルトで実装済 |
OL6-00-000053 |
CAT II |
厳密モードの有効化 |
ユーザー・パスワードは、少なくとも60日ごとに変更する必要があります。 |
厳密モードで実装される |
OL6-00-000061 |
CAT II |
なし |
システムでは、3回連続してログインの試行が失敗した場合、アカウントを無効化する必要があります。 |
デフォルトで実装済 |
OL6-00-000062 |
CAT II |
なし |
システムは、アカウントのパスワード・ハッシュ(system-auth)の生成に、 |
デフォルトで実装済 |
OL6-00-000063 |
CAT II |
なし |
システムは、アカウントのパスワード・ハッシュ(login.defs)の生成に、 |
デフォルトで実装済 |
OL6-00-000064 |
CAT II |
なし |
システムは、アカウントのパスワード・ハッシュ(libuser.conf)の生成に、 |
デフォルトで実装済 |
OL6-00-000065 |
CAT II |
なし |
システムのブート・ローダー構成ファイルの所有者は、rootでなければなりません。 |
デフォルトで実装済 |
OL6-00-000066 |
CAT II |
なし |
システムのブート・ローダー構成ファイルの所有グループは、rootでなければなりません。 |
デフォルトで実装済 |
OL6-00-000067 |
CAT II |
なし |
システムのブート・ローダー構成ファイルは、モード0600以下の権限でなければなりません。 |
デフォルトで実装済 |
OL6-00-000069 |
CAT II |
管理タスク |
システムには、単一ユーザーおよびメンテナンス・モードの起動時に認証が必要です。 |
|
OL6-00-000070 |
CAT II |
なし |
システムは、対話型ブートを許可してはなりません。 |
デフォルトで実装済 |
OL6-00-000078 |
CAT II |
なし |
システムは、仮想アドレス空間のランダム化を実装しなければなりません。 |
デフォルトで実装済 |
OL6-00-000079 |
CAT II |
なし |
システムは、プロセスによるメモリーへの同時書き込みおよび実行アクセスを制限しなければなりません。 |
デフォルトで実装済 |
OL6-00-000080 |
CAT II |
なし |
システムは、デフォルトでICMPv4リダイレクトを送信してはなりません。 |
デフォルトで実装済 |
OL6-00-000081 |
CAT II |
なし |
システムは、どのインタフェースでも、ICMPv4リダイレクトを送信してはなりません。 |
デフォルトで実装済 |
OL6-00-000082 |
CAT II |
なし |
システムがルーターでない場合は、IPv4のIPフォワーディングを有効にしてはなりません。 |
デフォルトで実装済 |
OL6-00-000083 |
CAT II |
なし |
システムは、どのインタフェースでも、IPv4ソース・ルーティング・パケットを受け入れてはなりません。 |
デフォルトで実装済 |
OL6-00-000084 |
CAT II |
なし |
システムは、どのインタフェースでも、ICMPv4リダイレクト・パケットを受け入れてはなりません。 |
デフォルトで実装済 |
OL6-00-000086 |
CAT II |
なし |
システムは、どのインタフェースでも、ICMPv4セキュア・リダイレクト・パケットを受け入れてはなりません。 |
デフォルトで実装済 |
OL6-00-000089 |
CAT II |
なし |
システムは、デフォルトでIPv4ソース・ルーティング・パケットを受け入れてはなりません。 |
デフォルトで実装済 |
OL6-00-000090 |
CAT II |
なし |
システムは、デフォルトでICMPv4セキュア・リダイレクト・パケットを受け入れてはなりません。 |
デフォルトで実装済 |
OL6-00-000095 |
CAT II |
なし |
システムは、TCP SYNフラッドの発生時にTCP syncookiesを使用するように構成されていなければなりません。 |
デフォルトで実装済 |
OL6-00-000096 |
CAT II |
なし |
システムは、可能な場合、すべてのインタフェース上のIPv4ネットワーク・トラフィック対してリバース・パス・フィルタを使用しなければなりません。 |
デフォルトで実装済 |
OL6-00-000097 |
CAT II |
なし |
システムは、可能な場合、デフォルトでIPv4ネットワーク・トラフィック対してリバース・パス・フィルタを使用しなければなりません。 |
デフォルトで実装済 |
OL6-00-000098 |
CAT II |
なし |
IPv6プロトコル・ハンドラは、必要な場合を除き、ネットワーク・スタックにバインドしてはなりません。 |
デフォルトで実装済 |
OL6-00-000099 |
CAT II |
なし |
システムは、デフォルトでICMPv6リダイレクトを無視しなければなりません。 |
デフォルトで実装済 |
OL6-00-000103 |
CAT II |
なし |
システムは、ローカルのIPv6ファイアウォールを採用しなければなりません。 |
該当なし |
OL6-00-000106 |
CAT II |
なし |
オペレーティング・システムを外部のネットワークまたは情報システムに接続する場合は、組織のセキュリティ・アーキテクチャに従って配置された境界保護デバイスで構成される管理されたIPv6インタフェースを使用しなければなりません。 |
該当なし |
OL6-00-000107 |
CAT II |
なし |
オペレーティング・システムは、境界保護デバイスを使用した管理インタフェースによって適切に仲介されたものを除き、組織の内部ネットワークに対するパブリックなIPv6アクセスを防止しなければなりません。 |
該当なし |
OL6-00-000113 |
CAT II |
なし |
システムは、ローカルのIPv4ファイアウォールを採用しなければなりません。 |
デフォルトで実装済 |
OL6-00-000116 |
CAT II |
サイト・ポリシー |
オペレーティング・システムを外部のネットワークまたは情報システムに接続する場合は、組織のセキュリティ・アーキテクチャに従って配置された境界保護デバイスで構成される管理されたIPv4インタフェースを使用しなければなりません。 |
これは、Audit Vault and Database Firewallのスコープ外であり、外部で実施されている必要があります。 |
OL6-00-000117 |
CAT II |
なし |
オペレーティング・システムは、組織の内部ネットワークに対するパブリックなIPv4アクセスを防止しなければなりません。これは、境界保護デバイスを使用する適切に仲介された管理インタフェースを除きます。 |
デフォルトで実装済 |
OL6-00-000120 |
CAT II |
なし |
システムのローカルIPv4ファイアウォールは、インバウンド・パケットに対してすべてを拒否および例外によって許可のポリシーを実装しなければなりません。 |
デフォルトで実装済 |
OL6-00-000124 |
CAT II |
なし |
必要な場合を除いて、DCCP (Datagram Congestion Control Protocol)を無効にする必要があります。 |
デフォルトで実装済 |
OL6-00-000125 |
CAT II |
なし |
必要な場合を除いて、SCTP (Stream Control Transmission Protocol)を無効にする必要があります。 |
デフォルトで実装済 |
OL6-00-000127 |
CAT II |
なし |
必要な場合を除いて、TIPC (Transparent Inter-Process Communication)プロトコルを無効にしなければなりません。 |
デフォルトで実装済 |
OL6-00-000133 |
CAT II |
なし |
すべての |
デフォルトで実装済 |
OL6-00-000145 |
CAT II |
なし |
オペレーティング・システムは、イベントに関連するユーザー/サブジェクトのアイデンティティを確立するための十分な情報を含む監査レコードを生成しなければなりません。 |
デフォルトで実装済 |
OL6-00-000148 |
CAT II |
なし |
オペレーティング・システムは、リモート・アクセス方法の監視と制御を容易にする自動メカニズムを採用しなければなりません。 |
デフォルトで実装済 |
OL6-00-000154 |
CAT II |
なし |
オペレーティング・システムは、発生したイベントのタイプを確立するための十分な情報を含む監査レコードを生成しなければなりません。 |
デフォルトで実装済 |
OL6-00-000159 |
CAT II |
なし |
システムは、必要なログ保存期間をカバーするための十分なローテーションされる監査ログを保持しなければなりません。 |
デフォルトで実装済 |
OL6-00-000160 |
CAT II |
なし |
システムは、監査ログ・ファイルの最大サイズを設定しなければなりません。 |
デフォルトで実装済 |
OL6-00-000161 |
CAT II |
なし |
システムは、最大ファイル・サイズに達したら、監査ログ・ファイルをローテーションしなければなりません。 |
デフォルトで実装済 |
OL6-00-000163 |
CAT II |
なし |
監査システムは、使用可能な監査記憶域ボリュームが深刻に低下した場合、システムをシングル・ユーザー・モードに切り替えなければなりません。 |
デフォルトで実装済 |
OL6-00-000202 |
CAT II |
なし |
監査システムは、動的カーネル・モジュールのロードおよびアンロードを監査するように構成しなければなりません。 |
デフォルトで実装済 |
OL6-00-000203 |
CAT II |
なし |
|
デフォルトで実装済 |
OL6-00-000220 |
CAT II |
なし |
|
デフォルトで実装済 |
OL6-00-000221 |
CAT II |
なし |
|
デフォルトで実装済 |
OL6-00-000222 |
CAT II |
なし |
必要な場合を除いて、 |
デフォルトで実装済 |
OL6-00-000223 |
CAT II |
なし |
|
デフォルトで実装済 |
OL6-00-000224 |
CAT II |
なし |
|
デフォルトで実装済 |
OL6-00-000234 |
CAT II |
なし |
SSHデーモンは、 |
デフォルトで実装済 |
OL6-00-000236 |
CAT II |
なし |
SSHデーモンは、ホスト・ベースの認証を許可してはなりません。 |
デフォルトで実装済 |
OL6-00-000237 |
CAT II |
なし |
システムは、 |
デフォルトで実装済 |
OL6-00-000243 |
CAT II |
なし |
|
デフォルトで実装済 |
OL6-00-000247 |
CAT II |
管理タスク |
システム・クロックは継続的に、少なくとも毎日、同期しなければなりません。 |
NTPサーバーを構成するには、WUIを使用します。 |
OL6-00-000248 |
CAT II |
なし |
システム・クロックは、正式なDoDのタイム・ソースと同期しなければなりません。 |
デフォルトで実装済 |
OL6-00-000249 |
CAT II |
なし |
メール中継は、制限しなければなりません。 |
デフォルトで実装済。Audit Vault and Database FirewallにSMTAは含まれていません。 |
OL6-00-000252 |
CAT II |
なし |
システムは、認証およびアカウント情報のためにLDAPを使用する場合、 |
Audit Vault and Database Firewallでは、認証やアカウント情報のためにLDAPが使用されることはありません。 |
OL6-00-000253 |
CAT II |
なし |
LDAPクライアントは、CAによって署名された信頼証明書を使用して |
Audit Vault and Database Firewallでは、LDAPクライアントは使用されません。 |
OL6-00-000257 |
CAT II |
なし |
グラフィカルなデスクトップ環境は、アイドル・タイムアウトの値を15分以内に設定しなければなりません。 |
デフォルトで実装済 |
OL6-00-000258 |
CAT II |
なし |
グラフィカルなデスクトップ環境は、非アクティブになってから15分後に自動的にロックする必要があり、システムは、環境のロックを解除するため再認証をユーザーに要求しなければなりません。 |
デフォルトで実装済 |
OL6-00-000259 |
CAT II |
なし |
グラフィカルなデスクトップ環境は、自動ロックを有効にしなければなりません。 |
デフォルトで実装済 |
OL6-00-000269 |
CAT II |
なし |
リモート・ファイル・システムは、 |
デフォルトで実装済 |
OL6-00-000270 |
CAT II |
なし |
リモート・ファイル・システムは、 |
デフォルトで実装済 |
OL6-00-000274 |
CAT II |
なし |
システムでは、5回分のパスワードを繰り返し再利用するのを禁止する必要があります。 |
デフォルトで実装済 |
OL6-00-000278 |
CAT II |
なし |
システム・パッケージ管理ツールは、監査パッケージに関連するすべてのファイルおよびディレクトリの権限を確認しなければなりません。 |
デフォルトで実装済 |
OL6-00-000279 |
CAT II |
なし |
システム・パッケージ管理ツールは、監査パッケージに関連するすべてのファイルおよびディレクトリの所有権を確認しなければなりません。 |
デフォルトで実装済 |
OL6-00-000280 |
CAT II |
なし |
システム・パッケージ管理ツールは、監査パッケージに関連するすべてのファイルおよびディレクトリのグループ所有権を確認しなければなりません。 |
デフォルトで実装済 |
OL6-00-000281 |
CAT II |
なし |
システム・パッケージ管理ツールは、監査パッケージに関連するすべてのファイルの内容を確認しなければなりません。 |
デフォルトで実装済 |
OL6-00-000282 |
CAT II |
なし |
システム上にworld-writableファイルが存在してはなりません。 |
デフォルトで実装済 |
OL6-00-000285 |
CAT II |
なし |
システムに、ホストベースの侵入検出ツールがインストールされていなければなりません。 |
デフォルトで実装済 |
OL6-00-000288 |
CAT II |
なし |
|
デフォルトで実装済 |
OL6-00-000290 |
CAT II |
なし |
必要な場合を除いて、Xウィンドウを有効にしてはなりません。 |
デフォルトで実装済 |
OL6-00-000311 |
CAT II |
管理タスク |
監査システムは、割り当てられた監査レコードの記憶域ボリュームがドキュメント化された監査レコードの最大記憶域容量の割合に達したときに、警告を生成しなければなりません。 |
リモートsyslog転送を構成してください。 |
OL6-00-000313 |
CAT II |
なし |
監査システムは、監査ログの記憶域ボリューム容量の問題の通知を受信するスタッフ・メンバーを識別しなければなりません。 |
デフォルトで実装済 |
OL6-00-000315 |
CAT II |
なし |
Bluetoothカーネル・モジュールは、無効にされていなければなりません。 |
デフォルトで実装済 |
OL6-00-000320 |
CAT II |
なし |
システムのローカル・ファイアウォールは、転送パケットに対して |
デフォルトで実装済 |
OL6-00-000324 |
CAT II |
なし |
グラフィカルなデスクトップ環境のログイン・プロンプトの直前、またはその一部としてログイン・バナーを表示しなければなりません。 |
デフォルトで実装済 |
OL6-00-000326 |
CAT II |
なし |
国防総省(DoD)のログイン・バナーが、グラフィカルなデスクトップ環境のログイン・プロンプトの直前、またはその一部として表示されていなければなりません。 |
Audit Vault and Database Firewallにグラフィカルなデスクトップ環境は含まれていません。 |
OL6-00-000331 |
CAT II |
なし |
|
デフォルトで実装済 |
OL6-00-000347 |
CAT II |
なし |
システム上に |
デフォルトで実装済 |
OL6-00-000348 |
CAT II |
なし |
システム上の |
Audit Vault and Database Firewallでは、FTPおよびFTPSは提供されません。 |
OL6-00-000356 |
CAT II |
厳密モードの有効化 |
システムは、過度の失敗ログインの試行によってロックされたアカウントのロックを解除するために、管理者によるアクションを要求しなければなりません。 |
厳密モードで実装される |
OL6-00-000357 |
CAT II |
なし |
15分の間隔内で過剰なログイン失敗があった場合、システムはアカウントを無効にしなければなりません。 |
デフォルトで実装済 |
OL6-00-000372 |
CAT II |
なし |
オペレーティング・システムは、ユーザーが正常にログインまたはアクセスしたときに、最後に成功したログインまたはアクセス以降の失敗したログインまたはアクセス試行の回数を表示しなければなりません。 |
デフォルトで実装済 |
OL6-00-000383 |
CAT II |
なし |
監査ログ・ファイルは、モード0640以下の権限でなければなりません。 |
デフォルトで実装済 |
OL6-00-000384 |
CAT II |
なし |
監査ログ・ファイルの所有者はrootでなければなりません。 |
デフォルトで実装済 |
OL6-00-000385 |
CAT II |
なし |
監査ログ・ディレクトリは、モード0755以下の権限でなければなりません。 |
デフォルトで実装済 |
OL6-00-000503 |
CAT II |
なし |
オペレーティング・システムは、モバイル・デバイスのオペレーティング・システムへの接続に対して、要件を強制しなければなりません。 |
デフォルトで実装済 |
OL6-00-000504 |
CAT II |
サイト・ポリシー |
オペレーティング・システムは、リカバリ時間目標およびリカバリ・ポイント目標と一致するバックアップを実行するため、オペレーティング・システムに含まれるユーザーレベル情報のバックアップを組織によって定義された頻度で実行しなければなりません。 |
|
OL6-00-000505 |
CAT II |
サイト・ポリシー |
オペレーティング・システムは、リカバリ時間目標およびリカバリ・ポイント目標と一致するバックアップを実行するため、情報システムに含まれるシステムレベル情報のバックアップを組織によって定義された頻度で実行しなければなりません。 |
|
OL6-00-000507 |
CAT II |
なし |
オペレーティング・システムは、ユーザーが正常にログオンしたときに、sshによる最後のログオンまたはアクセスの日時を表示しなければなりません。 |
デフォルトで実装済 |
OL6-00-000522 |
CAT II |
なし |
監査ログ・ファイルの所有グループは、rootでなければなりません。 |
デフォルトで実装済 |
OL6-00-000523 |
CAT II |
なし |
システムのローカルIPv6ファイアウォールは、インバウンド・パケットに対して |
該当なし |
OL6-00-000524 |
CAT II |
サイト・ポリシー |
システムは、アカウント管理機能に対する自動サポートを提供しなければなりません。 |
なし |
OL6-00-000527 |
CAT II |
なし |
ログイン・ユーザー・リストは無効にされていなければなりません。 |
Audit Vault and Database Firewallには、グラフィカル・ログインは含まれていません。 |
OL6-00-000529 |
CAT II |
なし |
sudoコマンドでは、認証が要求されなければなりません。 |
デフォルトで実装済。sudoの使用が許可されているアカウントには、ログインが許可されません。 |
OL6-00-000001 |
CAT III |
なし |
システムでは、 |
デフォルトで実装済 |
OL6-00-000002 |
CAT III |
なし |
システムでは、 |
Audit Vault and Database Firewallでは、 |
OL6-00-000003 |
CAT III |
なし |
システムでは、 |
デフォルトで実装済 |
OL6-00-000007 |
CAT III |
なし |
システムでは、ユーザーのホーム・ディレクトリ用に分離したファイルシステムを使用しなければなりません。 |
デフォルトで実装済 |
OL6-00-000009 |
CAT III |
なし |
Red Hatネットワーク・サービス( |
デフォルトで実装済 |
OL6-00-000015 |
CAT III |
なし |
システム・パッケージ管理ツールは、インストール中にすべてのソフトウェア・パッケージの信頼性を暗号で確認しなければなりません。 |
デフォルトで実装済 |
OL6-00-000023 |
CAT III |
なし |
システムは、システム・サービスの権限を制限するように構成されたLinux Security Moduleを使用しなければなりません。 |
デフォルトで実装済 |
OL6-00-000028 |
CAT III |
なし |
システムは、シリアル・コンソールからのrootアカウントでのログインを防止しなければなりません。 |
デフォルトで実装済 |
OL6-00-000054 |
CAT III |
なし |
パスワードの期限切れ前の7日間、ユーザーに警告しなければなりません。 |
デフォルトで実装済 |
OL6-00-000056 |
CAT III |
なし |
システムでは、パスワードに少なくとも1つの数字を含めなければなりません。 |
デフォルトで実装済 |
OL6-00-000057 |
CAT III |
なし |
システムでは、パスワードに少なくとも1つの大文字のアルファベット文字を含めなければなりません。 |
デフォルトで実装済 |
OL6-00-000058 |
CAT III |
なし |
システムでは、パスワードに少なくとも1つの特殊文字を含めなければなりません。 |
デフォルトで実装済 |
OL6-00-000059 |
CAT III |
なし |
システムは、パスワードに小文字のアルファベット文字を1つ以上含めるように要求しなければなりません。 |
デフォルトで実装済 |
OL6-00-000060 |
CAT III |
管理タスク |
システムは、パスワードの変更時に古いパスワードと新しいパスワードの間で少なくとも8つの文字を変更するように要求しなければなりません。 |
|
OL6-00-000091 |
CAT III |
なし |
システムは、デフォルトでICMPv4リダイレクト・メッセージを無視しなければなりません。 |
デフォルトで実装済 |
OL6-00-000092 |
CAT III |
なし |
システムは、ブロードキャスト・アドレスへ送信されたICMPv4に応答してはなりません。 |
デフォルトで実装済 |
OL6-00-000093 |
CAT III |
なし |
システムは、ICMPv4の偽装エラー応答を無視しなければなりません。 |
デフォルトで実装済 |
OL6-00-000126 |
CAT III |
なし |
必要な場合を除いて、RDS (Reliable Datagram Sockets)プロトコルを無効にしなければなりません。 |
デフォルトで実装済 |
OL6-00-000138 |
CAT III |
なし |
システム・ログは、毎日ローテーションされていなければなりません。 |
デフォルトで実装済 |
OL6-00-000165 |
CAT III |
なし |
監査システムは、 |
デフォルトで実装済 |
OL6-00-000167 |
CAT III |
なし |
監査システムは、 |
デフォルトで実装済 |
OL6-00-000169 |
CAT III |
なし |
監査システムは、 |
デフォルトで実装済 |
OL6-00-000171 |
CAT III |
なし |
監査システムは、 |
デフォルトで実装済 |
OL6-00-000173 |
CAT III |
なし |
監査システムは、 |
デフォルトで実装済 |
OL6-00-000174 |
CAT III |
なし |
オペレーティング・システムは、アカウントの作成を自動的に監査しなければなりません。 |
デフォルトで実装済 |
OL6-00-000175 |
CAT III |
なし |
オペレーティング・システムは、アカウントの変更を自動的に監査しなければなりません。 |
デフォルトで実装済 |
OL6-00-000176 |
CAT III |
なし |
オペレーティング・システムは、アカウントの無効化アクションを自動的に監査しなければなりません。 |
デフォルトで実装済 |
OL6-00-000177 |
CAT III |
なし |
オペレーティング・システムは、アカウントの終了を自動的に監査しなければなりません。 |
デフォルトで実装済 |
OL6-00-000183 |
CAT III |
なし |
監査システムは、システムのMandatory Access Control (MAC)構成(SELinux)への変更を監査するように構成しなければなりません。 |
デフォルトで実装済 |
OL6-00-000184 |
CAT III |
なし |
監査システムは、 |
デフォルトで実装済 |
OL6-00-000185 |
CAT III |
なし |
監査システムは、 |
デフォルトで実装済 |
OL6-00-000186 |
CAT III |
なし |
監査システムは、 |
デフォルトで実装済 |
OL6-00-000187 |
CAT III |
なし |
監査システムは、 |
デフォルトで実装済 |
OL6-00-000188 |
CAT III |
なし |
監査システムは、 |
デフォルトで実装済 |
OL6-00-000189 |
CAT III |
なし |
監査システムは、 |
デフォルトで実装済 |
OL6-00-000190 |
CAT III |
なし |
監査システムは、 |
デフォルトで実装済 |
OL6-00-000191 |
CAT III |
なし |
監査システムは、 |
デフォルトで実装済 |
OL6-00-000192 |
CAT III |
なし |
監査システムは、 |
デフォルトで実装済 |
OL6-00-000193 |
CAT III |
なし |
監査システムは、 |
デフォルトで実装済 |
OL6-00-000194 |
CAT III |
なし |
監査システムは、 |
デフォルトで実装済 |
OL6-00-000195 |
CAT III |
なし |
監査システムは、 |
デフォルトで実装済 |
OL6-00-000196 |
CAT III |
なし |
監査システムは、 |
デフォルトで実装済 |
OL6-00-000197 |
CAT III |
なし |
監査システムは、ファイルおよびプログラムへのアクセス試行の失敗を監査するように構成されていなければなりません。 |
デフォルトで実装済 |
OL6-00-000199 |
CAT III |
なし |
監査システムは、正常なファイルシステム・マウントを監査するように構成しなければなりません。 |
デフォルトで実装済 |
OL6-00-000200 |
CAT III |
なし |
監査システムは、ユーザーのファイルやプログラムの削除を監査するように構成しなければなりません。 |
デフォルトで実装済 |
OL6-00-000201 |
CAT III |
なし |
監査システムは、 |
デフォルトで実装済 |
OL6-00-000204 |
CAT III |
なし |
|
デフォルトで実装済 |
OL6-00-000230 |
CAT III |
なし |
SSHデーモンは、アイドル・セッションのタイムアウト間隔を設定しなければなりません。 |
デフォルトで実装済 |
OL6-00-000231 |
CAT III |
なし |
SSHデーモンは、アイドル・セッションのタイムアウト・カウントを設定しなければなりません。 |
デフォルトで実装済 |
OL6-00-000241 |
CAT III |
なし |
SSHデーモンは、ユーザーの環境設定を許可してはなりません。 |
デフォルトで実装済 |
OL6-00-000246 |
CAT III |
なし |
|
デフォルトで実装済 |
OL6-00-000256 |
CAT III |
なし |
必要な場合を除いて、 |
デフォルトで実装済 |
OL6-00-000260 |
CAT III |
なし |
システムは、グラフィカルなデスクトップ環境のセッション・ロック中に、パブリックに表示可能なパターンを表示しなければなりません。 |
デフォルトで実装済 |
OL6-00-000261 |
CAT III |
なし |
自動バグ報告ツール( |
デフォルトで実装済 |
OL6-00-000262 |
CAT III |
なし |
|
デフォルトで実装済 |
OL6-00-000265 |
CAT III |
なし |
|
デフォルトで実装済 |
OL6-00-000266 |
CAT III |
なし |
|
デフォルトで実装済 |
OL6-00-000267 |
CAT III |
なし |
|
デフォルトで実装済 |
OL6-00-000268 |
CAT III |
なし |
|
デフォルトで実装済 |
OL6-00-000271 |
CAT III |
なし |
リムーバブル・メディア・パーティションには、 |
Audit Vault and Database Firewallの |
OL6-00-000273 |
CAT III |
なし |
システムは、 |
Audit Vault and Database Firewallでは、 |
OL6-00-000289 |
CAT III |
なし |
必要な場合を除いて、 |
デフォルトで実装済 |
OL6-00-000291 |
CAT III |
なし |
必要な場合を除いて、 |
デフォルトで実装済 |
OL6-00-000294 |
CAT III |
なし |
|
デフォルトで実装済 |
OL6-00-000296 |
CAT III |
なし |
システム上のすべてのアカウントは、一意のユーザー名またはアカウント名を持っていなければなりません。 |
デフォルトで実装済 |
OL6-00-000297 |
CAT III |
なし |
一時アカウントは、有効期限付きでプロビジョニングされていなければなりません。 |
Audit Vault and Database Firewallは、一時アカウントをサポートしません。 |
OL6-00-000298 |
CAT III |
なし |
緊急アカウントは、有効期限付きでプロビジョニングされていなければなりません。 |
Audit Vault and Database Firewallは、緊急アカウントをサポートしません。 |
OL6-00-000299 |
CAT III |
なし |
システムは、パスワードに含まれる連続した繰り返し文字が3つ以内になるように要求しなければなりません。 |
デフォルトで実装済 |
OL6-00-000308 |
CAT III |
管理タスク |
必要な場合を除き、プロセスのコア・ダンプは無効にされていなければなりません。 |
|
OL6-00-000319 |
CAT III |
管理タスク |
システムは、同時にシステム・ログインするユーザーの数を10(または運用上の要件に従ってサイトで定めた数)までに制限しなければなりません。 |
|
OL6-00-000336 |
CAT III |
なし |
すべてのパブリック・ディレクトリにスティッキー・ビットを設定しなければなりません。 |
デフォルトで実装済 |
OL6-00-000337 |
CAT III |
なし |
すべてのパブリック・ディレクトリの所有者は、システム・アカウントでなければなりません。 |
デフォルトで実装済 |
OL6-00-000339 |
CAT III |
なし |
FTPデーモンは、ロギング・モードまたは冗長モードで構成されていなければなりません。 |
Audit Vault and Database Firewallには、FTPデーモンは含まれていません。 |
OL6-00-000345 |
CAT III |
なし |
|
デフォルトで実装済 |
OL6-00-000346 |
CAT III |
なし |
デーモンのシステムのデフォルトの |
デフォルトで実装済 |
OL6-00-000508 |
CAT III |
なし |
システムは、グラフィカルなデスクトップ・セッションのロックを許可しなければなりません。 |
Audit Vault and Database Firewallには、グラフィカルなデスクトップは含まれていません。 |
OL6-00-000515 |
CAT III |
なし |
NFSサーバーで |
Audit Vault and Database Firewallでは、NFSは提供されません。 |
OL6-00-000525 |
CAT III |
なし |
カーネルのパラメータを設定して、起動時に監査を有効にしなければなりません。 |
デフォルトで実装済 |
OL6-00-000526 |
CAT III |
なし |
必要な場合を除いて、自動化されたファイルシステム・マウント・ツールを有効にしてはなりません。 |
デフォルトで実装済 |
ノート1: syslog経由のアラート:
Oracle Audit Vault and Database Firewallでは、syslog経由でアラートが送信されます。適切なsyslog宛先を構成するには、WUIを使用します。
syslogオプションは、ローカルのログ管理インフラストラクチャが適切なタイミングで適切な管理者に通知することを実証できる場合に、許容されます。
メッセージは次の形式になっています。
Audit daemon has no space left on logging partition Audit daemon is suspending logging due to no space left on logging partition.
ノート2: バックアップ:
これは、Oracle Audit Vault and Database Firewallのスコープ外です。
Oracle Audit Vault and Database Firewallには、これをサポートするツールが用意されています。(例: ssh、tar)。
ノート3 OL6-00-000319: 管理者のアクション:
rootユーザーとしてログインします。
次のファイルを作成します。
/etc/security/limits.d/99-avdf-maxlogins.conf
ファイルに次の内容を含めます。
# Bug 24398453 * hard maxlogins 10
ノート4 OL6-00-000308: 管理者のアクション:
rootユーザーとしてログインします。
次のファイルを作成します。
/etc/security/limits.d/99-avdf-core.conf
ファイルに次の内容を含めます。
# Bug 24397420 * hard core 0
ノート5 OL6-00-000060: 管理者のアクション:
rootユーザーとしてログインします。
次のファイルのバックアップを取得します。
/usr/local/dbfw/templates/template-system-auth
バックアップを正常に取得したら、元のファイルを編集します。文字列difok=4
を見つけて、difok=8
に置き換えます
rootユーザーで次のコマンドを実行します。
/usr/local/dbfw/bin/stig --apply
変更を確認します。次のコマンドの出力を確認します。
find /etc/pam.d -type f \! -name \*.bak -exec fgrep difok {} +
ノート6 OL6-00-000069: 管理者のアクション:
rootユーザーとしてログインします。
次のファイルのバックアップを作成します。
/etc/sysconfig/init
バックアップを正常に取得したら、ファイルを編集します。キーSINGLE
を見つけて、SINGLE=/sbin/sulogin
に置き換えます