1. セキュリティ・ガイド
  2. セキュアなインストールおよび構成

3 セキュアなインストールおよび構成

この章では、セキュアなインストールのための計画プロセスについて概説し、インストール時の選択内容がシステム・セキュリティに及ぼす影響について説明します。

インストール前の作業

Oracle Linuxをインストールする物理システムのセキュリティは、重要な考慮事項の1つです。可能な場合は、サーバー・システムをロックされたデータ・センターに保持して、認可されたユーザーにアクセスを制限します。また、ヒューマン・エラーはしばしばセキュリティ違反の原因になるため、これらのユーザーは適切な管理トレーニングを受ける必要があります。利用可能なOracle Linuxコースおよび認定オプションの詳細は、https://education.oracle.comを参照してください。

漏えいおよびデータ暴露のリスクは別にして、物理セキュリティが重要なのは、不正なユーザーがシステムBIOSの変更、ブート・デバイスの変更、代替メディアからのブートが行う可能性を防ぐためです。システムがロックされたデータ・センターに保持されていない場合は、BIOSをパスワードで保護することを検討してください。BIOSパスワードの設定については、システム製造元のドキュメントを参照してください。BIOS設定を編集して、CD-ROMドライブ、フロッピー・ディスク・ドライブ、USBポートおよびその他の外部デバイスからのブートを無効にします。また、インストール時にディスクの暗号化を構成したり、インストール後にGRUBブート・ローダーをパスワードで保護することもできます。

ノート:

BIOS、暗号化されたディスク、ブート・ローダーのパスワードを設定すると、システムのリブート時にパスワードの入力を要求されます。攻撃者がBIOSのリセット、メモリー・スティックからのオペレーティング・システムのブートによるディスクへのアクセス、ハード・ドライブを取り外して他のシステムで内容を読み取るなどの技法を使用する場合、ディスクの暗号化によってのみデータへのアクセスを防ぐことができます。

Oracle Linuxのインストール

Oracle Linuxをインストールする際、操作に必要なソフトウェア・パッケージのみをインストールすることで、攻撃対象領域を減らすことができます。ソフトウェア・パッケージは、攻撃者が違法にアクセス権を取得してシステムを危険にさらすために使用できる可能性のあるsetuidプログラム、ネットワーク・サービス、ライブラリのソースとなる恐れがあります。

事前テスト済のkickstartプロファイルを使用して、インストールされる内容を一貫して詳細に制御できます。kickstartプロファイルを使用した自動インストールにより、セキュリティ・リスクと管理作業の両方が軽減されます。

OSイメージおよび明示的なプロビジョニング・プロファイルのインポートをサポートする、Oracle Enterprise Manager Ops Centerを使用することもできます。詳細は、Oracle Enterprise Manager Ops Centerのドキュメントを参照してください。

Shadowパスワードおよびハッシュ・アルゴリズム

デフォルトでは、Oracle Linuxシステムはあらゆるユーザーから読取り可能な/etc/passwdファイルではなく/etc/shadowファイルに格納されているパスワード・ハッシュを使用するように構成されています。Shadowパスワードが使用されていない場合、攻撃者が解析ソフトウェアをハッシュに適用してパスワードを検出できる可能性が高くなります。同様に、SHA-512よりも弱いパスワード・ハッシュ・アルゴリズムを使用すると、ハッシュ値と一致する候補を見つけやすくなります。

強力なパスワード

ネットワーク経由ではなくローカルにユーザーを認証するように選択した場合は、インストール時に、rootおよび1人の追加ユーザーのパスワードを入力するよう求められます。入力するパスワードは、当て推量や自動化されたFTPまたはSSHログインなどの方法で推測するのが極めて困難な強力なものにする必要があります。デフォルトでは、インストール・プロセスでnullパスワードは拒否され、弱いパスワードは警告されますが、強力なパスワードは強制されません。パスワードを十分に強力にするのユーザーの責任です。

強力なパスワードを作成するための、一般的なガイドラインをいくつか示します。

  • パスワードは8文字以上にします。

  • 大文字、小文字、数字、その他の文字を組み合せて使用します。

  • 逆順のスペリングであっても、英語、リート・スピークまたはその他の言語または技術のワード全体を含めないでください。

  • 名前、日付、住所、メール・アドレス、電話番号などの個人情報は使用しないでください。

  • よく知られた頭字語、略語、または文字順(QWERTYなど)は使用しないでください。

  • システムで以前使用したパスワードと同じパスワード、またはよく似たパスワードは使用しないでください。

  • rootには、他のユーザーのパスワードとは異なるパスワードを使用してください。

別個のディスク・パーティション

National Security Agency (NSA)の推奨事項では、/home/tmpおよび/var/tmpなどのユーザー書込み可能ファイル・システムを/とは別のパーティションに設定すべきとしています。また、rootファイル・システムを暗号化する場合、/bootは専用ファイル・システムにする必要があるとしています。

暗号化されたディスク・パーティション

ディスク・レイアウトを選択する際、Linux Unified Key Setup (LUKS)形式でディスク・パーティションを暗号化するオプションが用意されています。他のパスワードと同様に、パーティションを暗号化する場合は、強力なパスフレーズを入力してください。

ノート:

/bootファイル・システムは暗号化できません。

ソフトウェアの選択

システムにインストールするソフトウェアをカスタマイズする場合、デフォルト・セットからパッケージを選択または選択解除できます。たとえば、基本的なサーバー構成では、「デスクトップ」セクションからGnomeおよびKDEデスクトップ・ソフトウェアおよびX Window Systemパッケージはインストールされません。サーバー・システムにインストールできる追加パッケージは、「サーバー」「Webサービス」「データベース」およびその他のセクション見出しから入手できます。

ネットワーク・タイム・サービス

ネットワーク経由でデータおよび時間を同期する場合、システムはデフォルトで[012].rhel.pool.ntp.org共有サーバーを使用するNTPクライアントとして構成されます。参加する各システムのクロックの厳密な同期が要求されるKerberos認証に依拠している場合、かわりにローカルのNTPサーバーを使用するようシステムを構成することが推奨されます。

インストール後の作業

Oracle Linuxシステムのセキュリティの構成方法については、「Oracle Linuxセキュリティの実装」を参照してください。

Oracle Linuxシステムを強化するためのガイドラインは、「セキュリティのガイドライン」を参照してください。