| Oracle® Fusion Middleware Oracle Exalytics In-Memory Machineインストレーションおよび管理ガイド for Linux Exalyticsソフトウェア・リリース2.0.0.1.0 for Exalytics X2-4、X3-4、X4-4、X5-4およびX6-4 E80493-01 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle Exalytics In-Memory Machineインストレーションおよび管理ガイド for Linux Exalyticsソフトウェア・リリース2.0.0.1.0 for Exalytics X2-4、X3-4、X4-4、X5-4およびX6-4 E80493-01 |
|
前 |
次 |
この章では、Exalytics Machineをハードニングする際に実行する作業について説明します。
Oracle Exalyticsリリース2.1のBase Imageは、Exalytics Hardeningスクリプト(STIGfix)にあらかじめインストールされています。
セキュリティ技術導入ガイド(STIG)は、アメリカ合衆国国防総省(DoD)の機関であるアメリカ国防情報システム局(DISA)により定められたセキュリティ構成標準です。
STIGfixスクリプトを使用して、Exalytics Machineを強化することで、STIG標準に準拠します。
この章の項目は次のとおりです。
次のようにして、Exalyticsハードニング・スクリプトを実行します。
rootユーザーとしてログオンします。
次のコマンドを入力します。
# /opt/exalytics/stigfix/bin/stigfix
次に、Exalytics MachineがSTIGガイドラインのコンプライアンスに準拠しているかどうかチェックします。
次のようにして、STIGコンプライアンスをチェックします。
次のリンクに移動します。
Linux 6オペレーティング・システムでは、次の手順を実行します。
「SCAP 1.1 Content」セクションで、「Red Hat 6 STIG Benchmark - Version 1, Release 11」をクリックして、U_RedHat_6_V1R7_STIG_SCAP_1-1_Benchmark.zipファイルをダウンロードします。
RHEL6 STIGポリシーを使用してスキャンを実行するには、次のコマンドを実行します。
# export PATH=/usr/bin:/usr/sbin:$PATH
# oscap xccdf eval --results results-xccdf.xml --oval-results --cpe U_RedHat_6_V1R7_STIG_SCAP_1-1_Benchmark-cpe-dictionary.xml U_RedHat_6_V1R7_STIG_SCAP_1-1_Benchmark-xccdf.xml
oscapコマンドで生成される出力ファイルには、特定のテストがパスした、または失敗したことが示されます。
詳細を表示するには、次のコマンドを入力します。
# oscap xccdf generate report --output results-xccdf.html results-xccdf.xml
スキャン・レポートが表示されます。
スキャン・レポートを確認して、テストがパスしたことを確認します。
出力は、次のようなものです。
Scan Report
Introduction
Test Result
Result ID Profile Start time End time Benchmark Benchmark version
xccdf_org.open-scap_testresult_default-profile (Default profile)
2015-04-10 12:16 2015-02-10 12:16 embedded 1
Target info
Targets
<name of the Exalytics Machine>
Addresses
127.0.x.xx
10.242.xxx.xxx
0:0:0:0:0:0:0:x
2606:b400:2010:504d:210:e0ff:fe46:xxx
fe80:0:0:0:210:e0ff:fe46:xxx
Applicable platforms
cpe:/o:redhat:enterprise_linux:6
Score
system score max % bar
urn:xccdf:scoring:default 80.79 100.00 80.79%
Results overview
Rule Results Summary
pass fixed fail error not selected not checked not applicable informational unknown total
286 0 68 0 0 0 0 0 0 354
Title Result
The system must require authentication upon booting into single-user and maintenance modes. pass
The Department of Defense (DoD) login banner must be displayed immediately prior to, or as part of, console login prompts. fail
The system must disable accounts after three consecutive unsuccessful login attempts. pass
The root account must be the only account having a UID of 0. pass
The root user's home directory must not be the root directory (/). pass
The root account's home directory (other than /) must have mode 0700. pass
表9-1には、STIGfixスクリプトを実行して修正された脆弱性のリストを示します。
表9-1 STIGfixスクリプトによる修正済脆弱性のリスト
| 脆弱性ID | 説明 |
|---|---|
|
GEN000000_LNX00380 |
Xserverでは、次のいずれのオプションも使用できません: -ac、-core (デバッグ以外)または-nolock |
|
GEN000000-LNX00440 |
/etc/security/access.confファイルには、モード0640以下の権限が必要です。 |
|
GEN000000-LNX00520 |
/etc/sysctl.confファイルには、モード0600以下の権限が必要です。 |
|
GEN000000-LNX00580 |
x86 CTRL-ALT-DELETEキー・シーケンスを無効にする必要があります。 |
|
GEN000020 |
システムには、単一ユーザーおよびメンテナンス・モードの起動時に認証が必要です。(CCE-4241-6) |
|
GEN000252 |
時間同期構成ファイル(/etc/ntp.confなど)には、モード0640以下の権限が必要です。 |
|
GEN000290-2 |
システムに不要な(news)アカウントを使用しないでください。 |
|
GEN000290-3 |
システムに不要な(gopher)アカウントを使用しないでください。 |
|
GEN000290-4 |
システムに不要な(ftp)アカウントを使用しないでください。 |
|
GEN000460 |
システムでは、3回連続してログインの試行が失敗した場合、アカウントを無効化する必要があります。 |
|
GEN000500_2 |
グラフィカル・デスクトップ環境では、アイドル・タイムアウトを15分以内に設定する必要があります。 注意: Linux 6オペレーティング・システムでは、Failステータスを無視して構いません。 |
|
GEN000500_3 |
システムによって提供されるグラフィカル・デスクトップ環境では、自動ロックを有効化する必要があります。 |
|
GEN000540 |
ユーザーは、24時間の内に2回以上パスワードを変更できません。 |
|
GEN000560 |
システムでは、空またはnullのパスワードで構成されたアカウントを使用しないでください。 |
|
GEN000580 |
システムでは、少なくとも14文字を含むパスワードが必要です。 |
|
GEN000590 |
システムでは、アカウント・パスワード・ハッシュを生成するためのFIPS 140-2で承認された暗号化ハッシュ・アルゴリズムを使用する必要があります。 |
|
GEN000600 |
システムでは、パスワードに少なくとも1つの大文字のアルファベット文字を含める必要があります。 |
|
GEN000610 |
システムでは、パスワードに少なくとも1つの小文字のアルファベット文字を含める必要があります。 |
|
GEN000620 |
システムでは、パスワードに少なくとも1つの数字を含める必要があります。 |
|
GEN000640 |
システムでは、パスワードに少なくとも1つの特殊文字を含める必要があります。 |
|
GEN000680 |
システムでは、パスワードに3回までの連続した繰り返しの文字を含める必要があります。 |
|
GEN000700 |
ユーザー・パスワードは、少なくとも60日ごとに変更する必要があります。 |
|
GEN000750 |
システムには、パスワードの変更時に古いパスワードと新しいパスワードの間で少なくとも4つの文字を変更する必要があります。 |
|
GEN000800 |
システムでは、5回分のパスワードを繰り返し再利用するのを禁止する必要があります。 |
|
GEN000920 |
rootアカウントのホーム・ディレクトリ(/以外)には、モード0700が必要です。 |
|
GEN000940 |
rootアカウントの実行可能な検索パスは、ベンダーのデフォルトであり、絶対パスのみを含める必要があります。 |
|
GEN000980 |
システムでは、システム・コンソールからのログインを除き、rootアカウントによる直接ログインを防ぐ必要があります。 |
|
GEN001120 |
システムでは、sshなどのリモート・アクセス・プログラムを使用したrootログインを許可しないでください。 |
|
GEN001720 |
すべてのグローバル初期化ファイルには、モード0644以下の権限が必要です。 |
|
GEN002100 |
rhostsファイルをPAMでサポートしないでください。 |
|
GEN002560 |
システムおよびユーザーのデフォルトumaskには、077を指定してください |
|
GEN003060 |
cron.allowファイルが存在しない場合、デフォルトのシステム・アカウント(rootを除く)をcron.allowファイルにリストしないか、cron.denyファイルに含める必要があります。 |
|
GEN003080 |
crontabファイルには、モード0600以下の権限が必要で、cronスクリプト・ディレクトリには、モード0700以下の権限が必要です。 |
|
GEN003080-2 |
cronスクリプト・ディレクトリ内のファイルには、モード0700以下の権限が必要です。 |
|
GEN003200 |
cron.denyファイルには、モード0600以下の権限が必要です。 |
|
GEN003320 |
at.allowファイルが存在しない場合、デフォルトのシステム・アカウント(rootを除く)をat.allowファイルにリストしないか、at.denyファイルに含める必要があります。 |
|
GEN003609 |
システムでは、IPv4インターネット・コントロール・メッセージ・プロトコル(ICMP)のリダイレクト・メッセージを無視する必要があります。 |
|
GEN003610 |
システムでは、IPv4インターネット・コントロール・メッセージ・プロトコル(ICMP)のリダイレクトを送信しないでください。 |
|
GEN003740 |
xinetd構成ファイルには、モード0640以下の権限が必要です。 |
|
GEN003810 |
必要な場合を除き、portmapまたはrpcbindサービスを実行しないでください。 注意: Linux 6オペレーティング・システムでは、Failステータスを無視して構いません。 |
|
GEN004000 |
tracerouteファイルには、モード0700以下の権限が必要です。 |
|
GEN004540 |
SMTPサービスのHELPコマンドを有効にしないでください。 |
|
GEN004580 |
システムでは、forwardファイルを使用しないでください。 |
|
GEN005040 |
すべてのFTPユーザーには、077のデフォルトumaskを指定する必要があります。 注意: Linux 6オペレーティング・システムでは、Failステータスを無視して構いません。 |
|
GEN005320 |
snmpd.confファイルには、モード0600以下の権限が必要です。 |
|
GEN005390 |
/etc/syslog.confファイルには、モード0640以下の権限が必要です。 注意: Linux 6オペレーティング・システムでは、Failステータスを無視して構いません。 |
|
GEN005501 |
SSHクライアントを構成して、SSHv2プロトコルのみを使用する必要があります。 |
|
GEN005505 |
SSHデーモンを構成して、FIPS 140-2で承認された暗号のみを使用する必要があります。 |
|
GEN005507 |
SSHデーモンを構成して、FIPS 140-2で承認された暗号化ハッシュ・アルゴリズムを使用するメッセージ認証コード(MAC)のみを使用する必要があります。 |
|
GEN005550 |
SSHデーモンを国防総省(DoD)ログオン・バナーで構成する必要があります。このファイルには、強化されたシステムにアクセスするユーザーに表示されるバナー・メッセージが含まれます。ユーザーは、STIGfixを適用する前にこのファイルを変更して企業ポリシーまたはバナー・メッセージを追加する必要があります。 |
|
GEN007020 |
必要な場合を除いて、SCTP (Stream Control Transmission Protocol)を無効にする必要があります。 |
|
GEN007080 |
必要な場合を除いて、DCCP (Datagram Congestion Control Protocol)を無効にする必要があります。 |
|
GEN007480 |
必要な場合を除いて、RDS (Reliable Datagram Sockets)プロトコルを無効にするか、インストールしないようにする必要があります。 |
|
GEN007540 |
TIPC (Transparent Inter-Process Communication)プロトコルを無効にするか、アンインストールする必要があります。 |
|
GEN007660 |
Bluetoothプロトコル・ハンドラを無効にするか、インストールしないようにする必要があります。 |
|
GEN008040 |
システムが認証またはアカウント情報にLDAPを使用している場合、システムではLDAPサーバーの証明書が取り消されていないことを確認する必要があります。 |
|
GEN008700 |
システム・ブート・ローダーには認証が必要です。 |
Linuxオペレーティング・システムに応じて、次のいずれかの手順を実行します。
Linux 5オペレーティング・システムでは、次の手順を実行します。
前提条件: 次のインストール・パッケージをダウンロードします。
|
注意: 必要なRPMおよびZIPファイルをダウンロードするには、My Oracle Supportに移動し、必要なパッチ(パッチ番号23498419)をダウンロードします。 |
exalytics-hardening-1.0.0.8-3.noarch.rpm
次のリンク先から、U_RedHat_5_V1R14_STIG_SCAP_1-1_Benchmark.zipファイルをダウンロードします。
openscapユーティリティは、Yumチャネルを使用してインストールできます。
ユーティリティを手動でインストールするには、Yumチャネルから(ol5_x86_64_latest)次のファイルをダウンロードします。
openscap-utils-1.0.8-1.el5_10.x86_64.rpm
openscap-1.0.8-1.el5_10.x86_64.rpm
Exalyticsの強化ファイルをインストールするには、次のコマンドを実行します。
# rpm -ivh exalytics-hardening-1.0.0.8-3.noarch.rpm
stigfixスクリプトをrootユーザーとして実行するには、次のコマンドを実行します。
# /opt/exalytics/stigfix/bin/stigfix
|
注意: 非rootユーザーを作成するよう求められた場合、次のコマンドを実行します。
ここで、<User>と<PWD>は、それぞれ非rootユーザーのユーザー名およびパスワードです。 |
oscapユーティリティをインストールするには、次のコマンドを実行します。
# rpm -ivh -nosignature openscap*
|
注意: oscapユーティリティがインストールされたかどうかを確認するには、次のコマンドを実行します。
oscapユーティリティがインストールされている場合、次の出力が表示されます。
|
U_RedHat_5_V1R14_STIG_SCAP_1-1_Benchmarkファイルを解凍するには、次のコマンドを実行します。
# unzip U_RedHat_5_V1R14_STIG_SCAP_1-1_Benchmark.zip
次のコマンドを実行します。
# export PATH=/usr/bin:/usr/sbin:$PATH
# oscap xccdf eval --results results-xccdf.xml --oval-results --cpe
U_RedHat_5_V1R14_STIG_SCAP_1-1_Benchmark-cpe-dictionary.xml
U_RedHat_5_V1R14_STIG_SCAP_1-1_Benchmark-xccdf.xml
# oscap xccdf generate report --output results-xccdf.html results-xccdf.xml
results-xccdf.htmlファイルに生成されたスキャン・レポートが表示されます。
Linux 6オペレーティング・システムでは、次の手順を実行します。
前提条件: 次のインストール・パッケージをダウンロードします。
|
注意: 必要なRPMおよびZIPファイルをダウンロードするには、My Oracle Supportに移動し、必要なパッチ(パッチ番号23498270)をダウンロードします。 |
exalytics-hardening-2.0.0.1-13_el6.noarch.rpm
次のリンク先から、U_RedHat_6_V1R10_STIG_SCAP_1-1_Benchmark.zipファイルをダウンロードします。
openscapユーティリティは、Yumチャネルを使用してインストールできます。ユーティリティを手動でインストールするには、Yumチャネルから(ol6_x86_64_latest)次のファイルをダウンロードします。
fakeroot-1.12.2-22.2.el6.x86_64.rpm fakeroot-libs-1.12.2-22.2.el6.x86_64.rpm openscap-1.0.10-3.0.2.el6.x86_64.rpm openscap-scanner-1.0.10-3.0.2.el6.x86_64.rpmopenscap-utils-1.0.10-3.0.2.el6.x86_64.rpmrpmdevtools-7.5-2.0.1.el6.noarch.rpm
Exalyticsの強化ファイルをインストールするには、次のコマンドを実行します。
# rpm -ivh exalytics-hardening-2.0.0.1-13_el6.noarch.rpm
stigfixスクリプトをrootユーザーとして実行するには、次のコマンドを実行します。
# /opt/exalytics/stigfix/bin/stigfix
|
注意: 非rootユーザーを作成するよう求められた場合、次のコマンドを実行します。
ここで、<User>と<PWD>は、それぞれ非rootユーザーのユーザー名およびパスワードです。 |
oscapユーティリティをインストールするには、次のコマンドを実行します。
# rpm -ivh -nosignature fakeroot*
# rpm -ivh -nosignature rpmdevtools*
# rpm -ivh -nosignature openscap*
|
注意: oscapユーティリティがインストールされたかどうかを確認するには、次のコマンドを実行します。
oscapユーティリティがインストールされている場合、次の出力が表示されます。
|
U_RedHat_6_V1R10_STIG_SCAP_1-1_Benchmarkファイルを解凍するには、次のコマンドを実行します。
# unzip U_RedHat_6_V1R10_STIG_SCAP_1-1_Benchmark.zip
次のコマンドを実行します。
# export PATH=/usr/bin:/usr/sbin:$PATH
# oscap xccdf eval --results results-xccdf.xml --oval-results --cpe
U_RedHat_6_V1R10_STIG_SCAP_1-1_Benchmark-cpe-dictionary.xml
U_RedHat_6_V1R10_STIG_SCAP_1-1_Benchmark-xccdf.xml
# oscap xccdf generate report --output results-xccdf.html results-xccdf.xml
results-xccdf.htmlファイルに生成されたスキャン・レポートが表示されます。
