Oracle DatabaseのデフォルトのSGA権限の変更について

Oracle Database 12cリリース2 (12.2.0.1)以降、デフォルトでは、システム・グローバル領域(SGA)への読取りおよび書込み権限はOracleソフトウェア・インストール所有者のみに制限されます。

以前のリリースでは、Oracleインストール所有者アカウントとOSDBAグループのメンバーの両方が、共有メモリーに対するアクセス権を持っていました。Oracle Database 12cリリース2 (12.2)以降のリリースでは、デフォルトでOracleインストール所有者アカウントにアクセス権が制限されるように変更され、以前の構成よりセキュリティが強化されています。ただし、この変更によって、Oracleインストール所有者アカウントへのアクセス権を持たないDBAは、データベースを管理できなくなる可能性があります。

Oracle Databaseの初期化パラメータALLOW_GROUP_ACCESS_TO_SGAは、Oracle Databaseインストール所有者アカウント(Oracleドキュメントの例ではoracle)のみがデータベースのシステム・グローバル領域(SGA)への読取りおよび書込みを行えるか、またはOSDBAグループのメンバーがSGAの読取りを行えるかどうかを決定します。Oracle Database 12cリリース2 (12.2)以降のリリースでは、このパラメータのデフォルト値はFALSEで、Oracle Databaseインストール所有者のみがSGAへの読取りおよび書込み権限を持っています。SGAに対するグループ・アクセス権は、デフォルトで削除されています。この変更は、すべてのLinuxおよびUNIXプラットフォームに影響します。

OSDBAグループのメンバーがSGAに対する読取り権限を必要とする場合は、初期化パラメータALLOW_GROUP_ACCESS_TO_SGAの設定をFALSEからTRUEに変更します。SGAへのアクセスをoracleユーザー・アカウントに制限する、デフォルトの権限を受け入れることを強くお薦めします。