Oracle® Linux 7

セキュリティ・ガイド

オラクル社の法律上の注意点
Oracleドキュメント・ライセンス

E54670-19

2020年2月


目次

はじめに
1 Oracle Linuxセキュリティの概要
1.1 セキュリティの基本的な考慮事項
1.1.1 ソフトウェアを最新の状態に保つ
1.1.2 クリティカル・サービスへのネットワーク・アクセスの制限
1.1.3 最小権限の原則の順守
1.1.4 システム・アクティビティの監視
1.1.5 最新のセキュリティ情報に関する最新の状態を維持
1.2 Oracle Linux Security Modelについて
1.3 Oracle Linuxセキュリティの概要
1.4 Oracle Linux環境について
1.5 推奨されるデプロイメント構成
1.6 コンポーネントのセキュリティ
1.7 参考資料
2 セキュアなインストールおよび構成
2.1 インストール前のタスク
2.2 Oracle Linuxのインストール
2.2.1 Shadowパスワードおよびハッシュ・アルゴリズム
2.2.2 強力なパスワード
2.2.3 別個のディスク・パーティション
2.2.4 暗号化されたディスク・パーティション
2.2.5 ソフトウェアの選択
2.2.6 ネットワーク・タイム・サービス
2.3 インストール後のタスク
3 Oracle Linuxセキュリティの実装
3.1 データ暗号化の構成および使用
3.2 証明書管理の構成および使用
3.2.1 opensslコマンドについて
3.2.2 keytoolコマンドについて
3.3 認証の構成および使用
3.3.1 ローカルでのOracle Linux認証について
3.3.2 IPAについて
3.3.3 LDAP認証について
3.3.4 NIS認証について
3.3.5 Winbind認証について
3.3.6 Kerberos認証について
3.4 Pluggable Authentication Moduleの構成および使用
3.5 アクセス制御リストの構成および使用
3.6 SELinuxの構成と使用
3.6.1 SELinuxの管理について
3.6.2 SELinuxのモードについて
3.6.3 SELinuxモードの設定
3.6.4 SELinuxのポリシーについて
3.6.5 SELinuxコンテキストについて
3.6.6 SELinuxユーザーについて
3.6.7 アクセス拒否メッセージのトラブルシューティング
3.7 監査の構成および使用
3.8 システム・ロギングの構成および使用
3.8.1 Logwatchの構成
3.9 プロセス・アカウンティングの構成および使用
3.10 ソフトウェア管理の構成および使用
3.10.1 更新およびパッチ管理の構成
3.10.2 Yumセキュリティ・プラグインのインストールおよび使用
3.11 ネットワーク・サービスへのアクセスの構成
3.11.1 パック対応のファイアウォールの構成および使用
3.11.2 firewalldサービスの制御
3.11.3 iptablesファイアウォール・サービスの制御
3.11.4 TCPラッパーの構成および使用
3.12 chroot Jailsの構成と使用
3.12.1 Chroot JailでのDNSおよびFTPサービスの実行
3.12.2 Chroot Jailの作成
3.12.3 Chroot Jailの使用
3.13 Linux Containersの構成および使用
3.14 カーネル・セキュリティ・メカニズムの構成および使用
3.14.1 アドレス空間配置のランダム化
3.14.2 データ実行防止
3.14.3 位置独立実行形式
4 開発者のセキュリティ上の考慮事項
4.1 セキュアなコーディングのための設計原則
4.2 セキュアなコーディングの一般的なガイドライン
4.3 ネットワーク・プログラムの一般的なガイドライン
5 セキュアなデプロイメントのためのチェックリスト
5.1 ソフトウェアのフットプリントの最小化
5.2 システム・ロギングの構成
5.3 コア・ダンプの無効化
5.4 アクティブ・サービスの最小化
5.5 ネットワーク・サービスのロック・ダウン
5.6 パック対応のファイアウォールの構成
5.7 TCPラッパーの構成
5.8 カーネル・パラメータの構成
5.9 SSH接続へのアクセスの制限
5.10 ファイル・システムのマウント、ファイル権限およびファイル所有権の構成
5.11 ユーザーのアカウントおよび権限の確認
6 OpenSCAPを使用した脆弱性のスキャン
6.1 SCAPについて
6.2 SCAPパッケージのインストール
6.3 oscapコマンドについて
6.4 使用可能なSCAP情報の表示
6.5 SCAPファイルの情報の表示
6.6 使用可能なプロファイルの表示
6.7 OVALおよびXCCDFファイルの検証
6.8 プロファイルに対するスキャンの実行
6.9 完全セキュリティ・ガイドの生成
6.10 OVAL監査スキャンの実行
7 Oracle LinuxにおけるFIPS 140-2準拠
7.1 Oracle LinuxのFIPS検証済み暗号モジュール
7.2 Oracle LinuxでのFIPSモードの有効化
7.3 Oracle LinuxのFIPS検証済み暗号モジュールのインストール
8 Oracle Linux 7共通の基準証明