プライマリ・コンテンツに移動
Oracle® Audit Vault and Database Firewall管理者ガイド
リリース12.2
E70392-19
目次へ移動
目次
索引へ移動
索引

前
次

F セキュリティ技術導入ガイド

Oracle Audit Vault and Database Firewallは、セキュリティ技術導入ガイド(STIG)ベースのコンプライアンス標準に従っています。

ここでのトピック:

F.1 セキュリティ技術導入ガイドについて

セキュリティ技術導入ガイドについて学習します。

セキュリティ技術導入ガイド(STIG)は、コンピュータ・システムおよびネットワークの攻撃対象となる面を減らすために米国国防総省(DOD)の求める手法であり、これにより、DODのネットワークに格納されている機密性の高い情報の封鎖を確実にします。STIGにより、DODの情報保証(IA)、およびIAが有効なデバイスやシステムのセキュアな構成の標準が提供されます。STIGは、国防情報システム局(DISA)によって作成されています。

10年以上の間、オラクル社はDODと緊密に協働しながら、次のような様々な中核的なOracle製品およびテクノロジに対する、増加するSTIGのリストを開発、発行およびメンテナンスしてきました。

  • Oracle Database

  • Oracle Solaris

  • Oracle Linux

  • Oracle WebLogic

STIGが更新されると、オラクル社は、製品のセキュリティを改善する次のような新しい方法を確認するため、最新の推奨事項を分析します。

  • STIGの将来のアップデートに追加される新しい、革新的なセキュリティ機能の実装

  • STIGの推奨事項の評価や実装を自動化する機能の提供

Oracle Audit Vault and Database FirewallでSTIGルールを使用可能にした後は、アップグレードを実行した場合に設定が保持されます。

STIGの推奨事項に基づく、「即時利用可能」なセキュリティ構成設定の改善

STIGの推奨事項

Oracle Audit Vault Serverは、高度にチューニングされテストされたソフトウェア・アプライアンスです。このサーバーにインストールされた追加のソフトウェアによって、動作が不安定になる場合があります。そのため、Oracle Audit Vault Serverにはソフトウェアをインストールしないことをお薦めします。ウイルスをスキャンする必要がある場合は、できるかぎり外部のスキャナを使用してください。

次に、外部スキャナを使用できず、Audit Vault Serverにアンチウイルスがインストールされている場合の例を示します。

  • 問題がある場合は、トラブルシューティングを有効にするために、アンチウイルス・ソフトウェアをアンインストールしてください。

  • 問題がなく、Oracle Audit Vault and Database Firewallに適用する新しいバンドル・パッチがある場合、Oracleサポートでは、ウイルス対策ソフトウェアをアンインストールし、パッチを適用した後、Oracle Audit Vault Serverでウイルス対策ソフトウェアを再インストールするよう求める場合があります。これによって、パッチを適用した後のいくつかの問題を回避できます。

  • 問題はないが、アンチウイルス・スキャナによってウイルスまたはマルウェアが検出された場合は、アンチウイルス・スキャナのベンダーに連絡して、検出結果が正しいかどうかを確認してください。

  • アンチウイルス・ソフトウェアを前もって削除しておらず、バンドル・パッチ・アップグレードが失敗した場合は、Oracle Audit Vault and Database Firewallをフレッシュ・インストールし、続いてバンドル・パッチ・アップグレードを実行してください。これを行ってから、アンチウイルス・スキャナをインストールしてください。

  • オラクル社が指示した手順に従っても、アンチウイルス・スキャナを完全にアンインストールできず、バンドル・パッチ・アップグレードが失敗する場合は、アンチウイルスのベンダーにソフトウェアを完全に削除する方法を問い合せてください。これが完了してから、Oracle Audit Vault and Database Firewallバンドル・パッチをインストールしてください。インストールが失敗した場合、クリーン・インストールが保証されます。

F.2 Oracle Audit Vault and Database FirewallでのSTIGルールの有効化および無効化

厳密モードを有効にすることで、Oracle Audit Vault and Database FirewallでSTIGルールを有効にできます。

F.2.1 Oracle Audit Vault and Database FirewallでのSTIGルールの有効化

Oracle Audit Vault and Database FirewallでSTIGルールを有効化する方法を学習します。

厳密モードを有効にするには:

  1. Oracle Audit Vault Serverのオペレーティング・システムにrootユーザーとしてログインします。
  2. 次のコマンドをrootとして実行します。

    /usr/local/dbfw/bin/stig --enable

F.2.2 Oracle Audit Vault and Database FirewallでのSTIGルールの無効化

Oracle Audit Vault and Database FirewallでSTIGルールを無効化する方法を学習します。

厳密モードを無効にするには:

  1. Oracle Audit Vault Serverのオペレーティング・システムにrootユーザーとしてログインします。
  2. 次のコマンドをrootとして実行します。

    /usr/local/dbfw/bin/stig --disable

F.3 Oracle Audit Vault and Database FirewallでのSTIGルールの現在の実装

オラクル社は、米国国防総省のセキュリティ技術導入ガイド(STIG)の推奨事項をサポートする、セキュリティを強化した構成のOracle Audit Vault and Database Firewallを開発しています。

表F-1は、STIG推奨事項の3つの脆弱性のカテゴリをリストしています。

表F-1 脆弱性のカテゴリ

カテゴリ 説明

CAT I

その搾取により、直接的および即時的に機密性、可用性または整合性の損失がもたらされる、任意の脆弱性。

CAT II

その搾取により、潜在的に機密性、可用性または整合性の損失がもたらされる、任意の脆弱性。

CAT III

その存在により、機密性、可用性または整合性の損失に対する保護対策が損われる、任意の脆弱性。

F.4 データベースのSTIGルールの現在の実装

Oracle Audit Vault and Database FirewallでのデータベースのSTIGルールの現在の実装について学習します。

表F-2は、Oracle Audit Vault and Database FirewallでのデータベースのSTIGルールの現在の実装を示しています。

表F-2 データベースのSTIGルールの現在の実装

STIG ID タイトル 重大度 スクリプトでの対応 ドキュメントでの対応 必要なアクション 実装済 ノート

DG0004-ORACLE11

DBMSアプリケーション・オブジェクトの所有者アカウント

CAT II

不要

不要

なし

いいえ

アプリケーション・オブジェクトの所有者アカウントAVSYSMANAGEMENTSECURELOGは、Oracle Audit Vault and Database Firewallのインストール後にロックされます。

DG0008-ORACLE11

DBMSアプリケーション・オブジェクトの所有権

不要

不要

可能

不要

いいえ

詳細は、「DG0008-ORACLE11 STIGルール」を参照してください。

DG0014-ORACLE11

DBMSのデモおよびサンプル・データベース

CAT II

不要

不要

なし

いいえ

すべてのデフォルトのデモおよびサンプル・データベースのオブジェクトが削除されています。

DG0071-ORACLE11

DBMSのパスワード変更の多様性

CAT II

不要

不要

不要

いいえ

現在はサポートされていません

DG0073-ORACLE11

DBMSの失敗したログイン・アカウントのロック

CAT II

可能

不要

不要

いいえ

MONITORING_PROFILEは、Oracle Audit Vault and Database Firewall 12.2にはもう存在しません。別のプロファイルのFAILED_LOGIN_ATTEMPTSは、スクリプトで必要な制限に設定されます。

DG0075-ORACLE11

DBMSの外部データベースへのリンク

CAT II

不要

可能

不要

いいえ

詳細は、「DG0075-ORACLE11、DO0250-ORACLE11 STIGルール」を参照してください。

DG0077-ORACLE11

共有システムでの本番データの保護

CAT II

不要

不要

なし

いいえ

なし

DG0116-ORACLE11

DBMSの特権ロールの割当て

CAT II

可能

可能

不要

いいえ

AV_ADMINからDBFS_ROLEが廃止されました。詳細は、「DG0116-ORACLE11 STIGルール」を参照してください。

DG0117-ORACLE11

DBMSの管理者特権の割当て

CAT II

不要

不要

不要

いいえ

現在はサポートされていません

DG0121-ORACLE11

DBMSのアプリケーション・ユーザー特権の割当て

CAT II

不要

不要

不要

いいえ

現在はサポートされていません

DG0123-ORACLE11

DBMSの管理データ・アクセス

CAT II

不要

不要

不要

いいえ

現在はサポートされていません

DG0125-ORACLE11

DBMSのアカウント・パスワードの有効期限

CAT II

可能

不要

不要

いいえ

MONITORING_PROFILEは、Oracle Audit Vault and Database Firewall 12.2にはもう存在しません。別のプロファイルのPASSWORD_LIFE_TIMEは、スクリプトで必要な制限に設定されます。

DG0126-ORACLE11

DBMSのアカウント・パスワードの再利用

CAT II

不要

不要

なし

いいえ

Oracle Audit Vault and Database Firewallでは、パスワードの再利用は許可されていません。

DG0128-ORACLE11

DBMSのデフォルトのパスワード

CAT I

可能

不要

不要

いいえ

アカウントOWBSYS_AUDITは、Oracle Audit Vault and Database Firewall 12.2にはもう存在しません。CTXSYSAUDSYSDBSNMPORDSYSなどのアカウントにはスクリプトでランダムなパスワードが割り当てられます。

DG0133-ORACLE11

DBMSのアカウント・ロック時間

CAT II

可能

不要

不要

いいえ

なし

DG0141-ORACLE11

DBMSのアクセス制御のバイパス

CAT II

可能

不要

不要

いいえ

ユーザーは、次のイベントの監査にスクリプトを使用できます。

DROP ANY SYNONYM

DROP ANY INDEXTYPE

DG0142-ORACLE11

DBMSの特権アクションの監査

CAT II

不要

不要

なし

いいえ

なし

DG0192-ORACLE11

DBMSのリモート・アクセスの完全修飾名

CAT II

可能

不要

不要

いいえ

現在はサポートされていません

DO0231-ORACLE11

Oracleアプリケーション・オブジェクトの所有者の表領域

CAT II

不要

不要

不要

いいえ

現在はサポートされていません

DO0250-ORACLE11

Oracleデータベースのリンクの使用方法

CAT II

不要

可能

不要

いいえ

詳細は、「DG0075-ORACLE11、DO0250-ORACLE11 STIGルール」を参照してください。

DO0270-ORACLE11

OracleのREDOログ・ファイルの可用性

CAT II

不要

不要

不要

いいえ

現在はサポートされていません

DO0350-ORACLE11

Oracleのシステム特権の割当て

CAT II

不要

不要

不要

いいえ

現在はサポートされていません

DO3475-ORACLE11

制限されたパッケージへのOracle PUBLICアクセス

CAT II

不要

不要

不要

いいえ

現在はサポートされていません

DO3536-ORACLE11

Oracle IDLE_TIMEプロファイル・パラメータ

CAT II

可能

不要

不要

いいえ

なし

DO3540-ORACLE11

Oracle SQL92_SECURITYパラメータ

CAT II

不要

不要

なし

いいえ

パラメータSQL92_SECURITYは、すでにTRUEに設定されています。

DO3609-ORACLE11

WITH ADMIN OPTIONで付与されたシステム権限

CAT II

不要

不要

不要

いいえ

現在はサポートされていません

DO3610-ORACLE11

Oracle最小オブジェクトの監査

CAT II

不要

不要

不要

いいえ

現在はサポートされていません

DO3689-ORACLE11

Oracleオブジェクトの権限のPUBLICへの割当て

CAT II

不要

不要

不要

いいえ

現在はサポートされていません

DO3696-ORACLE11

Oracle RESOURCE_LIMITパラメータ

CAT II

不要

不要

不要

いいえ

現在はサポートされていません

O121-BP-021900

Oracle REMOTE_OS_AUTHENTパラメータは、FALSEに設定されていなければなりません。

CAT I

不要

不要

不要

可能

なし

O121-BP-022000

Oracle REMOTE_OS_ROLESパラメータは、FALSEに設定されていなければなりません。

CAT I

不要

不要

不要

可能

なし

O121-BP-022700

Oracle Listenerは、管理認証を要求するように構成されていなければなりません。

CAT I

不要

不要

不要

可能

なし

O121-C1-004500

DBA OSアカウントには、DBMSの管理に必要なホスト・システム権限のみが付与されていなければなりません。

CAT I

不要

不要

不要

可能

Audit Vault and Database Firewallでは、OracleユーザーのみがSYSDBAとしてデータベースに接続できます。Oracleユーザーには必要な権限のみが付与されます。

O121-C1-011100

Oracleソフトウェアは、新しく検出された脆弱性に関して評価され、パッチ適用されていなければなりません。

CAT I

不要

不要

不要

いいえ

Audit Vault and Database Firewallリリースの四半期ごとのバンドル・パッチを適用して、Audit Vault ServerおよびDatabase Firewall上のOS、DBおよびJavaにパッチを適用してください。

O121-C1-015000

DBMSのデフォルト・アカウントには、カスタム・パスワードが割り当てられていなければなりません。

CAT I

可能

不要

不要

可能

DVSYSには、製品のカスタム・パスワードが割り当てられます。他のユーザーには、STIGスクリプトによってパスワードが割り当てられます。

O121-C1-015400

DBMSは、PKIベースの認証を使用するときに、対応する秘密キーへの認可されたアクセスを強制しなければなりません。

CAT I

不要

不要

不要

可能

なし

O121-C1-019700

DBMSは、送信データが別の物理的な手段で保護されていないかぎり、暗号メカニズムを採用して送信中の情報の不正な開示を避けなければなりません。

CAT I

不要

不要

不要

可能

Audit Vault Serverのsqlnet.oraに次の暗号化アルゴリズムのリストが設定されています: SQLNET.ENCRYPTION_TYPES_SERVER = (AES256,AES192,AES128)。エージェントとAudit Vault Server間の通信は暗号化されています。

O121-N1-015601

アプリケーションは、認証プロセス中の認証情報のフィードバックを隠蔽して、起こり得る搾取や未認可の個人による使用から情報を保護しなければなりません。

CAT I

不要

不要

不要

可能

Audit Vault and Database Firewallのすべてのパスワードは、Oracleウォレットに格納されているか、データベースで暗号化されています。すべてのパスワードは暗号化されたチャネルを介して送信されます。

O121-N1-015602

プレーン・テキストのパスワードを受け入れるOracle SQL*Plusなどのコマンドライン・ツールを使用する場合、ユーザーはパスワードが公開されない代替のログイン方法を使用しなければなりません。

CAT I

不要

不要

不要

完全には準拠できません。

Audit Vault and Database FirewallにはAVCLIコマンドライン・インタフェースがあります。パスワードをクリア・テキストで問題なく入力できます。しかし、AVCLIにはパスワードがクリア・テキストで公開されない代替のログイン手段も用意されています。

O121-OS-004600

DBMSソフトウェアのインストール・アカウントの使用は、DBMSソフトウェアのインストールのみに制限されていなければなりません。

CAT I

不要

不要

不要

可能

なし

O121-BP-021300

Oracleのインスタンス名にOracleのバージョン番号を含めてはなりません。

CAT II

不要

不要

不要

可能

なし

O121-BP-021400

固定ユーザー・リンクとパブリック・データベース・リンクは、使用を認可されていなければなりません。

CAT II

不要

「ノート」を参照してください。

不要

いいえ

「ノート」を参照してください

O121-BP-022100

SQL92_SECURITYパラメータは、TRUEに設定されていなければなりません。

CAT II

不要

不要

不要

可能

なし

O121-BP-022200

Oracle REMOTE_LOGIN_PASSWORDFILEパラメータは、EXCLUSIVEまたはNONEに設定されていなければなりません。

CAT II

不要

不要

不要

可能

なし

O121-BP-022300

WITH ADMIN OPTIONを使用して付与するシステム権限を未認可のユーザーに付与してはなりません。

CAT II

不要

不要

不要

可能

なし

O121-BP-022400

PUBLICロールにシステム権限を付与してはなりません。

CAT II

不要

不要

不要

可能

なし

O121-BP-022500

WITH ADMIN OPTIONを使用して付与するOracleロールを未認可のユーザーに付与してはなりません。

CAT II

不要

不要

不要

可能

なし

O121-BP-022600

PUBLICロールに付与されるオブジェクト権限は、制限されていなければなりません。

CAT II

不要

不要

不要

可能

なし

O121-BP-022800

アプリケーション・ロール権限をOracle PUBLICロールに割り当ててはなりません。

CAT II

不要

不要

不要

可能

なし

O121-BP-023000

中間層のWebおよびアプリケーション・システムによるOracle DBMSへの接続は、データベース、Web、アプリケーション、エンクレーブおよびネットワークの要件に従って保護、暗号化および認証されていなければなりません。

CAT II

不要

不要

不要

可能

なし

O121-BP-023200

未認可のデータベース・リンクを定義してアクティブ状態のままにしてはなりません。

CAT II

不要

「ノート」を参照してください。

不要

いいえ

「ノート」を参照してください

O121-BP-023600

認可されたシステム・アカウントのみがSYSTEM表領域をデフォルト表領域として持たなければなりません。

CAT II

不要

不要

不要

可能

なし

O121-BP-023900

Oracle _TRACE_FILES_PUBLICパラメータがある場合、それはFALSEに設定されていなければなりません。

CAT II

不要

不要

不要

可能

なし

O121-BP-025200

DBMSがリモートのデータベースまたはアプリケーションにアクセスするために保存して使用する資格証明は、認可され、認可されたユーザーのみに制限されていなければなりません。

CAT II

不要

「ノート」を参照してください。

不要

いいえ

「ノート」を参照してください

O121-BP-025700

DBMSのデータ・ファイルは、個々のアプリケーションのサポート専用でなければなりません。

CAT II

不要

不要

不要

可能

なし

O121-BP-025800

構成オプションの変更は、監査されていなければなりません。

CAT II

不要

不要

不要

可能

なし

O121-BP-026600

ネットワーク・クライアントの接続は、サポートされているバージョンのみに制限されていなければなりません。

CAT II

不要

不要

不要

可能

Audit Vault Serverのsqlnet.oraに次のパラメータが設定されています: SQLNET.ALLOWED_LOGON_VERSION_SERVER = 11

O121-C2-002100

アカウントが非アクティブだった期間が35日を超えた場合は、DBMSが自動的にアカウントを無効化しなければなりません。

CAT II

可能

不要

不要

いいえ

なし

O121-C2-003000

DBMSは、任意アクセス制御(DAC)ポリシーを強制して、ユーザーが指定した個人、個人のグループまたはその両方によって共有を指定および制御したり、アクセス権の伝播を制限したり、単一ユーザーの粒度へのアクセスを包含または除外したりできるようにしなければなりません。

CAT II

不要

不要

不要

可能

なし

O121-C2-003400

DBMSのプロセスまたはサービスをカスタムの専用OSアカウントで実行しなければなりません。

CAT II

不要

不要

不要

可能

なし

O121-C2-003600

1つのデータベース接続構成ファイルですべてのデータベース・クライアントを構成してはなりません。

CAT II

不要

不要

不要

可能

なし

O121-C2-004900

DBMSは、アカウントのロックアウトが管理者によってリセットされるまで続くことを確認しなければなりません。

CAT II

Audit Vault and Database Firewall 12.2.0.1.0のSTIGスクリプトで対応されています。

不要

不要

いいえ

なし

O121-C2-006700

任意アクセス制御(DAC)を利用するDBMSは、単一ユーザーの粒度へのアクセスを包含または排除するポリシーを強制しなければなりません。

CAT II

不要

不要

不要

可能

なし

O121-C2-006900

DBMSは、指定された組織担当者がデータベースによって監査される可能性があるイベントを選択できるようにしなければなりません。

CAT II

不要

不要

不要

可能

なし

O121-C2-011500

デフォルトのデモンストレーション、サンプル・データベース、データベース・オブジェクトおよびアプリケーションは、削除されていなければなりません。

CAT II

不要

不要

不要

可能

なし

O121-C2-011600

未使用のデータベース・コンポーネント、DBMSソフトウェアおよびデータベース・オブジェクトは、削除されていなければなりません。

CAT II

不要

不要

不要

可能

なし

O121-C2-011700

DBMSに統合され、アンインストールできない未使用のデータベース・コンポーネントは、無効にされていなければなりません。

CAT II

不要

不要

不要

可能

なし

O121-C2-013800

DBMSは、組織によって設定された定義済の非アクティブ期間が経過したユーザー・アカウントを無効化するという組織要件をサポートしなければなりません。

CAT II

可能

不要

不要

いいえ

なし

O121-C2-014600

DBMSは、パスワードの保存時に暗号化を強制するという組織要件をサポートしなければなりません。

CAT II

不要

不要

不要

可能

なし

O121-C2-015100

DBMSのパスワードを、コンパイル、エンコードまたは暗号化されたバッチ・ジョブ、あるいはコンパイル、エンコードまたは暗号化されたアプリケーション・ソース・コードに保存してはなりません。

CAT II

不要

不要

不要

可能

なし。

O121-C2-015200

DBMSは、パスワードの最大存続期間の制限を強制しなければなりません。

CAT II

可能

不要

不要

いいえ

なし

ノート:

DBリンクの使用については、Audit Vault and Database Firewall 12.2.0.1.0のSTIGドキュメントにすでに記載されています。

F.5 その他のノート

STIG IDに関するその他のノートは、表F-2にあります。

F.5.1 DG0008-ORACLE11 STIGルール

Audit Vault Serverでのオブジェクト所有者のアカウントは次のとおりです。

  • AVSYS

  • APEX_040100

  • MANAGEMENT

  • AVRULEOWNER

  • SECURELOG

  • AVREPORTUSER

Database Firewallでのオブジェクト所有者のアカウントは次のとおりです。

  • APEX_040100

  • MANAGEMENT

  • SECURELOG

F.5.2 DG0075-ORACLE11、DO0250-ORACLE11 STIGルール

Oracle Audit Vault Serverで使用されるデータベース・リンクは次のとおりです。

AVRPTUSR_LINK.DBFWDB:
 (DESCRIPTION=(ADDRESS=(PROTOCOL=TCP)(HOST=127.0.0.1)(PORT=1521))
 (CONNECT_DATA=(SERVICE_NAME=dbfwdb)))

データベース・リンクは、Oracle Audit Vault Serverのインストール中に作成され、REDOコレクタで使用されます。

F.5.3 DG0116-ORACLE11 STIGルール

表F-3は、Audit Vault Serverでのアカウントおよびロール割当てをリストしています。

表F-3 Audit Vault Serverでのアカウントおよびロール割当て

アカウント ロール割当て

AV_ADMIN

AQ_ADMINISTRATOR_ROLE

SELECT_CATALOG_ROLE

XDBADMIN

AV_AUDITOR

SELECT_CATALOG_ROLE

AV_MONITOR

SELECT_CATALOG_ROLE

AV_SOURCE

AQ_USER_ROLE

HS_ADMIN_ROLE

HS_ADMIN_EXECUTE_ROLE

HS_ADMIN_SELECT_ROLE

OEM_MONITOR

SELECT_CATALOG_ROLE

表F-4は、Database Firewallでのアカウントおよびロール割当てをリストしています。

表F-4 Database Firewallでのアカウントおよびロール割当て

アカウント ロール割当て

HS_ADMIN_ROLE

HS_ADMIN_EXECUTE_ROLE

HS_ADMIN_SELECT_ROLE

OEM_MONITOR

SELECT_CATALOG_ROLE

F.6 オペレーティング・システムのSTIGルールの現在の実装

オペレーティング・システムのSTIGルールの現在の実装について学習します。

このトピックには、Oracle Audit Vault and Database Firewallでのオペレーティング・システムのSTIGルールの現在の実装に関する情報が含まれています。

ノート:

オペレーティング・システムのSTIGルール・セットのリファレンスは次のとおりです。

表F-5 オペレーティング・システムのSTIGルール・セットのリファレンス

参照 詳細

ドキュメント

Oracle Linux 6セキュリティ技術導入ガイド

バージョン

1

リリース

6

リリース日

2016年4月22日

ドキュメントのリンク

Oracle Linux 6セキュリティ技術導入ガイド

表F-6 ユーザー・アクション: 定義およびガイドライン

ユーザー・アクション ガイドラインの説明

なし

このガイドラインはデフォルトで実装されているため、ユーザー・アクションは不要です。

厳密モードの有効化

このガイドラインは、アプライアンスを厳密モードに切り替えることで実装できます。

サイト・ポリシー

このガイドラインはローカル・ポリシーに応じて実装できますが、それには管理者のアクションが必要です。実装に関する追加情報は、ノート列を参照してください。

管理タスク

このガイドラインの実装は、インストールまたはアップグレード後の管理者の構成アクションです。定期的に使用および定義される管理手順になることもあります。

表F-7は、Oracle Audit Vault and Database Firewallでのオペレーティング・システムのSTIGルールの現在の実装を示しています。

表F-7 オペレーティング・システムのSTIGルールの現在の実装

STIG ID 重大度 ユーザー・アクション タイトル ノート

OL6-00-000008

CAT I

なし

システム・ソフトウェアの整合性を確認するため、ベンダーから提供される暗号証明書がインストールされていなければなりません。

デフォルトで実装済

OL6-00-000019

CAT I

なし

システム上に.rhostsまたはhosts.equivファイルが存在してはなりません。

デフォルトで実装済

OL6-00-000030

CAT I

なし

システムでは、空またはnullのパスワードで構成されたアカウントを使用しないでください。

デフォルトで実装済

OL6-00-000206

CAT I

なし

telnet-serverパッケージがインストールされていてはなりません。

デフォルトで実装済

OL6-00-000211

CAT I

なし

telnetデーモンが実行されていてはなりません。

デフォルトで実装済

OL6-00-000213

CAT I

なし

rsh-serverパッケージがインストールされていてはなりません。

デフォルトで実装済

OL6-00-000214

CAT I

なし

rshdサービスが実行されていてはなりません。

デフォルトで実装済

OL6-00-000216

CAT I

なし

rexecdサービスが実行されていてはなりません。

デフォルトで実装済

OL6-00-000218

CAT I

なし

rlogindサービスが実行されていてはなりません。

デフォルトで実装済

OL6-00-000227

CAT I

なし

SSHデーモンは、SSHv2プロトコルのみを使用するように構成しなければなりません。

デフォルトで実装済

OL6-00-000239

CAT I

なし

SSHデーモンは、空のパスワードを使用した認証を許可してはなりません。

デフォルトで実装済

OL6-00-000284

CAT I

管理タスク

システムは、DoDによって承認されたウイルス・スキャン・プログラムを使用および更新しなければなりません。

Audit Vault and Database Firewallにアンチウイルスは付属していません。管理者がインストールできます。

OL6-00-000286

CAT I

なし

x86 Ctrl-Alt-Deleteキー・シーケンスは、無効にされていなければなりません。

デフォルトで実装済

OL6-00-000309

CAT I

なし

NFSサーバーで、セキュアでないファイル・ロック・オプションを有効にしてはなりません。

デフォルトで実装済

OL6-00-000338

CAT I

なし

TFTPデーモンは、ホストのファイルシステムの1つのディレクトリにのみアクセスできるセキュア・モードで動作しなければなりません。

デフォルトで実装済

OL6-00-000341

CAT I

管理タスク

snmpdサービスで、デフォルトのパスワードを使用してはなりません。

Audit Vault and Database Firewallにより、インストール時にSNMPコミュニティ文字列がランダム化されます。特定の値を設定するには、WUIを使用します。

OL6-00-000005

CAT II

管理タスク

監査記憶域ボリュームが最大容量に近づいた場合、監査システムから指定されたスタッフ・メンバーに警告しなければなりません。

リモートsyslog転送を構成してください。

syslog経由のアラートに関する詳細なノート

OL6-00-000011

CAT II

管理タスク

システム・セキュリティ・パッチおよび更新がインストールされ、最新の状態になっていなければなりません。

バンドル・パッチを適切なタイミングで適用してください。

OL6-00-000013

CAT II

なし

システム・パッケージ管理ツールは、インストール中にシステム・ソフトウェア・パッケージの信頼性を暗号で確認しなければなりません。

デフォルトで実装済

OL6-00-000016

CAT II

なし

ファイル整合性ツールがインストールされていなければなりません。

デフォルトで実装済

OL6-00-000017

CAT II

なし

システムは、ブート時にLinux Security Moduleを使用しなければなりません。

デフォルトで実装済

OL6-00-000027

CAT II

なし

システムは、仮想コンソールからのrootアカウントでのログインを防止しなければなりません。

デフォルトで実装済

OL6-00-000031

CAT II

なし

/etc/passwdファイルには、パスワード・ハッシュを含めてはなりません。

デフォルトで実装済

OL6-00-000032

CAT II

なし

rootアカウントは、0のUIDを持つ唯一のアカウントでなければなりません。

デフォルトで実装済

OL6-00-000033

CAT II

なし

/etc/shadowファイルの所有者は、rootでなければなりません。

デフォルトで実装済

OL6-00-000034

CAT II

なし

/etc/shadowファイルの所有グループは、rootでなければなりません。

デフォルトで実装済

OL6-00-000035

CAT II

なし

/etc/shadowファイルのモードは0000でなければなりません。

デフォルトで実装済

OL6-00-000036

CAT II

なし

/etc/gshadowファイルの所有者は、rootでなければなりません。

デフォルトで実装済

OL6-00-000037

CAT II

なし

/etc/gshadowファイルの所有グループは、rootでなければなりません。

デフォルトで実装済

OL6-00-000038

CAT II

なし

/etc/gshadowファイルのモードは0000でなければなりません。

デフォルトで実装済

OL6-00-000039

CAT II

なし

/etc/passwdファイルの所有者は、rootでなければなりません。

デフォルトで実装済

OL6-00-000040

CAT II

なし

/etc/passwdファイルの所有グループは、rootでなければなりません。

デフォルトで実装済

OL6-00-000041

CAT II

なし

/etc/passwdファイルは、モード0644以下の権限でなければなりません。

デフォルトで実装済

OL6-00-000042

CAT II

なし

/etc/groupファイルの所有者は、rootでなければなりません。

デフォルトで実装済

OL6-00-000043

CAT II

なし

/etc/groupファイルの所有グループは、rootでなければなりません。

デフォルトで実装済

OL6-00-000044

CAT II

なし

/etc/groupファイルは、モード0644以下の権限でなければなりません。

デフォルトで実装済

OL6-00-000046

CAT II

なし

ライブラリ・ファイルの所有者は、システム・アカウントでなければなりません。

デフォルトで実装済

OL6-00-000047

CAT II

なし

すべてのシステム・コマンド・ファイルは、モード755以下の権限でなければなりません。

デフォルトで実装済

OL6-00-000048

CAT II

なし

すべてのシステム・コマンド・ファイルの所有者は、rootでなければなりません。

デフォルトで実装済

OL6-00-000050

CAT II

厳密モードの有効化

システムでは、少なくとも15文字を含むパスワードにしなければなりません。

厳密モードで実装される

OL6-00-000051

CAT II

なし

ユーザーは、24時間の内に2回以上パスワードを変更できません。

デフォルトで実装済

OL6-00-000053

CAT II

厳密モードの有効化

ユーザー・パスワードは、少なくとも60日ごとに変更する必要があります。

厳密モードで実装される

OL6-00-000061

CAT II

なし

システムでは、3回連続してログインの試行が失敗した場合、アカウントを無効化する必要があります。

デフォルトで実装済

OL6-00-000062

CAT II

なし

システムは、アカウントのパスワード・ハッシュ(system-auth)の生成に、FIPS 140-2で承認された暗号化ハッシュ・アルゴリズムを使用しなければなりません。

デフォルトで実装済

OL6-00-000063

CAT II

なし

システムは、アカウントのパスワード・ハッシュ(login.defs)の生成に、FIPS 140-2で承認された暗号化ハッシュ・アルゴリズムを使用しなければなりません。

デフォルトで実装済

OL6-00-000064

CAT II

なし

システムは、アカウントのパスワード・ハッシュ(libuser.conf)の生成に、FIPS 140-2で承認された暗号化ハッシュ・アルゴリズムを使用しなければなりません。

デフォルトで実装済

OL6-00-000065

CAT II

なし

システムのブート・ローダー構成ファイルの所有者は、rootでなければなりません。

デフォルトで実装済

OL6-00-000066

CAT II

なし

システムのブート・ローダー構成ファイルの所有グループは、rootでなければなりません。

デフォルトで実装済

OL6-00-000067

CAT II

なし

システムのブート・ローダー構成ファイルは、モード0600以下の権限でなければなりません。

デフォルトで実装済

OL6-00-000069

CAT II

管理タスク

システムには、単一ユーザーおよびメンテナンス・モードの起動時に認証が必要です。

OL6-00-000069に関する詳細なノート

OL6-00-000070

CAT II

なし

システムは、対話型ブートを許可してはなりません。

デフォルトで実装済

OL6-00-000078

CAT II

なし

システムは、仮想アドレス空間のランダム化を実装しなければなりません。

デフォルトで実装済

OL6-00-000079

CAT II

なし

システムは、プロセスによるメモリーへの同時書き込みおよび実行アクセスを制限しなければなりません。

デフォルトで実装済

OL6-00-000080

CAT II

なし

システムは、デフォルトでICMPv4リダイレクトを送信してはなりません。

デフォルトで実装済

OL6-00-000081

CAT II

なし

システムは、どのインタフェースでも、ICMPv4リダイレクトを送信してはなりません。

デフォルトで実装済

OL6-00-000082

CAT II

なし

システムがルーターでない場合は、IPv4のIPフォワーディングを有効にしてはなりません。

デフォルトで実装済

OL6-00-000083

CAT II

なし

システムは、どのインタフェースでも、IPv4ソース・ルーティング・パケットを受け入れてはなりません。

デフォルトで実装済

OL6-00-000084

CAT II

なし

システムは、どのインタフェースでも、ICMPv4リダイレクト・パケットを受け入れてはなりません。

デフォルトで実装済

OL6-00-000086

CAT II

なし

システムは、どのインタフェースでも、ICMPv4セキュア・リダイレクト・パケットを受け入れてはなりません。

デフォルトで実装済

OL6-00-000089

CAT II

なし

システムは、デフォルトでIPv4ソース・ルーティング・パケットを受け入れてはなりません。

デフォルトで実装済

OL6-00-000090

CAT II

なし

システムは、デフォルトでICMPv4セキュア・リダイレクト・パケットを受け入れてはなりません。

デフォルトで実装済

OL6-00-000095

CAT II

なし

システムは、TCP SYNフラッドの発生時にTCP syncookiesを使用するように構成されていなければなりません。

デフォルトで実装済

OL6-00-000096

CAT II

なし

システムは、可能な場合、すべてのインタフェース上のIPv4ネットワーク・トラフィック対してリバース・パス・フィルタを使用しなければなりません。

デフォルトで実装済

OL6-00-000097

CAT II

なし

システムは、可能な場合、デフォルトでIPv4ネットワーク・トラフィック対してリバース・パス・フィルタを使用しなければなりません。

デフォルトで実装済

OL6-00-000098

CAT II

なし

IPv6プロトコル・ハンドラは、必要な場合を除き、ネットワーク・スタックにバインドしてはなりません。

デフォルトで実装済

OL6-00-000099

CAT II

なし

システムは、デフォルトでICMPv6リダイレクトを無視しなければなりません。

デフォルトで実装済

OL6-00-000103

CAT II

なし

システムは、ローカルのIPv6ファイアウォールを採用しなければなりません。

該当なし

OL6-00-000106

CAT II

なし

オペレーティング・システムを外部のネットワークまたは情報システムに接続する場合は、組織のセキュリティ・アーキテクチャに従って配置された境界保護デバイスで構成される管理されたIPv6インタフェースを使用しなければなりません。

該当なし

OL6-00-000107

CAT II

なし

オペレーティング・システムは、境界保護デバイスを使用した管理インタフェースによって適切に仲介されたものを除き、組織の内部ネットワークに対するパブリックなIPv6アクセスを防止しなければなりません。

該当なし

OL6-00-000113

CAT II

なし

システムは、ローカルのIPv4ファイアウォールを採用しなければなりません。

デフォルトで実装済

OL6-00-000116

CAT II

サイト・ポリシー

オペレーティング・システムを外部のネットワークまたは情報システムに接続する場合は、組織のセキュリティ・アーキテクチャに従って配置された境界保護デバイスで構成される管理されたIPv4インタフェースを使用しなければなりません。

これは、Audit Vault and Database Firewallのスコープ外であり、外部で実施されている必要があります。

OL6-00-000117

CAT II

なし

オペレーティング・システムは、組織の内部ネットワークに対するパブリックなIPv4アクセスを防止しなければなりません。これは、境界保護デバイスを使用する適切に仲介された管理インタフェースを除きます。

デフォルトで実装済

OL6-00-000120

CAT II

なし

システムのローカルIPv4ファイアウォールは、インバウンド・パケットに対してすべてを拒否および例外によって許可のポリシーを実装しなければなりません。

デフォルトで実装済

OL6-00-000124

CAT II

なし

必要な場合を除いて、DCCP (Datagram Congestion Control Protocol)を無効にする必要があります。

デフォルトで実装済

OL6-00-000125

CAT II

なし

必要な場合を除いて、SCTP (Stream Control Transmission Protocol)を無効にする必要があります。

デフォルトで実装済

OL6-00-000127

CAT II

なし

必要な場合を除いて、TIPC (Transparent Inter-Process Communication)プロトコルを無効にしなければなりません。

デフォルトで実装済

OL6-00-000133

CAT II

なし

すべてのrsyslog生成ログ・ファイルの所有者は、rootでなければなりません。

デフォルトで実装済

OL6-00-000145

CAT II

なし

オペレーティング・システムは、イベントに関連するユーザー/サブジェクトのアイデンティティを確立するための十分な情報を含む監査レコードを生成しなければなりません。

デフォルトで実装済

OL6-00-000148

CAT II

なし

オペレーティング・システムは、リモート・アクセス方法の監視と制御を容易にする自動メカニズムを採用しなければなりません。

デフォルトで実装済

OL6-00-000154

CAT II

なし

オペレーティング・システムは、発生したイベントのタイプを確立するための十分な情報を含む監査レコードを生成しなければなりません。

デフォルトで実装済

OL6-00-000159

CAT II

なし

システムは、必要なログ保存期間をカバーするための十分なローテーションされる監査ログを保持しなければなりません。

デフォルトで実装済

OL6-00-000160

CAT II

なし

システムは、監査ログ・ファイルの最大サイズを設定しなければなりません。

デフォルトで実装済

OL6-00-000161

CAT II

なし

システムは、最大ファイル・サイズに達したら、監査ログ・ファイルをローテーションしなければなりません。

デフォルトで実装済

OL6-00-000163

CAT II

なし

監査システムは、使用可能な監査記憶域ボリュームが深刻に低下した場合、システムをシングル・ユーザー・モードに切り替えなければなりません。

デフォルトで実装済

OL6-00-000202

CAT II

なし

監査システムは、動的カーネル・モジュールのロードおよびアンロードを監査するように構成しなければなりません。

デフォルトで実装済

OL6-00-000203

CAT II

なし

xinetdサービスを利用するネットワーク・サービスが有効になっていない場合は、このサービスを無効にしなければなりません。

デフォルトで実装済

OL6-00-000220

CAT II

なし

ypservパッケージがインストールされていてはなりません。

デフォルトで実装済

OL6-00-000221

CAT II

なし

ypbindサービスが実行されていてはなりません。

デフォルトで実装済

OL6-00-000222

CAT II

なし

必要な場合を除いて、tftp-serverパッケージがインストールされていてはなりません。

デフォルトで実装済

OL6-00-000223

CAT II

なし

TFTPサービスが実行されていてはなりません。

デフォルトで実装済

OL6-00-000224

CAT II

なし

cronサービスが実行されていなければなりません。

デフォルトで実装済

OL6-00-000234

CAT II

なし

SSHデーモンは、.rhostsファイルを無視しなければなりません。

デフォルトで実装済

OL6-00-000236

CAT II

なし

SSHデーモンは、ホスト・ベースの認証を許可してはなりません。

デフォルトで実装済

OL6-00-000237

CAT II

なし

システムは、sshなどのリモート・アクセス・プログラムを使用したrootログインを許可してはなりません。

デフォルトで実装済

OL6-00-000243

CAT II

なし

SSHデーモンは、FIPS 140-2で承認された暗号のみを使用するように構成されていなければなりません。

デフォルトで実装済

OL6-00-000247

CAT II

管理タスク

システム・クロックは継続的に、少なくとも毎日、同期しなければなりません。

NTPサーバーを構成するには、WUIを使用します。

OL6-00-000248

CAT II

なし

システム・クロックは、正式なDoDのタイム・ソースと同期しなければなりません。

デフォルトで実装済

OL6-00-000249

CAT II

なし

メール中継は、制限しなければなりません。

デフォルトで実装済。Audit Vault and Database FirewallにSMTAは含まれていません。

OL6-00-000252

CAT II

なし

システムは、認証およびアカウント情報のためにLDAPを使用する場合、FIPS 140-2で承認された暗号アルゴリズムを使用してTLS接続を使用しなければなりません。

Audit Vault and Database Firewallでは、認証やアカウント情報のためにLDAPが使用されることはありません。

OL6-00-000253

CAT II

なし

LDAPクライアントは、CAによって署名された信頼証明書を使用してTLS接続を使用しなければなりません。

Audit Vault and Database Firewallでは、LDAPクライアントは使用されません。

OL6-00-000257

CAT II

なし

グラフィカルなデスクトップ環境は、アイドル・タイムアウトの値を15分以内に設定しなければなりません。

デフォルトで実装済

OL6-00-000258

CAT II

なし

グラフィカルなデスクトップ環境は、非アクティブになってから15分後に自動的にロックする必要があり、システムは、環境のロックを解除するため再認証をユーザーに要求しなければなりません。

デフォルトで実装済

OL6-00-000259

CAT II

なし

グラフィカルなデスクトップ環境は、自動ロックを有効にしなければなりません。

デフォルトで実装済

OL6-00-000269

CAT II

なし

リモート・ファイル・システムは、nodevオプションを使用してマウントされていなければなりません。

デフォルトで実装済

OL6-00-000270

CAT II

なし

リモート・ファイル・システムは、nosuidオプションを使用してマウントされていなければなりません。

デフォルトで実装済

OL6-00-000274

CAT II

なし

システムでは、5回分のパスワードを繰り返し再利用するのを禁止する必要があります。

デフォルトで実装済

OL6-00-000278

CAT II

なし

システム・パッケージ管理ツールは、監査パッケージに関連するすべてのファイルおよびディレクトリの権限を確認しなければなりません。

デフォルトで実装済

OL6-00-000279

CAT II

なし

システム・パッケージ管理ツールは、監査パッケージに関連するすべてのファイルおよびディレクトリの所有権を確認しなければなりません。

デフォルトで実装済

OL6-00-000280

CAT II

なし

システム・パッケージ管理ツールは、監査パッケージに関連するすべてのファイルおよびディレクトリのグループ所有権を確認しなければなりません。

デフォルトで実装済

OL6-00-000281

CAT II

なし

システム・パッケージ管理ツールは、監査パッケージに関連するすべてのファイルの内容を確認しなければなりません。

デフォルトで実装済

OL6-00-000282

CAT II

なし

システム上にworld-writableファイルが存在してはなりません。

デフォルトで実装済

OL6-00-000285

CAT II

なし

システムに、ホストベースの侵入検出ツールがインストールされていなければなりません。

デフォルトで実装済

OL6-00-000288

CAT II

なし

sendmailパッケージは削除しなければなりません。

デフォルトで実装済

OL6-00-000290

CAT II

なし

必要な場合を除いて、Xウィンドウを有効にしてはなりません。

デフォルトで実装済

OL6-00-000311

CAT II

管理タスク

監査システムは、割り当てられた監査レコードの記憶域ボリュームがドキュメント化された監査レコードの最大記憶域容量の割合に達したときに、警告を生成しなければなりません。

リモートsyslog転送を構成してください。

syslog経由のアラートに関する詳細なノート

OL6-00-000313

CAT II

なし

監査システムは、監査ログの記憶域ボリューム容量の問題の通知を受信するスタッフ・メンバーを識別しなければなりません。

デフォルトで実装済

OL6-00-000315

CAT II

なし

Bluetoothカーネル・モジュールは、無効にされていなければなりません。

デフォルトで実装済

OL6-00-000320

CAT II

なし

システムのローカル・ファイアウォールは、転送パケットに対してすべてを拒否および例外によって許可のポリシーを実装する必要があります。

デフォルトで実装済

OL6-00-000324

CAT II

なし

グラフィカルなデスクトップ環境のログイン・プロンプトの直前、またはその一部としてログイン・バナーを表示しなければなりません。

デフォルトで実装済

OL6-00-000326

CAT II

なし

国防総省(DoD)のログイン・バナーが、グラフィカルなデスクトップ環境のログイン・プロンプトの直前、またはその一部として表示されていなければなりません。

Audit Vault and Database Firewallにグラフィカルなデスクトップ環境は含まれていません。

OL6-00-000331

CAT II

なし

Bluetoothサービスは無効にされていなければなりません。

デフォルトで実装済

OL6-00-000347

CAT II

なし

システム上に.netrcファイルが存在してはなりません。

デフォルトで実装済

OL6-00-000348

CAT II

なし

システム上のFTPS/FTPサービスは、国防総省(DoD)のログイン・バナー付きで構成されていなければなりません。

Audit Vault and Database Firewallでは、FTPおよびFTPSは提供されません。

OL6-00-000356

CAT II

厳密モードの有効化

システムは、過度の失敗ログインの試行によってロックされたアカウントのロックを解除するために、管理者によるアクションを要求しなければなりません。

厳密モードで実装される

OL6-00-000357

CAT II

なし

15分の間隔内で過剰なログイン失敗があった場合、システムはアカウントを無効にしなければなりません。

デフォルトで実装済

OL6-00-000372

CAT II

なし

オペレーティング・システムは、ユーザーが正常にログインまたはアクセスしたときに、最後に成功したログインまたはアクセス以降の失敗したログインまたはアクセス試行の回数を表示しなければなりません。

デフォルトで実装済

OL6-00-000383

CAT II

なし

監査ログ・ファイルは、モード0640以下の権限でなければなりません。

デフォルトで実装済

OL6-00-000384

CAT II

なし

監査ログ・ファイルの所有者はrootでなければなりません。

デフォルトで実装済

OL6-00-000385

CAT II

なし

監査ログ・ディレクトリは、モード0755以下の権限でなければなりません。

デフォルトで実装済

OL6-00-000503

CAT II

なし

オペレーティング・システムは、モバイル・デバイスのオペレーティング・システムへの接続に対して、要件を強制しなければなりません。

デフォルトで実装済

OL6-00-000504

CAT II

サイト・ポリシー

オペレーティング・システムは、リカバリ時間目標およびリカバリ・ポイント目標と一致するバックアップを実行するため、オペレーティング・システムに含まれるユーザーレベル情報のバックアップを組織によって定義された頻度で実行しなければなりません。

バックアップに関する詳細なノート

OL6-00-000505

CAT II

サイト・ポリシー

オペレーティング・システムは、リカバリ時間目標およびリカバリ・ポイント目標と一致するバックアップを実行するため、情報システムに含まれるシステムレベル情報のバックアップを組織によって定義された頻度で実行しなければなりません。

バックアップに関する詳細なノート

OL6-00-000507

CAT II

なし

オペレーティング・システムは、ユーザーが正常にログオンしたときに、sshによる最後のログオンまたはアクセスの日時を表示しなければなりません。

デフォルトで実装済

OL6-00-000522

CAT II

なし

監査ログ・ファイルの所有グループは、rootでなければなりません。

デフォルトで実装済

OL6-00-000523

CAT II

なし

システムのローカルIPv6ファイアウォールは、インバウンド・パケットに対してすべてを拒否および例外によって許可のポリシーを実装する必要があります。

該当なし

OL6-00-000524

CAT II

サイト・ポリシー

システムは、アカウント管理機能に対する自動サポートを提供しなければなりません。

なし

OL6-00-000527

CAT II

なし

ログイン・ユーザー・リストは無効にされていなければなりません。

Audit Vault and Database Firewallには、グラフィカル・ログインは含まれていません。

OL6-00-000529

CAT II

なし

sudoコマンドでは、認証が要求されなければなりません。

デフォルトで実装済。sudoの使用が許可されているアカウントには、ログインが許可されません。

OL6-00-000001

CAT III

なし

システムでは、/tmp用に分離したファイルシステムを使用しなければなりません。

デフォルトで実装済

OL6-00-000002

CAT III

なし

システムでは、/var用に分離したファイルシステムを使用しなければなりません。

Audit Vault and Database Firewallでは、/varの下のディレクトリ用に分離したファイル・システムが使用されます。

OL6-00-000003

CAT III

なし

システムでは、/var/log用に分離したファイルシステムを使用しなければなりません。

デフォルトで実装済

OL6-00-000007

CAT III

なし

システムでは、ユーザーのホーム・ディレクトリ用に分離したファイルシステムを使用しなければなりません。

デフォルトで実装済

OL6-00-000009

CAT III

なし

Red Hatネットワーク・サービス(rhnsd)は、Oracle Unbreakable Linux Networkに対する更新および情報の問合せに使用される場合を除き、実行してはなりません。

デフォルトで実装済

OL6-00-000015

CAT III

なし

システム・パッケージ管理ツールは、インストール中にすべてのソフトウェア・パッケージの信頼性を暗号で確認しなければなりません。

デフォルトで実装済

OL6-00-000023

CAT III

なし

システムは、システム・サービスの権限を制限するように構成されたLinux Security Moduleを使用しなければなりません。

デフォルトで実装済

OL6-00-000028

CAT III

なし

システムは、シリアル・コンソールからのrootアカウントでのログインを防止しなければなりません。

デフォルトで実装済

OL6-00-000054

CAT III

なし

パスワードの期限切れ前の7日間、ユーザーに警告しなければなりません。

デフォルトで実装済

OL6-00-000056

CAT III

なし

システムでは、パスワードに少なくとも1つの数字を含めなければなりません。

デフォルトで実装済

OL6-00-000057

CAT III

なし

システムでは、パスワードに少なくとも1つの大文字のアルファベット文字を含めなければなりません。

デフォルトで実装済

OL6-00-000058

CAT III

なし

システムでは、パスワードに少なくとも1つの特殊文字を含めなければなりません。

デフォルトで実装済

OL6-00-000059

CAT III

なし

システムは、パスワードに小文字のアルファベット文字を1つ以上含めるように要求しなければなりません。

デフォルトで実装済

OL6-00-000060

CAT III

管理タスク

システムは、パスワードの変更時に古いパスワードと新しいパスワードの間で少なくとも8つの文字を変更するように要求しなければなりません。

OL6-00-000060に関する詳細なノート

OL6-00-000091

CAT III

なし

システムは、デフォルトでICMPv4リダイレクト・メッセージを無視しなければなりません。

デフォルトで実装済

OL6-00-000092

CAT III

なし

システムは、ブロードキャスト・アドレスへ送信されたICMPv4に応答してはなりません。

デフォルトで実装済

OL6-00-000093

CAT III

なし

システムは、ICMPv4の偽装エラー応答を無視しなければなりません。

デフォルトで実装済

OL6-00-000126

CAT III

なし

必要な場合を除いて、RDS (Reliable Datagram Sockets)プロトコルを無効にしなければなりません。

デフォルトで実装済

OL6-00-000138

CAT III

なし

システム・ログは、毎日ローテーションされていなければなりません。

デフォルトで実装済

OL6-00-000165

CAT III

なし

監査システムは、adjtimexを介してシステム時間を変更しようとするすべての試みに対し、監査を行うように構成しなければなりません。

デフォルトで実装済

OL6-00-000167

CAT III

なし

監査システムは、settimeofdayを介してシステム時間を変更しようとするすべての試みに対し、監査を行うように構成しなければなりません。

デフォルトで実装済

OL6-00-000169

CAT III

なし

監査システムは、stimeを介してシステム時間を変更しようとするすべての試みに対し、監査を行うように構成しなければなりません。

デフォルトで実装済

OL6-00-000171

CAT III

なし

監査システムは、clock_settimeを介してシステム時間を変更しようとするすべての試みに対し、監査を行うように構成しなければなりません。

デフォルトで実装済

OL6-00-000173

CAT III

なし

監査システムは、/etc/localtimeを介してシステム時間を変更しようとするすべての試みに対し、監査を行うように構成しなければなりません。

デフォルトで実装済

OL6-00-000174

CAT III

なし

オペレーティング・システムは、アカウントの作成を自動的に監査しなければなりません。

デフォルトで実装済

OL6-00-000175

CAT III

なし

オペレーティング・システムは、アカウントの変更を自動的に監査しなければなりません。

デフォルトで実装済

OL6-00-000176

CAT III

なし

オペレーティング・システムは、アカウントの無効化アクションを自動的に監査しなければなりません。

デフォルトで実装済

OL6-00-000177

CAT III

なし

オペレーティング・システムは、アカウントの終了を自動的に監査しなければなりません。

デフォルトで実装済

OL6-00-000183

CAT III

なし

監査システムは、システムのMandatory Access Control (MAC)構成(SELinux)への変更を監査するように構成しなければなりません。

デフォルトで実装済

OL6-00-000184

CAT III

なし

監査システムは、chmodを使用した、すべての恣意的なアクセス・コントロール権限の変更を監査するように構成しなければなりません。

デフォルトで実装済

OL6-00-000185

CAT III

なし

監査システムは、chownを使用した、すべての恣意的なアクセス・コントロール権限の変更を監査するように構成しなければなりません。

デフォルトで実装済

OL6-00-000186

CAT III

なし

監査システムは、fchmodを使用した、すべての恣意的なアクセス・コントロール権限の変更を監査するように構成しなければなりません。

デフォルトで実装済

OL6-00-000187

CAT III

なし

監査システムは、fchmodatを使用した、すべての恣意的なアクセス・コントロール権限の変更を監査するように構成しなければなりません。

デフォルトで実装済

OL6-00-000188

CAT III

なし

監査システムは、fchownを使用した、すべての恣意的なアクセス・コントロール権限の変更を監査するように構成しなければなりません。

デフォルトで実装済

OL6-00-000189

CAT III

なし

監査システムは、fchownatを使用した、すべての恣意的なアクセス・コントロール権限の変更を監査するように構成しなければなりません。

デフォルトで実装済

OL6-00-000190

CAT III

なし

監査システムは、fremovexattrを使用した、すべての恣意的なアクセス・コントロール権限の変更を監査するように構成しなければなりません。

デフォルトで実装済

OL6-00-000191

CAT III

なし

監査システムは、fsetxattrを使用した、すべての恣意的なアクセス・コントロール権限の変更を監査するように構成しなければなりません。

デフォルトで実装済

OL6-00-000192

CAT III

なし

監査システムは、lchownを使用した、すべての恣意的なアクセス・コントロール権限の変更を監査するように構成しなければなりません。

デフォルトで実装済

OL6-00-000193

CAT III

なし

監査システムは、lremovexattrを使用した、すべての恣意的なアクセス・コントロール権限の変更を監査するように構成しなければなりません。

デフォルトで実装済

OL6-00-000194

CAT III

なし

監査システムは、lsetxattrを使用した、すべての恣意的なアクセス・コントロール権限の変更を監査するように構成しなければなりません。

デフォルトで実装済

OL6-00-000195

CAT III

なし

監査システムは、removexattrを使用した、すべての恣意的なアクセス・コントロール権限の変更を監査するように構成しなければなりません。

デフォルトで実装済

OL6-00-000196

CAT III

なし

監査システムは、setxattrを使用した、すべての恣意的なアクセス・コントロール権限の変更を監査するように構成しなければなりません。

デフォルトで実装済

OL6-00-000197

CAT III

なし

監査システムは、ファイルおよびプログラムへのアクセス試行の失敗を監査するように構成されていなければなりません。

デフォルトで実装済

OL6-00-000199

CAT III

なし

監査システムは、正常なファイルシステム・マウントを監査するように構成しなければなりません。

デフォルトで実装済

OL6-00-000200

CAT III

なし

監査システムは、ユーザーのファイルやプログラムの削除を監査するように構成しなければなりません。

デフォルトで実装済

OL6-00-000201

CAT III

なし

監査システムは、/etc/sudoersファイルへの変更を監査するように構成しなければなりません。

デフォルトで実装済

OL6-00-000204

CAT III

なし

xinetdサービスを利用するネットワーク・サービスが有効になっていない場合は、このサービスをアンインストールしなければなりません。

デフォルトで実装済

OL6-00-000230

CAT III

なし

SSHデーモンは、アイドル・セッションのタイムアウト間隔を設定しなければなりません。

デフォルトで実装済

OL6-00-000231

CAT III

なし

SSHデーモンは、アイドル・セッションのタイムアウト・カウントを設定しなければなりません。

デフォルトで実装済

OL6-00-000241

CAT III

なし

SSHデーモンは、ユーザーの環境設定を許可してはなりません。

デフォルトで実装済

OL6-00-000246

CAT III

なし

avahiサービスは無効にされていなければなりません。

デフォルトで実装済

OL6-00-000256

CAT III

なし

必要な場合を除いて、openldap-serversパッケージがインストールされていてはなりません。

デフォルトで実装済

OL6-00-000260

CAT III

なし

システムは、グラフィカルなデスクトップ環境のセッション・ロック中に、パブリックに表示可能なパターンを表示しなければなりません。

デフォルトで実装済

OL6-00-000261

CAT III

なし

自動バグ報告ツール(abrtd)サービスが実行されていてはなりません。

デフォルトで実装済

OL6-00-000262

CAT III

なし

atdサービスは無効にされていなければなりません。

デフォルトで実装済

OL6-00-000265

CAT III

なし

ntpdateサービスが実行されていてはなりません。

デフォルトで実装済

OL6-00-000266

CAT III

なし

oddjobdサービスが実行されていてはなりません。

デフォルトで実装済

OL6-00-000267

CAT III

なし

qpiddサービスが実行されていてはなりません。

デフォルトで実装済

OL6-00-000268

CAT III

なし

rdiscサービスが実行されていてはなりません。

デフォルトで実装済

OL6-00-000271

CAT III

なし

リムーバブル・メディア・パーティションには、noexecオプションが追加されていなければなりません。

Audit Vault and Database Firewallのfstabには、リムーバブル・メディア・パーティションのエントリはありません。

OL6-00-000273

CAT III

なし

システムは、mount.cifsを使用してsambaサーバーに接続するために、署名を行うSMBクライアントを使用しなければなりません。

Audit Vault and Database Firewallでは、mount.cifsは使用されません。

OL6-00-000289

CAT III

なし

必要な場合を除いて、netconsoleサービスは無効にされていなければなりません。

デフォルトで実装済

OL6-00-000291

CAT III

なし

必要な場合を除いて、xorg-x11-server-common (X Windows)パッケージがインストールされていてはなりません。

デフォルトで実装済

OL6-00-000294

CAT III

なし

/etc/passwdで参照されるすべてのGIDは、/etc/groupで定義されていなければなりません。

デフォルトで実装済

OL6-00-000296

CAT III

なし

システム上のすべてのアカウントは、一意のユーザー名またはアカウント名を持っていなければなりません。

デフォルトで実装済

OL6-00-000297

CAT III

なし

一時アカウントは、有効期限付きでプロビジョニングされていなければなりません。

Audit Vault and Database Firewallは、一時アカウントをサポートしません。

OL6-00-000298

CAT III

なし

緊急アカウントは、有効期限付きでプロビジョニングされていなければなりません。

Audit Vault and Database Firewallは、緊急アカウントをサポートしません。

OL6-00-000299

CAT III

なし

システムは、パスワードに含まれる連続した繰り返し文字が3つ以内になるように要求しなければなりません。

デフォルトで実装済

OL6-00-000308

CAT III

管理タスク

必要な場合を除き、プロセスのコア・ダンプは無効にされていなければなりません。

OL6-00-000308に関する詳細なノート

OL6-00-000319

CAT III

管理タスク

システムは、同時にシステム・ログインするユーザーの数を10(または運用上の要件に従ってサイトで定めた数)までに制限しなければなりません。

OL6-00-000319に関する詳細なノート

OL6-00-000336

CAT III

なし

すべてのパブリック・ディレクトリにスティッキー・ビットを設定しなければなりません。

デフォルトで実装済

OL6-00-000337

CAT III

なし

すべてのパブリック・ディレクトリの所有者は、システム・アカウントでなければなりません。

デフォルトで実装済

OL6-00-000339

CAT III

なし

FTPデーモンは、ロギング・モードまたは冗長モードで構成されていなければなりません。

Audit Vault and Database Firewallには、FTPデーモンは含まれていません。

OL6-00-000345

CAT III

なし

/etc/login.defs内のシステムのデフォルトのumaskは、077でなければなりません。

デフォルトで実装済

OL6-00-000346

CAT III

なし

デーモンのシステムのデフォルトのumaskは、027または022でなければなりません。

デフォルトで実装済

OL6-00-000508

CAT III

なし

システムは、グラフィカルなデスクトップ・セッションのロックを許可しなければなりません。

Audit Vault and Database Firewallには、グラフィカルなデスクトップは含まれていません。

OL6-00-000515

CAT III

なし

NFSサーバーでall_squashオプションを有効にしてはなりません。

Audit Vault and Database Firewallでは、NFSは提供されません。

OL6-00-000525

CAT III

なし

カーネルのパラメータを設定して、起動時に監査を有効にしなければなりません。

デフォルトで実装済

OL6-00-000526

CAT III

なし

必要な場合を除いて、自動化されたファイルシステム・マウント・ツールを有効にしてはなりません。

デフォルトで実装済

ノート1: syslog経由のアラート:

Oracle Audit Vault and Database Firewallでは、syslog経由でアラートが送信されます。適切なsyslog宛先を構成するには、WUIを使用します。

syslogオプションは、ローカルのログ管理インフラストラクチャが適切なタイミングで適切な管理者に通知することを実証できる場合に、許容されます。

メッセージは次の形式になっています。

Audit daemon has no space left on logging partition
Audit daemon is suspending logging due to no space left on logging partition.

ノート2: バックアップ:

これは、Oracle Audit Vault and Database Firewallのスコープ外です。

Oracle Audit Vault and Database Firewallには、これをサポートするツールが用意されています。(例: sshtar)。

ノート3 OL6-00-000319: 管理者のアクション:

  1. rootユーザーとしてログインします。

  2. 次のファイルを作成します。

    /etc/security/limits.d/99-avdf-maxlogins.conf

  3. ファイルに次の内容を含めます。

    # Bug 24398453
    * hard maxlogins 10

ノート4 OL6-00-000308: 管理者のアクション:

  1. rootユーザーとしてログインします。

  2. 次のファイルを作成します。

    /etc/security/limits.d/99-avdf-core.conf

  3. ファイルに次の内容を含めます。

    # Bug 24397420
    * hard core 0

ノート5 OL6-00-000060: 管理者のアクション:

  1. rootユーザーとしてログインします。

  2. 次のファイルのバックアップを取得します。

    /usr/local/dbfw/templates/template-system-auth

  3. バックアップを正常に取得したら、元のファイルを編集します。文字列difok=4を見つけて、difok=8に置き換えます

  4. rootユーザーで次のコマンドを実行します。

    /usr/local/dbfw/bin/stig --apply

  5. 変更を確認します。次のコマンドの出力を確認します。

    find /etc/pam.d -type f \! -name \*.bak -exec fgrep difok {} +

ノート6 OL6-00-000069: 管理者のアクション:

  1. rootユーザーとしてログインします。

  2. 次のファイルのバックアップを作成します。

    /etc/sysconfig/init

  3. バックアップを正常に取得したら、ファイルを編集します。キーSINGLEを見つけて、SINGLE=/sbin/suloginに置き換えます