Oracle Cloud Infrastructureドキュメント

セキュリティ構成で90日後に資格証明のローテーションが必要

2017年12月18日から2018年4月5日までにリリースされたOracle Linux 6.9および7.4イメージのデフォルトのセキュリティ構成では、資格証明のローテーションは90日以内に行われる必要があります。 90日の時間枠で資格証明をローテーションしないと、そのインスタンスへのアクセスは拒否されます。

Oracle Linuxイメージは2018年4月6日以降に開始され、後でこのデフォルトのセキュリティ構成はありません。

2017年12月18日〜2018年4月5日の間にリリースされたOracle Linux 6.9イメージと7.4イメージに基づいて、インスタンスのデフォルトのセキュリティ構成を変更するには、以下のステップを実行します。

アクセス可能なインスタンスの構成を変更

インスタンスにアクセスできる場合は、次のシェル・スクリプトを実行して、デフォルトで有効になっている90日間の資格証明のローテーションを削除します。

if [ "$EUID" -ne 0 ]
    then echo "Please run under sudo, or as root"
    exit 1
fi

if [[ $( grep -c "Maipo" /etc/redhat-release ) -gt 0 ]]
    # Oracle Linux 7
    then CMD_PREFIX=/usr
else
    CMD_PREFIX=""
fi

# Fix existing users
if [[ $( $CMD_PREFIX/bin/grep -c ":90:7:90:" /etc/shadow ) -gt 0 ]]; then
    echo "Fixing affected users"
    $CMD_PREFIX/bin/sed -i.bkp 's/:90:7:90:/:99999:7::/g' /etc/shadow
fi

# Change the defaults from useradd: /etc/default/useradd
if [[ $( $CMD_PREFIX/bin/egrep -c "^INACTIVE=90" /etc/default/useradd ) -gt 0 ]]; then
    echo "Fixing useradd defaults"
    $CMD_PREFIX/bin/sed -i.bkp '/INACTIVE=90/d' /etc/default/useradd
    $CMD_PREFIX/bin/sed -i.bkp2 's/#INACTIVE=-1/INACTIVE=-1/g' /etc/default/useradd
fi

# Change the PAM defaults for new users
if [[ $( $CMD_PREFIX/bin/egrep -c "^PASS_MAX_DAYS 90" /etc/login.defs ) -gt 0 ]]; then
    echo "Fixing PAM defaults"
    $CMD_PREFIX/bin/sed -i.bkp '/PASS_MAX_DAYS 90/d' /etc/login.defs
    $CMD_PREFIX/bin/sed -i.bkp2 's/#PASS_MAX_DAYS\s*99999/PASS_MAX_DAYS 99999/g' /etc/login.defs
fi

アクセスが拒否されたインスタンスのリカバリ・ステップ

インスタンスへのアクセスが拒否され、ログインできない場合は、インスタンスを終了しないでください。 アクセスをリカバリするには、Oracle Linuxバージョンに該当するリカバリ・ステップを実行する必要があります。次のトピックのいずれかを参照してください: