1. 管理者ガイド
  2. セキュリティ技術導入ガイドのコンプライアンス標準

D セキュリティ技術導入ガイドのコンプライアンス標準

Oracle Key Vaultは、セキュリティ技術導入ガイド(STIG)ベースのコンプライアンス標準に従っています。

D.1 セキュリティ技術導入ガイドについて

セキュリティ技術導入ガイド(STIG)は、米国国防総省(DOD)が従っている方法です。

STIGは、コンピュータ・システムとネットワークの攻撃対象領域を減らすように設計されているため、DODネットワーク内に格納されている機密性の高い情報のロックダウンが保証されます。STIGにより、DODの情報保証(IA)およびIAが有効なデバイスおよびシステムのセキュアな構成の標準が提供されます。STIGは、国防情報システム局(DISA)によって作成されています。

10年以上の間、オラクル社はDODと緊密に協働しながら、次のような様々な中核的なOracle製品およびテクノロジに対する、増加するSTIGのリストを開発、公開およびメンテナンスしてきました。

  • Oracle Database

  • Oracle Solaris

  • Oracle Linux

  • Oracle WebLogic

STIGが更新されると、オラクル社は、製品のセキュリティを改善する次のような新しい方法を確認するため、最新の推奨事項を分析します。

  • STIGの将来の更新に追加される新しい、革新的なセキュリティ機能の実装

  • STIGの推奨事項の評価や実装を自動化する機能の提供

  • STIGの推奨事項に基づく、セキュリティ構成の即時利用可能設定の改善

関連項目

親トピック: セキュリティ技術導入ガイドのコンプライアンス標準

D.2 Oracle Key VaultでのSTIGルールの有効化および無効化

「Strict」モードを有効にすることにより、Oracle Key VaultでSTIGルールを有効にできます。

親トピック: セキュリティ技術導入ガイドのコンプライアンス標準

D.2.1 Oracle Key VaultでのSTIGルールの有効化

コマンドラインからSTIGルール(「Strict」モード)を有効化します。

  1. Key Vaultサーバーのオペレーティング・システムにrootユーザーとしてログインします。
  2. 次のコマンドをrootとして実行します。
    /usr/local/dbfw/bin/stig -–enable

親トピック: Oracle Key VaultのSTIGルールの有効化および無効化

D.2.2 Oracle Key VaultでのSTIGルールの無効化

コマンドラインからSTIGルール(「Strict」モード)を無効化します。

  1. Key Vaultサーバーのオペレーティング・システムにrootユーザーとしてログインします。
  2. 次のコマンドをrootとして実行します。
    /usr/local/dbfw/bin/stig -–disable

親トピック: Oracle Key VaultのSTIGルールの有効化および無効化

D.3 Oracle Key VaultでのSTIGルールの現在の実装

STIGの推奨事項が対処する脆弱性のカテゴリに注意する必要があります。

オラクル社は、米国国防総省のセキュリティ技術導入ガイド(STIG)の推奨事項をサポートする、セキュリティを強化したOracle Key Vaultの構成を開発してきました。

表D-1に、STIGの推奨事項が対処する3つの脆弱性のカテゴリを示します。

表D-1 脆弱性のカテゴリ

カテゴリ 説明

CAT I

その利用により、直接的および即時的に機密性、可用性または整合性の損失がもたらされる、すべての脆弱性。

CAT II

その利用により、潜在的に機密性、可用性または整合性の損失がもたらされる、すべての脆弱性。

CAT III

その存在により、機密性、可用性または整合性の損失に対する保護対策が損われる、すべての脆弱性。

親トピック: セキュリティ技術導入ガイドのコンプライアンス標準

D.4 データベースのSTIGルールの現在の実装

データベースのSTIGルールの現在の実装には、広範なルールが含まれます。

表D-2に、Oracle Key VaultでのデータベースのSTIGルールの現在の実装を示します。

表D-2 データベースのSTIGルールの現在の実装

STIG ID タイトル 重大度 スクリプトでの対応 ドキュメントでの対応 必要なアクション 実装済 注意

DG0004-ORACLE11

DBMSアプリケーション・オブジェクトの所有者アカウント

CAT II

なし

なし

なし

なし

アプリケーション・オブジェクトの所有者アカウントKEYVAULTAPEX_040200MANAGEMENTおよびAVSYSは、Oracle Key Vaultのインストール後にロックされます。

DG0008-ORACLE11

DBMSアプリケーション・オブジェクトの所有権

なし

なし

あり

なし

なし

Oracle Key Vaultサーバーのオブジェクト所有者アカウントは次のとおりです。

  • KEYVAULT
  • APEX_040200
  • AVSYS
  • MANAGEMENT

DG0014-ORACLE11

DBMSのデモおよびサンプル・データベース

CAT II

なし

なし

なし

なし

すべてのデフォルトのデモおよびサンプル・データベースのオブジェクトが削除されています。

DG0071-ORACLE11

DBMSのパスワード変更の多様性

CAT II

なし

なし

なし

なし

現在はサポートされていません

DG0073-ORACLE11

DBMSの失敗したログイン・アカウントのロック

CAT II

あり

なし

なし

なし

プロファイルの場合、FAILED_LOGIN_ATTEMPTSは、スクリプトで必要な制限に設定されます。

DG0075-ORACLE11

DBMSの外部データベースへのリンク

CAT II

なし

あり

なし

なし

なし

DG0077-ORACLE11

共有システムでの本番データの保護

CAT II

なし

なし

なし

なし

なし

DG0116-ORACLE11

DBMSの特権ロールの割当て

CAT II

あり

あり

なし

なし

なし

DG0117-ORACLE11

DBMSの管理権限の割当て

CAT II

なし

なし

なし

なし

現在はサポートされていません

DG0121-ORACLE11

DBMSのアプリケーション・ユーザー権限の割当て

CAT II

なし

なし

なし

なし

現在はサポートされていません

DG0123-ORACLE11

DBMSの管理データ・アクセス

CAT II

なし

なし

なし

なし

現在はサポートされていません

DG0125-ORACLE11

DBMSのアカウント・パスワードの有効期限

CAT II

あり

なし

なし

なし

プロファイルの場合、PASSWORD_LIFE_TIMEは、スクリプトで必要な制限に設定されます。

DG0126-ORACLE11

DBMSのアカウント・パスワードの再利用

CAT II

なし

なし

なし

なし

なし。

DG0128-ORACLE11

DBMSのデフォルトのパスワード

CAT I

あり

なし

なし

なし

アカウントCTXSYSには、スクリプトでランダムなパスワードが割り当てられます。

DG0133-ORACLE11

DBMSのアカウント・ロック時間

CAT II

あり

なし

なし

なし

なし

DG0141-ORACLE11

DBMSのアクセス制御のバイパス

CAT II

あり

なし

なし

なし

ユーザーは、次のイベントの監査にスクリプトを使用できます。

DROP ANY SYNONYM

DROP ANY INDEXTYPE

DG0142-ORACLE11

DBMSの特権アクションの監査

CAT II

なし

なし

なし

なし

なし

DG0192-ORACLE11

DBMSのリモート・アクセスの完全修飾名

CAT II

あり

なし

なし

なし

現在はサポートされていません

DO0231-ORACLE11

Oracleアプリケーション・オブジェクトの所有者の表領域

CAT II

なし

なし

なし

なし

現在はサポートされていません

DO0250-ORACLE11

Oracle Databaseのリンクの使用方法

CAT II

なし

あり

なし

なし

なし

DO0270-ORACLE11

OracleのREDOログ・ファイルの可用性

CAT II

なし

なし

なし

なし

現在はサポートされていません

DO0350-ORACLE11

Oracleのシステム権限の割当て

CAT II

なし

なし

なし

なし

現在はサポートされていません

DO3475-ORACLE11

制限されたパッケージへのOracle PUBLICアクセス

CAT II

なし

なし

なし

なし

現在はサポートされていません

DO3536-ORACLE11

Oracle IDLE_TIMEプロファイル・パラメータ

CAT II

あり

なし

なし

なし

なし

DO3540-ORACLE11

Oracle SQL92_SECURITYパラメータ

CAT II

なし

なし

なし

なし

パラメータSQL92_SECURITYは、すでにTRUEに設定されています。

DO3609-ORACLE11

WITH ADMIN OPTIONで付与されたシステム権限

CAT II

なし

なし

なし

なし

現在はサポートされていません

DO3610-ORACLE11

Oracle最小オブジェクトの監査

CAT II

なし

なし

なし

なし

現在はサポートされていません

DO3689-ORACLE11

Oracleオブジェクトの権限のPUBLICへの割当て

CAT II

なし

なし

なし

なし

現在はサポートされていません

DO3696-ORACLE11

Oracle RESOURCE_LIMITパラメータ

CAT II

なし

なし

なし

なし

現在はサポートされていません

親トピック: セキュリティ技術導入ガイドのコンプライアンス標準

D.5 オペレーティング・システムのSTIGルールの現在の実装

オペレーティング・システムのSTIGルールの現在の実装には、広範なルールが含まれます。

表D-3に、Oracle Key Vaultでのオペレーティング・システムのSTIGルールの現在の実装を示します。

表D-3 オペレーティング・システムのSTIGルールの現在の実装

STIG ID タイトル 重大度 Key Vaultサーバー: デフォルト Key Vaultサーバー: STIG

SV-50237r1_rule

必要な場合を除いて、自動化されたファイル・システム・マウント・ツールを有効にしないでください。

CAT III

アクションは必要ありません

スクリプトでの対応

SV-50238r2_rule

カーネルのパラメータを設定して、起動時に監査を有効にする必要があります。

CAT III

アクションは必要ありません

スクリプトでの対応

SV-50243r1_rule

/etc/gshadowファイルの所有者はrootである必要があります。

CAT II

アクションは必要ありません

スクリプトでの対応

SV-50248r1_rule

/etc/gshadowファイルの所有グループはrootである必要があります。

CAT II

アクションは必要ありません

スクリプトでの対応

SV-50249r1_rule

/etc/gshadowファイルのモードは0000である必要があります。

CAT II

アクションは必要ありません

スクリプトでの対応

SV-50250r1_rule

/etc/passwdファイルの所有者はrootである必要があります。

CAT II

アクションは必要ありません

スクリプトでの対応

SV-50251r1_rule

/etc/passwdファイルの所有グループはrootである必要があります。

CAT II

アクションは必要ありません

スクリプトでの対応

SV-50255r1_rule

システムでは、/tmp用に別のファイル・システムを使用する必要があります。

CAT III

アクションは必要ありません

スクリプトでの対応

SV-50256r1_rule

システムでは、/var用に別のファイル・システムを使用する必要があります。

CAT III

スクリプトでの対応

実装方法が異なります

SV-50257r1_rule

/etc/passwdファイルには、モード0644以下の権限が必要です。

CAT II

アクションは必要ありません

スクリプトでの対応

SV-50258r1_rule

/etc/groupファイルの所有者はrootである必要があります。

CAT II

アクションは必要ありません

スクリプトでの対応

SV-50259r1_rule

/etc/groupファイルの所有グループはrootである必要があります。

CAT II

アクションは必要ありません

スクリプトでの対応

SV-50261r1_rule

/etc/groupファイルには、モード0644以下の権限が必要です。

CAT II

アクションは必要ありません

スクリプトでの対応

SV-50263r1_rule

システムでは、/var/log用に別のファイル・システムを使用する必要があります。

CAT III

アクションは必要ありません

スクリプトでの対応

SV-50266r1_rule

ライブラリ・ファイルの所有者はrootである必要があります。

CAT II

アクションは必要ありません

スクリプトでの対応

SV-50267r1_rule

システムでは、システム監査データのパス用に別のファイル・システムを使用する必要があります。

CAT III

スクリプトでの対応

実装されていません

SV-50269r2_rule

すべてのシステム・コマンド・ファイルには、モード0755以下の権限が必要です。

CAT II

アクションは必要ありません

スクリプトでの対応

SV-50270r2_rule

監査記憶域ボリュームが最大容量に近くなったときには、監査システムから指定されたスタッフ・メンバーにアラートを通知する必要があります。

CAT II

スクリプトでの対応

実装されていません

SV-50272r1_rule

すべてのシステム・コマンド・ファイルの所有者はrootである必要があります。

CAT II

アクションは必要ありません

スクリプトでの対応

SV-50273r1_rule

システムでは、ユーザーのホーム・ディレクトリ用に別のファイル・システムを使用する必要があります。

CAT III

アクションは必要ありません

スクリプトでの対応

SV-50275r1_rule

システムでは、パスワードに少なくとも14文字を含める必要があります。

CAT II

スクリプトでの対応

スクリプトでの対応

SV-50277r1_rule

ユーザーは、24時間ごとに2回以上パスワードを変更できません。

CAT II

アクションは必要ありません

スクリプトでの対応

SV-50278r2_rule

RHNまたはRHN Satelliteを使用しない場合は、Red Hatネットワーク・サービス(rhnsd)のサービスを実行しないでください。

CAT III

アクションは必要ありません

スクリプトでの対応

SV-50279r1_rule

ユーザー・パスワードを少なくとも60日ごとに変更する必要があります。

CAT II

スクリプトでの対応

スクリプトでの対応

SV-50280r1_rule

パスワードの期限切れ前の7日間、ユーザーに警告する必要があります。

CAT III

アクションは必要ありません

スクリプトでの対応

SV-50282r1_rule

システムでは、パスワードに少なくとも1つの数字を含める必要があります。

CAT III

アクションは必要ありません

スクリプトでの対応

SV-50283r1_rule

システム・パッケージ管理ツールは、インストール中にシステム・ソフトウェア・パッケージの認証性を暗号によって検証する必要があります。

CAT II

アクションは必要ありません

スクリプトでの対応

SV-50288r1_rule

システム・パッケージ管理ツールは、インストール中にすべてのソフトウェア・パッケージの認証性を暗号によって検証する必要があります。

CAT III

アクションは必要ありません

スクリプトでの対応

SV-50290r1_rule

ファイル整合性ツールをインストールする必要があります。

CAT II

アクションは必要ありません

スクリプトでの対応

SV-50291r2_rule

オペレーティング・システムは、オペレーティング・システムへのモバイル・デバイスの接続要件を強化する必要があります。

CAT II

アクションは必要ありません

スクリプトでの対応

SV-50292r1_rule

システム上にrhostsまたはhosts.equivファイルが存在しないようにしてください。

CAT I

アクションは必要ありません

スクリプトでの対応

SV-50293r1_rule

システムでは、rootアカウントによる仮想コンソールからのログインを防ぐ必要があります。

CAT II

アクションは必要ありません

スクリプトでの対応

SV-50295r1_rule

システムでは、rootアカウントによるシリアル・コンソールからのログインを防ぐ必要があります。

CAT III

アクションは必要ありません

スクリプトでの対応

SV-50296r1_rule

監査ログ・ファイルの所有者はrootである必要があります。

CAT II

アクションは必要ありません

スクリプトでの対応

SV-50298r2_rule

システムには、空またはnullのパスワードで構成されたアカウントを使用しないでください。

CAT I

アクションは必要ありません

スクリプトでの対応

SV-50299r1_rule

監査ログ・ファイルには、モード0640以下の権限が必要です。

CAT II

アクションは必要ありません

スクリプトでの対応

SV-50300r1_rule

/etc/passwdファイルには、パスワード・ハッシュを含めないでください。

CAT II

アクションは必要ありません

スクリプトでの対応

SV-50301r2_rule

rootアカウントは、0のUIDを持つ唯一のアカウントである必要があります。

CAT II

アクションは必要ありません

スクリプトでの対応

SV-50302r3_rule

15分の間隔内で過剰なログインの失敗があった場合は、システムはアカウントを無効にする必要があります。

CAT II

アクションは必要ありません

スクリプトでの対応

SV-50303r1_rule

/etc/shadowファイルの所有者はrootである必要があります。

CAT II

アクションは必要ありません

スクリプトでの対応

SV-50304r1_rule

/etc/shadowファイルの所有グループはrootである必要があります。

CAT II

アクションは必要ありません

スクリプトでの対応

SV-50305r1_rule

/etc/shadowファイルのモードは0000である必要があります。

CAT II

アクションは必要ありません

スクリプトでの対応

SV-50312r1_rule

システムがルーターでない場合は、IPv4のIPフォワーディングを有効にしないでください。

CAT II

アクションは必要ありません

スクリプトでの対応

SV-50313r2_rule

オペレーティング・システムは、境界保護デバイスを使用する管理対象インタフェースによって適切に仲介される場合を除いて、組織の内部ネットワークに対するパブリックなIPv4アクセスを防止する必要があります。

CAT II

アクションは必要ありません

スクリプトでの対応

SV-50314r1_rule

システムのローカルIPv4ファイアウォールは、インバウンド・パケットに対して、すべてを拒否、例外によって許可のポリシーを実装する必要があります。

CAT II

アクションは必要ありません

スクリプトでの対応

SV-50315r2_rule

必要な場合を除いてDCCP (Datagram Congestion Control Protocol)を無効にする必要があります。

CAT II

アクションは必要ありません

スクリプトでの対応

SV-50316r2_rule

必要な場合を除いてSCTP (Stream Control Transmission Protocol)を無効にする必要があります。

CAT II

アクションは必要ありません

スクリプトでの対応

SV-50317r2_rule

必要な場合を除いて、Reliable Datagram Sockets (RDS)プロトコルを無効にする必要があります。

CAT III

アクションは必要ありません

スクリプトでの対応

SV-50318r2_rule

必要な場合を除いて、Transparent Inter-Process Communication (TIPC)プロトコルを無効にする必要があります。

CAT II

アクションは必要ありません

スクリプトでの対応

SV-50319r2_rule

すべてのrsyslog生成ログ・ファイルの所有者はrootである必要があります。

CAT II

アクションは必要ありません

スクリプトでの対応

SV-50321r1_rule

オペレーティング・システムは、監査レコードを、組織で定義した頻度で、監査対象システムとは別のシステムまたはメディアにバックアップする必要があります。

CAT II

スクリプトでの対応

実装されていません

SV-50322r1_rule

オペレーティング・システムは、組織で定義した情報システム・コンポーネントによって生成される監査レコードの内容を集中管理するための要件をサポートする必要があります。

CAT II

スクリプトでの対応

実装されていません

SV-50323r2_rule

監査システムは、settimeofdayを介してシステム時間を変更しようとするすべての試行を監査するように構成する必要があります。

CAT III

アクションは必要ありません

スクリプトでの対応

SV-50324r2_rule

システムは、どのインタフェースでも、IPv4ソース・ルーティング・パケットを受け入れない必要があります。

CAT II

アクションは必要ありません

スクリプトでの対応

SV-50325r1_rule

システムは、どのインタフェースでも、ICMPv4リダイレクト・パケットを受け入れない必要があります。

CAT II

アクションは必要ありません

スクリプトでの対応

SV-50326r3_rule

監査システムは、stimeを介してシステム時間を変更しようとするすべての試行を監査するように構成する必要があります。

CAT III

アクションは必要ありません

スクリプトでの対応

SV-50327r1_rule

システムは、どのインタフェースでも、ICMPv4セキュア・リダイレクト・パケットを受け入れない必要があります。

CAT II

アクションは必要ありません

スクリプトでの対応

SV-50328r2_rule

監査システムは、clock_settimeを介してシステム時間を変更しようとするすべての試行を監査するように構成する必要があります。

CAT III

アクションは必要ありません

スクリプトでの対応

SV-50329r1_rule

システムは、Martianパケットを記録する必要があります。

CAT III

スクリプトでの対応

実装されていません

SV-50330r1_rule

システムは、デフォルトでIPv4ソース・ルーティング・パケットを受け入れない必要があります。

CAT II

アクションは必要ありません

スクリプトでの対応

SV-50331r1_rule

監査システムは、/etc/localtimeを介してシステム時間を変更しようとするすべての試行を監査するように構成する必要があります。

CAT III

アクションは必要ありません

スクリプトでの対応

SV-50332r1_rule

オペレーティング・システムは、アカウントの作成を自動的に監査する必要があります。

CAT III

アクションは必要ありません

スクリプトでの対応

SV-50333r1_rule

システムは、デフォルトでICMPv4セキュア・リダイレクト・パケットを受け入れない必要があります。

CAT II

アクションは必要ありません

スクリプトでの対応

SV-50334r2_rule

システムは、デフォルトでICMPv4リダイレクト・メッセージを無視する必要があります。

CAT III

アクションは必要ありません

スクリプトでの対応

SV-50335r1_rule

オペレーティング・システムは、アカウントの変更を自動的に監査する必要があります。

CAT III

アクションは必要ありません

スクリプトでの対応

SV-50336r2_rule

システムは、ブロードキャスト・アドレスに送信されたICMPv4に応答しない必要があります。

CAT III

アクションは必要ありません

スクリプトでの対応

SV-50337r1_rule

オペレーティング・システムは、アカウントの無効化アクションを自動的に監査する必要があります。

CAT III

アクションは必要ありません

スクリプトでの対応

SV-50338r2_rule

システムは、ICMPv4の偽装エラーの応答を無視する必要があります。

CAT III

アクションは必要ありません

スクリプトでの対応

SV-50339r1_rule

オペレーティング・システムは、アカウントの終了を自動的に監査する必要があります。

CAT III

アクションは必要ありません

スクリプトでの対応

SV-50340r1_rule

システムは、TCP syncookiesを使用するように構成する必要があります。

CAT II

アクションは必要ありません

スクリプトでの対応

SV-50342r1_rule

監査システムは、システムのMandatory Access Control (MAC)構成(SELinux)への変更を監査するように構成する必要があります。

CAT III

アクションは必要ありません

スクリプトでの対応

SV-50343r1_rule

システムは、可能な場合、すべてのインタフェース上のIPv4ネットワーク・トラフィックに対してリバース・パス・フィルタを使用する必要があります。

CAT II

アクションは必要ありません

スクリプトでの対応

SV-50344r2_rule

監査システムは、chmodを使用したすべての任意アクセス制御権限の変更を監査するように構成する必要があります。

CAT III

アクションは必要ありません

スクリプトでの対応

SV-50345r1_rule

システムは、可能な場合、デフォルトでIPv4ネットワーク・トラフィックに対してリバース・パス・フィルタを使用する必要があります。

CAT II

アクションは必要ありません

スクリプトでの対応

SV-50346r2_rule

監査システムは、chownを使用したすべての任意アクセス制御権限の変更を監査するように構成する必要があります。

CAT III

アクションは必要ありません

スクリプトでの対応

SV-50347r2_rule

IPv6プロトコル・ハンドラは、必要な場合を除いて、ネットワーク・スタックにバインドしないでください。

CAT II

アクションは必要ありません

スクリプトでの対応

SV-50348r2_rule

監査システムは、fchmodを使用したすべての任意アクセス制御権限の変更を監査するように構成する必要があります。

CAT III

アクションは必要ありません

スクリプトでの対応

SV-50349r2_rule

システムは、デフォルトでICMPv6リダイレクトを無視する必要があります。

CAT II

アクションは必要ありません

スクリプトでの対応

SV-50351r2_rule

監査システムは、fchmodatを使用したすべての任意アクセス制御権限の変更を監査するように構成する必要があります。

CAT III

アクションは必要ありません

スクリプトでの対応

SV-50353r2_rule

監査システムは、fchownを使用したすべての任意アクセス制御権限の変更を監査するように構成する必要があります。

CAT III

アクションは必要ありません

スクリプトでの対応

SV-50355r2_rule

監査システムは、fchownatを使用したすべての任意アクセス制御権限の変更を監査するように構成する必要があります。

CAT III

アクションは必要ありません

スクリプトでの対応

SV-50356r2_rule

システムは、ローカルのIPv4ファイアウォールを使用する必要があります。

CAT II

アクションは必要ありません

スクリプトでの対応

SV-50357r2_rule

監査システムは、fremovexattrを使用したすべての任意アクセス制御権限の変更を監査するように構成する必要があります。

CAT III

アクションは必要ありません

スクリプトでの対応

SV-50358r2_rule

監査システムは、fsetxattrを使用したすべての任意アクセス制御権限の変更を監査するように構成する必要があります。

CAT III

アクションは必要ありません

スクリプトでの対応

SV-50359r2_rule

監査システムは、lchownを使用したすべての任意アクセス制御権限の変更を監査するように構成する必要があります。

CAT III

アクションは必要ありません

スクリプトでの対応

SV-50360r2_rule

監査システムは、lremovexattrを使用したすべての任意アクセス制御権限の変更を監査するように構成する必要があります。

CAT III

アクションは必要ありません

スクリプトでの対応

SV-50362r2_rule

監査システムは、lsetxattrを使用したすべての任意アクセス制御権限の変更を監査するように構成する必要があります。

CAT III

アクションは必要ありません

スクリプトでの対応

SV-50364r2_rule

監査システムは、removexattrを使用したすべての任意アクセス制御権限の変更を監査するように構成する必要があります。

CAT III

アクションは必要ありません

スクリプトでの対応

SV-50366r2_rule

監査システムは、setxattrを使用したすべての任意アクセス制御権限の変更を監査するように構成する必要があります。

CAT III

アクションは必要ありません

スクリプトでの対応

SV-50369r2_rule

監査システムは、正常なファイルシステムのマウントを監査するように構成する必要があります。

CAT III

アクションは必要ありません

スクリプトでの対応

SV-50370r1_rule

システムでは、パスワードに少なくとも1つの大文字のアルファベット文字を含める必要があります。

CAT III

アクションは必要ありません

スクリプトでの対応

SV-50371r1_rule

システムでは、パスワードに少なくとも1つの特殊文字を含める必要があります。

CAT III

アクションは必要ありません

スクリプトでの対応

SV-50372r1_rule

システムでは、パスワードに少なくとも1つの小文字のアルファベット文字を含める必要があります。

CAT III

アクションは必要ありません

スクリプトでの対応

SV-50373r1_rule

システムには、パスワードの変更時に古いパスワードと新しいパスワードの間で少なくとも4つの文字を変更する必要があります。

CAT III

アクションは必要ありません

スクリプトでの対応

SV-50374r3_rule

システムでは、3回連続してログオンの試行が失敗した場合、アカウントを無効にする必要があります。

CAT II

アクションは必要ありません

スクリプトでの対応

SV-50375r1_rule

システムでは、アカウントのパスワード・ハッシュ(system-auth)の生成に、FIPS 140-2で承認された暗号化ハッシュ・アルゴリズムを使用する必要があります。

CAT II

アクションは必要ありません

スクリプトでの対応

SV-50376r4_rule

監査システムは、ユーザーのファイルやプログラムの削除を監査するように構成する必要があります。

CAT III

アクションは必要ありません

スクリプトでの対応

SV-50377r1_rule

システムでは、アカウントのパスワード・ハッシュ(login.defs)の生成に、FIPS 140-2で承認された暗号化ハッシュ・アルゴリズムを使用する必要があります。

CAT II

アクションは必要ありません

スクリプトでの対応

SV-50378r1_rule

システムでは、アカウントのパスワード・ハッシュ(libuser.conf)の生成に、FIPS 140-2で承認された暗号化ハッシュ・アルゴリズムを使用する必要があります。

CAT II

アクションは必要ありません

スクリプトでの対応

SV-50379r1_rule

監査システムは、/etc/sudoersファイルへの変更を監査するように構成する必要があります。

CAT III

アクションは必要ありません

スクリプトでの対応

SV-50380r1_rule

システムのブート・ローダー構成ファイルの所有者は、rootである必要があります。

CAT II

アクションは必要ありません

スクリプトでの対応

SV-50381r1_rule

監査システムは、動的カーネル・モジュールのロードおよびアンロードを監査するように構成する必要があります。

CAT II

アクションは必要ありません

スクリプトでの対応

SV-50382r1_rule

システムのブート・ローダー構成ファイルの所有グループは、rootである必要があります。

CAT II

アクションは必要ありません

スクリプトでの対応

SV-50383r2_rule

xinetdサービスを利用するネットワーク・サービスが有効になっていない場合は、このサービスを無効にする必要があります。

CAT II

アクションは必要ありません

スクリプトでの対応

SV-50384r2_rule

システムのブート・ローダー構成ファイルには、モード0600以下の権限が必要です。

CAT II

アクションは必要ありません

スクリプトでの対応

SV-50385r1_rule

xinetdサービスを利用するネットワーク・サービスが有効になっていない場合は、このサービスをアンインストールする必要があります。

CAT III

アクションは必要ありません

スクリプトでの対応

SV-50386r1_rule

システム・ブート・ローダーには認証が必要です。

CAT II

スクリプトでの対応

実装されていません

SV-50387r1_rule

システムには、単一ユーザーおよびメンテナンス・モードの起動時に認証が必要です。

CAT II

スクリプトでの対応

実装されていません

SV-50388r1_rule

telnet-serverパッケージはインストールしないでください。

CAT I

アクションは必要ありません

スクリプトでの対応

SV-50389r1_rule

システムは、対話式ブートを許可しない必要があります。

CAT II

アクションは必要ありません

スクリプトでの対応

SV-50390r2_rule

telnetデーモンは実行しないでください。

CAT I

アクションは必要ありません

スクリプトでの対応

SV-50391r1_rule

システムは、テキスト・モードでのコンソール画面のロックを許可する必要があります。

CAT III

スクリプトでの対応

実装されていません

SV-50392r1_rule

rsh-serverパッケージはインストールしないでください。

CAT I

アクションは必要ありません

スクリプトでの対応

SV-50393r3_rule

システムは、過度の失敗ログインの試行によってロックされたアカウントのロックを解除するために、管理者によるアクションを要求する必要があります。

CAT II

スクリプトでの対応

スクリプトでの対応

SV-50395r2_rule

rshdサービスは実行しないでください。

CAT I

アクションは必要ありません

スクリプトでの対応

SV-50399r2_rule

rexecdサービスは実行しないでください。

CAT I

アクションは必要ありません

スクリプトでの対応

SV-50401r1_rule

システムは、デフォルトでICMPv4リダイレクトを送信しない必要があります。

CAT II

アクションは必要ありません

スクリプトでの対応

SV-50402r1_rule

システムは、どのインタフェースでも、ICMPv4リダイレクトを送信しない必要があります。

CAT II

アクションは必要ありません

スクリプトでの対応

SV-50403r2_rule

rlogindサービスは実行しないでください。

CAT I

アクションは必要ありません

スクリプトでの対応

SV-50404r1_rule

ypservパッケージはインストールしないでください。

CAT II

アクションは必要ありません

スクリプトでの対応

SV-50405r2_rule

ypbindサービスは実行しないでください。

CAT II

アクションは必要ありません

スクリプトでの対応

SV-50406r2_rule

cronサービスが実行されている必要があります。

CAT II

アクションは必要ありません

スクリプトでの対応

SV-50407r1_rule

tftp-serverパッケージはインストールしないでください。

CAT II

アクションは必要ありません

スクリプトでの対応

SV-50408r1_rule

SSHデーモンは、SSHv2プロトコルのみを使用するように構成する必要があります。

CAT I

アクションは必要ありません

スクリプトでの対応

SV-50409r1_rule

SSHデーモンは、アイドル・セッションのタイムアウト間隔を設定する必要があります。

CAT III

アクションは必要ありません

スクリプトでの対応

SV-50411r1_rule

SSHデーモンは、アイドル・セッションのタイムアウト・カウントを設定する必要があります。

CAT III

アクションは必要ありません

スクリプトでの対応

SV-50412r1_rule

SSHデーモンは、rhostsファイルを無視する必要があります。

CAT II

アクションは必要ありません

スクリプトでの対応

SV-50413r1_rule

SSHデーモンは、ホストベースの認証を許可しない必要があります。

CAT II

アクションは必要ありません

スクリプトでの対応

SV-50414r1_rule

システムでは、SSHなどのリモート・アクセス・プログラムを使用してrootログインを許可しないでください。

CAT II

アクションは必要ありません

スクリプトでの対応

SV-50415r1_rule

SSHデーモンは、空のパスワードを使用した認証を許可しない必要があります。

CAT I

アクションは必要ありません

スクリプトでの対応

SV-50416r1_rule

SSHデーモンを国防総省(DoD)ログイン・バナーで構成する必要があります。

CAT II

スクリプトでの対応

実装されていません

SV-50417r1_rule

SSHデーモンは、ユーザーの環境設定を許可しない必要があります。

CAT III

アクションは必要ありません

スクリプトでの対応

SV-50419r2_rule

avahiサービスは無効にする必要があります。

CAT III

アクションは必要ありません

スクリプトでの対応

SV-50421r1_rule

システム・クロックは継続的に、少なくとも毎日同期する必要があります。

CAT II

スクリプトでの対応

ドキュメントでの対応

SV-50422r1_rule

システム・クロックは、正式なDoDのタイム・ソースと同期する必要があります。

CAT II

アクションは必要ありません

スクリプトでの対応

SV-50423r2_rule

メール・リレーは制限する必要があります。

CAT II

スクリプトでの対応

該当なし

SV-50428r1_rule

必要な場合を除いて、openldap-serversパッケージはインストールしないでください。

CAT III

アクションは必要ありません

スクリプトでの対応

SV-50430r3_rule

グラフィカル・デスクトップ環境では、アイドル・タイムアウトを15分以内に設定する必要があります。

CAT II

アクションは必要ありません

スクリプトでの対応

SV-50431r3_rule

グラフィカル・デスクトップ環境では、非アクティブになってから15分後に自動的にロックする必要があり、システムで環境のロックを解除するにはユーザーに再認証を要求する必要があります。

CAT II

アクションは必要ありません

スクリプトでの対応

SV-50434r1_rule

システムは、監査ログ・ファイルの最大サイズを設定する必要があります。

CAT II

アクションは必要ありません

スクリプトでの対応

SV-50435r1_rule

システムは、最大ファイル・サイズに到達した監査ログ・ファイルをローテーションする必要があります。

CAT II

アクションは必要ありません

スクリプトでの対応

SV-50436r2_rule

監査システムは、adjtimexを介してシステム時間を変更しようとするすべての試行を監査するように構成する必要があります。

CAT III

アクションは必要ありません

スクリプトでの対応

SV-50437r1_rule

システムは、必要なログ保存期間に対応できる、十分なローテーションされる監査ログを保持する必要があります。

CAT II

アクションは必要ありません

スクリプトでの対応

SV-50439r3_rule

グラフィカル・デスクトップ環境では、自動ロックを有効にする必要があります。

CAT II

アクションは必要ありません

スクリプトでの対応

SV-50440r3_rule

システムは、グラフィカル・デスクトップ環境のセッション・ロック中は、公開表示可能なパターンを表示する必要があります。

CAT III

アクションは必要ありません

スクリプトでの対応

SV-50441r2_rule

自動不具合報告ツール(abrtd)サービスは実行しないでください。

CAT III

アクションは必要ありません

スクリプトでの対応

SV-50442r2_rule

atdサービスは無効にする必要があります。

CAT III

アクションは必要ありません

スクリプトでの対応

SV-50443r1_rule

デーモンのシステムのデフォルトumaskは、027または022である必要があります。

CAT III

アクションは必要ありません

スクリプトでの対応

SV-50445r2_rule

ntpdateサービスは実行しないでください。

CAT III

アクションは必要ありません

スクリプトでの対応

SV-50446r1_rule

/etc/login.defsのシステムのデフォルトumaskは、077である必要があります。

CAT III

アクションは必要ありません

スクリプトでの対応

SV-50447r2_rule

oddjobdサービスは実行しないでください。

CAT III

アクションは必要ありません

スクリプトでの対応

SV-50448r1_rule

/etc/profileのシステムのデフォルトumaskは、077である必要があります。

CAT III

スクリプトでの対応

実装されていません

SV-50449r2_rule

qpiddサービスは実行しないでください。

CAT III

アクションは必要ありません

スクリプトでの対応

SV-50450r1_rule

cshシェルのシステムのデフォルトumaskは、077である必要があります。

CAT III

スクリプトでの対応

実装されていません

SV-50451r2_rule

rdiscサービスは実行しないでください。

CAT III

アクションは必要ありません

スクリプトでの対応

SV-50452r1_rule

bashシェルのシステムのデフォルトumaskは、077である必要があります。

CAT III

スクリプトでの対応

実装されていません

SV-50457r1_rule

システムは、smbclientを使用してsambaサーバーに接続するために、SMBクライアント署名を使用する必要があります。

CAT III

スクリプトでの対応

実装されていません

SV-50470r1_rule

メールを配信するには、postfixサービスを有効にする必要があります。

CAT III

スクリプトでの対応

実装されていません

SV-50472r1_rule

sendmailパッケージは削除する必要があります。

CAT II

アクションは必要ありません

スクリプトでの対応

SV-50473r2_rule

必要な場合を除いて、netconsoleサービスは無効にする必要があります。

CAT III

アクションは必要ありません

スクリプトでの対応

SV-50475r1_rule

必要な場合を除いて、X Windowsは有効にしないでください。

CAT II

アクションは必要ありません

スクリプトでの対応

SV-50476r2_rule

必要な場合を除いて、プロセスのコア・ダンプは無効にする必要があります。

CAT III

スクリプトでの対応

実装されていません

SV-50477r1_rule

必要な場合を除いて、xorg-x11-server-common (X Windows)パッケージはインストールしないでください。

CAT III

アクションは必要ありません

スクリプトでの対応

SV-50480r2_rule

必要な場合を除いて、DHCPクライアントは無効にする必要があります。

CAT II

スクリプトでの対応

実装されていません

SV-50481r1_rule

監査システムは、監査ログの記憶域ボリューム容量の問題の通知を受信するスタッフ・メンバーを識別する必要があります。

CAT II

アクションは必要ありません

スクリプトでの対応

SV-50485r2_rule

システムは、同時にシステムにログインするユーザーを10人、または運用上の要件に従ってサイトで定義した数に制限する必要があります。

CAT III

スクリプトでの対応

実装されていません

SV-50488r2_rule

システムは、信頼できないネットワークを介した通信にVPN接続を提供する必要があります。

CAT III

スクリプトでの対応

実装されていません

SV-50489r2_rule

グラフィカル・デスクトップ環境のログイン・プロンプトの直前、またはその一部としてログイン・バナーを表示する必要があります。

CAT II

アクションは必要ありません

スクリプトでの対応

SV-50492r2_rule

Bluetoothサービスは無効にする必要があります。

CAT II

アクションは必要ありません

スクリプトでの対応

SV-50493r1_rule

アカウントは、35日間非アクティブだった場合にロックする必要があります。

CAT III

スクリプトでの対応

実装されていません

SV-50495r1_rule

オペレーティング・システムでは、非アクティブな状態のままで組織が定めた期間が経過した後、ユーザー識別子を無効にすることによって、ユーザーおよびデバイスに対する情報システム識別子を管理する必要があります。

CAT III

スクリプトでの対応

実装されていません

SV-50498r2_rule

すべてのパブリック・ディレクトリにスティッキー・ビットを設定する必要があります。

CAT III

スクリプトでの対応

アクションは必要ありません

SV-50500r2_rule

すべてのパブリック・ディレクトリの所有者は、システム・アカウントである必要があります。

CAT III

アクションは必要ありません

スクリプトでの対応

SV-50502r1_rule

TFTPデーモンは、ホストのファイル・システムの1つのディレクトリにのみアクセスできるセキュア・モードで動作する必要があります。

CAT I

アクションは必要ありません

スクリプトでの対応

SV-65547r1_rule

システムは、起動時にLinux Security Moduleを使用する必要があります。

CAT II

アクションは必要ありません

スクリプトでの対応

SV-65573r1_rule

システムは、システム・サービスに制限を強制するように構成されたLinux Security Moduleを使用する必要があります。

CAT II

スクリプトでの対応

実装されていません

SV-65579r1_rule

システムは、システム・サービスの権限を制限するように構成されたLinux Security Moduleを使用する必要があります。

CAT III

アクションは必要ありません

スクリプトでの対応

SV-66089r1_rule

オペレーティング・システムは、logoNoccessが成功した場合に、最後に成功したlogoNoccess以降の失敗したlogoNoccessの試行回数をユーザーに表示する必要があります。

CAT II

アクションは必要ありません

スクリプトでの対応

SV-68627r1_rule

監査システムは、使用可能な監査記憶域ボリュームが深刻に低下した場合、システムを単一ユーザー・モードに切り替える必要があります。

CAT II

スクリプトでの対応

実装されていません

親トピック: セキュリティ技術導入ガイドのコンプライアンス標準