D セキュリティ技術導入ガイドのコンプライアンス標準
- セキュリティ技術実装ガイドについて
セキュリティ技術導入ガイド(STIG)は、米国国防総省(DOD)が従っている方法です。 - Oracle Key VaultでのSTIGルールの有効化と無効化
「Strict」モードを有効化することにより、Oracle Key VaultでSTIGルールを有効化できます。 - Oracle Key VaultでのSTIGルールの現在の実装
STIGの推奨事項が対処する脆弱性のカテゴリに注意する必要があります。 - データベースのSTIGルールの現在の実装
データベースのSTIGルールの現在の実装には、広範なルールが含まれます。 - オペレーティング・システムのSTIGルールの現在の実装
オペレーティング・システムのSTIGルールの現在の実装には、広範なルールが含まれます。
D.1 セキュリティ技術導入ガイドについて
セキュリティ技術導入ガイド(STIG)は、米国国防総省(DOD)が従っている方法です。
STIGは、コンピュータ・システムとネットワークの攻撃対象領域を減らすように設計されているため、DODネットワーク内に格納されている機密性の高い情報のロックダウンが保証されます。STIGにより、DODの情報保証(IA)およびIAが有効なデバイスおよびシステムのセキュアな構成の標準が提供されます。STIGは、国防情報システム局(DISA)によって作成されています。
10年以上の間、オラクル社はDODと緊密に協働しながら、次のような様々な中核的なOracle製品およびテクノロジに対する、増加するSTIGのリストを開発、公開およびメンテナンスしてきました。
-
Oracle Database
-
Oracle Solaris
-
Oracle Linux
-
Oracle WebLogic
STIGが更新されると、オラクル社は、製品のセキュリティを改善する次のような新しい方法を確認するため、最新の推奨事項を分析します。
-
STIGの将来の更新に追加される新しい、革新的なセキュリティ機能の実装
-
STIGの推奨事項の評価や実装を自動化する機能の提供
-
STIGの推奨事項に基づく、セキュリティ構成の即時利用可能設定の改善
関連項目
親トピック: セキュリティ技術導入ガイドのコンプライアンス標準
D.2 Oracle Key VaultでのSTIGルールの有効化および無効化
「Strict」モードを有効にすることにより、Oracle Key VaultでSTIGルールを有効にできます。
- Oracle Key VaultでのSTIGルールの有効化
コマンドラインからSTIGルール(「Strict」モード)を有効化します。 - Oracle Key VaultでのSTIGルールの無効化
コマンドラインからSTIGルール(「Strict」モード)を無効化します。
親トピック: セキュリティ技術導入ガイドのコンプライアンス標準
D.3 Oracle Key VaultでのSTIGルールの現在の実装
STIGの推奨事項が対処する脆弱性のカテゴリに注意する必要があります。
オラクル社は、米国国防総省のセキュリティ技術導入ガイド(STIG)の推奨事項をサポートする、セキュリティを強化したOracle Key Vaultの構成を開発してきました。
表D-1に、STIGの推奨事項が対処する3つの脆弱性のカテゴリを示します。
表D-1 脆弱性のカテゴリ
カテゴリ | 説明 |
---|---|
CAT I |
その利用により、直接的および即時的に機密性、可用性または整合性の損失がもたらされる、すべての脆弱性。 |
CAT II |
その利用により、潜在的に機密性、可用性または整合性の損失がもたらされる、すべての脆弱性。 |
CAT III |
その存在により、機密性、可用性または整合性の損失に対する保護対策が損われる、すべての脆弱性。 |
親トピック: セキュリティ技術導入ガイドのコンプライアンス標準
D.4 データベースのSTIGルールの現在の実装
データベースのSTIGルールの現在の実装には、広範なルールが含まれます。
表D-2に、Oracle Key VaultでのデータベースのSTIGルールの現在の実装を示します。
表D-2 データベースのSTIGルールの現在の実装
STIG ID | タイトル | 重大度 | スクリプトでの対応 | ドキュメントでの対応 | 必要なアクション | 実装済 | 注意 |
---|---|---|---|---|---|---|---|
DG0004-ORACLE11 |
DBMSアプリケーション・オブジェクトの所有者アカウント |
CAT II |
なし |
なし |
なし |
なし |
アプリケーション・オブジェクトの所有者アカウント |
DG0008-ORACLE11 |
DBMSアプリケーション・オブジェクトの所有権 |
なし |
なし |
あり |
なし |
なし |
Oracle Key Vaultサーバーのオブジェクト所有者アカウントは次のとおりです。
|
DG0014-ORACLE11 |
DBMSのデモおよびサンプル・データベース |
CAT II |
なし |
なし |
なし |
なし |
すべてのデフォルトのデモおよびサンプル・データベースのオブジェクトが削除されています。 |
DG0071-ORACLE11 |
DBMSのパスワード変更の多様性 |
CAT II |
なし |
なし |
なし |
なし |
現在はサポートされていません |
DG0073-ORACLE11 |
DBMSの失敗したログイン・アカウントのロック |
CAT II |
あり |
なし |
なし |
なし |
プロファイルの場合、 |
DG0075-ORACLE11 |
DBMSの外部データベースへのリンク |
CAT II |
なし |
あり |
なし |
なし |
なし |
DG0077-ORACLE11 |
共有システムでの本番データの保護 |
CAT II |
なし |
なし |
なし |
なし |
なし |
DG0116-ORACLE11 |
DBMSの特権ロールの割当て |
CAT II |
あり |
あり |
なし |
なし |
なし |
DG0117-ORACLE11 |
DBMSの管理権限の割当て |
CAT II |
なし |
なし |
なし |
なし |
現在はサポートされていません |
DG0121-ORACLE11 |
DBMSのアプリケーション・ユーザー権限の割当て |
CAT II |
なし |
なし |
なし |
なし |
現在はサポートされていません |
DG0123-ORACLE11 |
DBMSの管理データ・アクセス |
CAT II |
なし |
なし |
なし |
なし |
現在はサポートされていません |
DG0125-ORACLE11 |
DBMSのアカウント・パスワードの有効期限 |
CAT II |
あり |
なし |
なし |
なし |
プロファイルの場合、 |
DG0126-ORACLE11 |
DBMSのアカウント・パスワードの再利用 |
CAT II |
なし |
なし |
なし |
なし |
なし。 |
DG0128-ORACLE11 |
DBMSのデフォルトのパスワード |
CAT I |
あり |
なし |
なし |
なし |
アカウントCTXSYSには、スクリプトでランダムなパスワードが割り当てられます。 |
DG0133-ORACLE11 |
DBMSのアカウント・ロック時間 |
CAT II |
あり |
なし |
なし |
なし |
なし |
DG0141-ORACLE11 |
DBMSのアクセス制御のバイパス |
CAT II |
あり |
なし |
なし |
なし |
ユーザーは、次のイベントの監査にスクリプトを使用できます。
|
DG0142-ORACLE11 |
DBMSの特権アクションの監査 |
CAT II |
なし |
なし |
なし |
なし |
なし |
DG0192-ORACLE11 |
DBMSのリモート・アクセスの完全修飾名 |
CAT II |
あり |
なし |
なし |
なし |
現在はサポートされていません |
DO0231-ORACLE11 |
Oracleアプリケーション・オブジェクトの所有者の表領域 |
CAT II |
なし |
なし |
なし |
なし |
現在はサポートされていません |
DO0250-ORACLE11 |
Oracle Databaseのリンクの使用方法 |
CAT II |
なし |
あり |
なし |
なし |
なし |
DO0270-ORACLE11 |
OracleのREDOログ・ファイルの可用性 |
CAT II |
なし |
なし |
なし |
なし |
現在はサポートされていません |
DO0350-ORACLE11 |
Oracleのシステム権限の割当て |
CAT II |
なし |
なし |
なし |
なし |
現在はサポートされていません |
DO3475-ORACLE11 |
制限されたパッケージへのOracle |
CAT II |
なし |
なし |
なし |
なし |
現在はサポートされていません |
DO3536-ORACLE11 |
Oracle |
CAT II |
あり |
なし |
なし |
なし |
なし |
DO3540-ORACLE11 |
Oracle |
CAT II |
なし |
なし |
なし |
なし |
パラメータ |
DO3609-ORACLE11 |
WITH ADMIN OPTIONで付与されたシステム権限 |
CAT II |
なし |
なし |
なし |
なし |
現在はサポートされていません |
DO3610-ORACLE11 |
Oracle最小オブジェクトの監査 |
CAT II |
なし |
なし |
なし |
なし |
現在はサポートされていません |
DO3689-ORACLE11 |
Oracleオブジェクトの権限のPUBLICへの割当て |
CAT II |
なし |
なし |
なし |
なし |
現在はサポートされていません |
DO3696-ORACLE11 |
Oracle RESOURCE_LIMITパラメータ |
CAT II |
なし |
なし |
なし |
なし |
現在はサポートされていません |
親トピック: セキュリティ技術導入ガイドのコンプライアンス標準
D.5 オペレーティング・システムのSTIGルールの現在の実装
オペレーティング・システムのSTIGルールの現在の実装には、広範なルールが含まれます。
表D-3に、Oracle Key Vaultでのオペレーティング・システムのSTIGルールの現在の実装を示します。
表D-3 オペレーティング・システムのSTIGルールの現在の実装
STIG ID | タイトル | 重大度 | Key Vaultサーバー: デフォルト | Key Vaultサーバー: STIG |
---|---|---|---|---|
SV-50237r1_rule |
必要な場合を除いて、自動化されたファイル・システム・マウント・ツールを有効にしないでください。 |
CAT III |
アクションは必要ありません |
スクリプトでの対応 |
SV-50238r2_rule |
カーネルのパラメータを設定して、起動時に監査を有効にする必要があります。 |
CAT III |
アクションは必要ありません |
スクリプトでの対応 |
SV-50243r1_rule |
|
CAT II |
アクションは必要ありません |
スクリプトでの対応 |
SV-50248r1_rule |
|
CAT II |
アクションは必要ありません |
スクリプトでの対応 |
SV-50249r1_rule |
|
CAT II |
アクションは必要ありません |
スクリプトでの対応 |
SV-50250r1_rule |
|
CAT II |
アクションは必要ありません |
スクリプトでの対応 |
SV-50251r1_rule |
|
CAT II |
アクションは必要ありません |
スクリプトでの対応 |
SV-50255r1_rule |
システムでは、 |
CAT III |
アクションは必要ありません |
スクリプトでの対応 |
SV-50256r1_rule |
システムでは、 |
CAT III |
スクリプトでの対応 |
実装方法が異なります |
SV-50257r1_rule |
|
CAT II |
アクションは必要ありません |
スクリプトでの対応 |
SV-50258r1_rule |
|
CAT II |
アクションは必要ありません |
スクリプトでの対応 |
SV-50259r1_rule |
|
CAT II |
アクションは必要ありません |
スクリプトでの対応 |
SV-50261r1_rule |
|
CAT II |
アクションは必要ありません |
スクリプトでの対応 |
SV-50263r1_rule |
システムでは、 |
CAT III |
アクションは必要ありません |
スクリプトでの対応 |
SV-50266r1_rule |
ライブラリ・ファイルの所有者は |
CAT II |
アクションは必要ありません |
スクリプトでの対応 |
SV-50267r1_rule |
システムでは、システム監査データのパス用に別のファイル・システムを使用する必要があります。 |
CAT III |
スクリプトでの対応 |
実装されていません |
SV-50269r2_rule |
すべてのシステム・コマンド・ファイルには、モード0755以下の権限が必要です。 |
CAT II |
アクションは必要ありません |
スクリプトでの対応 |
SV-50270r2_rule |
監査記憶域ボリュームが最大容量に近くなったときには、監査システムから指定されたスタッフ・メンバーにアラートを通知する必要があります。 |
CAT II |
スクリプトでの対応 |
実装されていません |
SV-50272r1_rule |
すべてのシステム・コマンド・ファイルの所有者はrootである必要があります。 |
CAT II |
アクションは必要ありません |
スクリプトでの対応 |
SV-50273r1_rule |
システムでは、ユーザーのホーム・ディレクトリ用に別のファイル・システムを使用する必要があります。 |
CAT III |
アクションは必要ありません |
スクリプトでの対応 |
SV-50275r1_rule |
システムでは、パスワードに少なくとも14文字を含める必要があります。 |
CAT II |
スクリプトでの対応 |
スクリプトでの対応 |
SV-50277r1_rule |
ユーザーは、24時間ごとに2回以上パスワードを変更できません。 |
CAT II |
アクションは必要ありません |
スクリプトでの対応 |
SV-50278r2_rule |
RHNまたはRHN Satelliteを使用しない場合は、Red Hatネットワーク・サービス( |
CAT III |
アクションは必要ありません |
スクリプトでの対応 |
SV-50279r1_rule |
ユーザー・パスワードを少なくとも60日ごとに変更する必要があります。 |
CAT II |
スクリプトでの対応 |
スクリプトでの対応 |
SV-50280r1_rule |
パスワードの期限切れ前の7日間、ユーザーに警告する必要があります。 |
CAT III |
アクションは必要ありません |
スクリプトでの対応 |
SV-50282r1_rule |
システムでは、パスワードに少なくとも1つの数字を含める必要があります。 |
CAT III |
アクションは必要ありません |
スクリプトでの対応 |
SV-50283r1_rule |
システム・パッケージ管理ツールは、インストール中にシステム・ソフトウェア・パッケージの認証性を暗号によって検証する必要があります。 |
CAT II |
アクションは必要ありません |
スクリプトでの対応 |
SV-50288r1_rule |
システム・パッケージ管理ツールは、インストール中にすべてのソフトウェア・パッケージの認証性を暗号によって検証する必要があります。 |
CAT III |
アクションは必要ありません |
スクリプトでの対応 |
SV-50290r1_rule |
ファイル整合性ツールをインストールする必要があります。 |
CAT II |
アクションは必要ありません |
スクリプトでの対応 |
SV-50291r2_rule |
オペレーティング・システムは、オペレーティング・システムへのモバイル・デバイスの接続要件を強化する必要があります。 |
CAT II |
アクションは必要ありません |
スクリプトでの対応 |
SV-50292r1_rule |
システム上に |
CAT I |
アクションは必要ありません |
スクリプトでの対応 |
SV-50293r1_rule |
システムでは、rootアカウントによる仮想コンソールからのログインを防ぐ必要があります。 |
CAT II |
アクションは必要ありません |
スクリプトでの対応 |
SV-50295r1_rule |
システムでは、rootアカウントによるシリアル・コンソールからのログインを防ぐ必要があります。 |
CAT III |
アクションは必要ありません |
スクリプトでの対応 |
SV-50296r1_rule |
監査ログ・ファイルの所有者は |
CAT II |
アクションは必要ありません |
スクリプトでの対応 |
SV-50298r2_rule |
システムには、空またはnullのパスワードで構成されたアカウントを使用しないでください。 |
CAT I |
アクションは必要ありません |
スクリプトでの対応 |
SV-50299r1_rule |
監査ログ・ファイルには、モード0640以下の権限が必要です。 |
CAT II |
アクションは必要ありません |
スクリプトでの対応 |
SV-50300r1_rule |
|
CAT II |
アクションは必要ありません |
スクリプトでの対応 |
SV-50301r2_rule |
rootアカウントは、0のUIDを持つ唯一のアカウントである必要があります。 |
CAT II |
アクションは必要ありません |
スクリプトでの対応 |
SV-50302r3_rule |
15分の間隔内で過剰なログインの失敗があった場合は、システムはアカウントを無効にする必要があります。 |
CAT II |
アクションは必要ありません |
スクリプトでの対応 |
SV-50303r1_rule |
|
CAT II |
アクションは必要ありません |
スクリプトでの対応 |
SV-50304r1_rule |
|
CAT II |
アクションは必要ありません |
スクリプトでの対応 |
SV-50305r1_rule |
|
CAT II |
アクションは必要ありません |
スクリプトでの対応 |
SV-50312r1_rule |
システムがルーターでない場合は、IPv4のIPフォワーディングを有効にしないでください。 |
CAT II |
アクションは必要ありません |
スクリプトでの対応 |
SV-50313r2_rule |
オペレーティング・システムは、境界保護デバイスを使用する管理対象インタフェースによって適切に仲介される場合を除いて、組織の内部ネットワークに対するパブリックなIPv4アクセスを防止する必要があります。 |
CAT II |
アクションは必要ありません |
スクリプトでの対応 |
SV-50314r1_rule |
システムのローカルIPv4ファイアウォールは、インバウンド・パケットに対して、すべてを拒否、例外によって許可のポリシーを実装する必要があります。 |
CAT II |
アクションは必要ありません |
スクリプトでの対応 |
SV-50315r2_rule |
必要な場合を除いてDCCP (Datagram Congestion Control Protocol)を無効にする必要があります。 |
CAT II |
アクションは必要ありません |
スクリプトでの対応 |
SV-50316r2_rule |
必要な場合を除いてSCTP (Stream Control Transmission Protocol)を無効にする必要があります。 |
CAT II |
アクションは必要ありません |
スクリプトでの対応 |
SV-50317r2_rule |
必要な場合を除いて、Reliable Datagram Sockets (RDS)プロトコルを無効にする必要があります。 |
CAT III |
アクションは必要ありません |
スクリプトでの対応 |
SV-50318r2_rule |
必要な場合を除いて、Transparent Inter-Process Communication (TIPC)プロトコルを無効にする必要があります。 |
CAT II |
アクションは必要ありません |
スクリプトでの対応 |
SV-50319r2_rule |
すべてのrsyslog生成ログ・ファイルの所有者はrootである必要があります。 |
CAT II |
アクションは必要ありません |
スクリプトでの対応 |
SV-50321r1_rule |
オペレーティング・システムは、監査レコードを、組織で定義した頻度で、監査対象システムとは別のシステムまたはメディアにバックアップする必要があります。 |
CAT II |
スクリプトでの対応 |
実装されていません |
SV-50322r1_rule |
オペレーティング・システムは、組織で定義した情報システム・コンポーネントによって生成される監査レコードの内容を集中管理するための要件をサポートする必要があります。 |
CAT II |
スクリプトでの対応 |
実装されていません |
SV-50323r2_rule |
監査システムは、 |
CAT III |
アクションは必要ありません |
スクリプトでの対応 |
SV-50324r2_rule |
システムは、どのインタフェースでも、IPv4ソース・ルーティング・パケットを受け入れない必要があります。 |
CAT II |
アクションは必要ありません |
スクリプトでの対応 |
SV-50325r1_rule |
システムは、どのインタフェースでも、ICMPv4リダイレクト・パケットを受け入れない必要があります。 |
CAT II |
アクションは必要ありません |
スクリプトでの対応 |
SV-50326r3_rule |
監査システムは、 |
CAT III |
アクションは必要ありません |
スクリプトでの対応 |
SV-50327r1_rule |
システムは、どのインタフェースでも、ICMPv4セキュア・リダイレクト・パケットを受け入れない必要があります。 |
CAT II |
アクションは必要ありません |
スクリプトでの対応 |
SV-50328r2_rule |
監査システムは、 |
CAT III |
アクションは必要ありません |
スクリプトでの対応 |
SV-50329r1_rule |
システムは、Martianパケットを記録する必要があります。 |
CAT III |
スクリプトでの対応 |
実装されていません |
SV-50330r1_rule |
システムは、デフォルトでIPv4ソース・ルーティング・パケットを受け入れない必要があります。 |
CAT II |
アクションは必要ありません |
スクリプトでの対応 |
SV-50331r1_rule |
監査システムは、 |
CAT III |
アクションは必要ありません |
スクリプトでの対応 |
SV-50332r1_rule |
オペレーティング・システムは、アカウントの作成を自動的に監査する必要があります。 |
CAT III |
アクションは必要ありません |
スクリプトでの対応 |
SV-50333r1_rule |
システムは、デフォルトでICMPv4セキュア・リダイレクト・パケットを受け入れない必要があります。 |
CAT II |
アクションは必要ありません |
スクリプトでの対応 |
SV-50334r2_rule |
システムは、デフォルトでICMPv4リダイレクト・メッセージを無視する必要があります。 |
CAT III |
アクションは必要ありません |
スクリプトでの対応 |
SV-50335r1_rule |
オペレーティング・システムは、アカウントの変更を自動的に監査する必要があります。 |
CAT III |
アクションは必要ありません |
スクリプトでの対応 |
SV-50336r2_rule |
システムは、ブロードキャスト・アドレスに送信されたICMPv4に応答しない必要があります。 |
CAT III |
アクションは必要ありません |
スクリプトでの対応 |
SV-50337r1_rule |
オペレーティング・システムは、アカウントの無効化アクションを自動的に監査する必要があります。 |
CAT III |
アクションは必要ありません |
スクリプトでの対応 |
SV-50338r2_rule |
システムは、ICMPv4の偽装エラーの応答を無視する必要があります。 |
CAT III |
アクションは必要ありません |
スクリプトでの対応 |
SV-50339r1_rule |
オペレーティング・システムは、アカウントの終了を自動的に監査する必要があります。 |
CAT III |
アクションは必要ありません |
スクリプトでの対応 |
SV-50340r1_rule |
システムは、TCP |
CAT II |
アクションは必要ありません |
スクリプトでの対応 |
SV-50342r1_rule |
監査システムは、システムのMandatory Access Control (MAC)構成( |
CAT III |
アクションは必要ありません |
スクリプトでの対応 |
SV-50343r1_rule |
システムは、可能な場合、すべてのインタフェース上のIPv4ネットワーク・トラフィックに対してリバース・パス・フィルタを使用する必要があります。 |
CAT II |
アクションは必要ありません |
スクリプトでの対応 |
SV-50344r2_rule |
監査システムは、 |
CAT III |
アクションは必要ありません |
スクリプトでの対応 |
SV-50345r1_rule |
システムは、可能な場合、デフォルトでIPv4ネットワーク・トラフィックに対してリバース・パス・フィルタを使用する必要があります。 |
CAT II |
アクションは必要ありません |
スクリプトでの対応 |
SV-50346r2_rule |
監査システムは、 |
CAT III |
アクションは必要ありません |
スクリプトでの対応 |
SV-50347r2_rule |
IPv6プロトコル・ハンドラは、必要な場合を除いて、ネットワーク・スタックにバインドしないでください。 |
CAT II |
アクションは必要ありません |
スクリプトでの対応 |
SV-50348r2_rule |
監査システムは、 |
CAT III |
アクションは必要ありません |
スクリプトでの対応 |
SV-50349r2_rule |
システムは、デフォルトでICMPv6リダイレクトを無視する必要があります。 |
CAT II |
アクションは必要ありません |
スクリプトでの対応 |
SV-50351r2_rule |
監査システムは、 |
CAT III |
アクションは必要ありません |
スクリプトでの対応 |
SV-50353r2_rule |
監査システムは、 |
CAT III |
アクションは必要ありません |
スクリプトでの対応 |
SV-50355r2_rule |
監査システムは、 |
CAT III |
アクションは必要ありません |
スクリプトでの対応 |
SV-50356r2_rule |
システムは、ローカルのIPv4ファイアウォールを使用する必要があります。 |
CAT II |
アクションは必要ありません |
スクリプトでの対応 |
SV-50357r2_rule |
監査システムは、 |
CAT III |
アクションは必要ありません |
スクリプトでの対応 |
SV-50358r2_rule |
監査システムは、 |
CAT III |
アクションは必要ありません |
スクリプトでの対応 |
SV-50359r2_rule |
監査システムは、 |
CAT III |
アクションは必要ありません |
スクリプトでの対応 |
SV-50360r2_rule |
監査システムは、 |
CAT III |
アクションは必要ありません |
スクリプトでの対応 |
SV-50362r2_rule |
監査システムは、 |
CAT III |
アクションは必要ありません |
スクリプトでの対応 |
SV-50364r2_rule |
監査システムは、 |
CAT III |
アクションは必要ありません |
スクリプトでの対応 |
SV-50366r2_rule |
監査システムは、 |
CAT III |
アクションは必要ありません |
スクリプトでの対応 |
SV-50369r2_rule |
監査システムは、正常なファイルシステムのマウントを監査するように構成する必要があります。 |
CAT III |
アクションは必要ありません |
スクリプトでの対応 |
SV-50370r1_rule |
システムでは、パスワードに少なくとも1つの大文字のアルファベット文字を含める必要があります。 |
CAT III |
アクションは必要ありません |
スクリプトでの対応 |
SV-50371r1_rule |
システムでは、パスワードに少なくとも1つの特殊文字を含める必要があります。 |
CAT III |
アクションは必要ありません |
スクリプトでの対応 |
SV-50372r1_rule |
システムでは、パスワードに少なくとも1つの小文字のアルファベット文字を含める必要があります。 |
CAT III |
アクションは必要ありません |
スクリプトでの対応 |
SV-50373r1_rule |
システムには、パスワードの変更時に古いパスワードと新しいパスワードの間で少なくとも4つの文字を変更する必要があります。 |
CAT III |
アクションは必要ありません |
スクリプトでの対応 |
SV-50374r3_rule |
システムでは、3回連続してログオンの試行が失敗した場合、アカウントを無効にする必要があります。 |
CAT II |
アクションは必要ありません |
スクリプトでの対応 |
SV-50375r1_rule |
システムでは、アカウントのパスワード・ハッシュ(system-auth)の生成に、FIPS 140-2で承認された暗号化ハッシュ・アルゴリズムを使用する必要があります。 |
CAT II |
アクションは必要ありません |
スクリプトでの対応 |
SV-50376r4_rule |
監査システムは、ユーザーのファイルやプログラムの削除を監査するように構成する必要があります。 |
CAT III |
アクションは必要ありません |
スクリプトでの対応 |
SV-50377r1_rule |
システムでは、アカウントのパスワード・ハッシュ( |
CAT II |
アクションは必要ありません |
スクリプトでの対応 |
SV-50378r1_rule |
システムでは、アカウントのパスワード・ハッシュ( |
CAT II |
アクションは必要ありません |
スクリプトでの対応 |
SV-50379r1_rule |
監査システムは、 |
CAT III |
アクションは必要ありません |
スクリプトでの対応 |
SV-50380r1_rule |
システムのブート・ローダー構成ファイルの所有者は、 |
CAT II |
アクションは必要ありません |
スクリプトでの対応 |
SV-50381r1_rule |
監査システムは、動的カーネル・モジュールのロードおよびアンロードを監査するように構成する必要があります。 |
CAT II |
アクションは必要ありません |
スクリプトでの対応 |
SV-50382r1_rule |
システムのブート・ローダー構成ファイルの所有グループは、rootである必要があります。 |
CAT II |
アクションは必要ありません |
スクリプトでの対応 |
SV-50383r2_rule |
|
CAT II |
アクションは必要ありません |
スクリプトでの対応 |
SV-50384r2_rule |
システムのブート・ローダー構成ファイルには、モード0600以下の権限が必要です。 |
CAT II |
アクションは必要ありません |
スクリプトでの対応 |
SV-50385r1_rule |
|
CAT III |
アクションは必要ありません |
スクリプトでの対応 |
SV-50386r1_rule |
システム・ブート・ローダーには認証が必要です。 |
CAT II |
スクリプトでの対応 |
実装されていません |
SV-50387r1_rule |
システムには、単一ユーザーおよびメンテナンス・モードの起動時に認証が必要です。 |
CAT II |
スクリプトでの対応 |
実装されていません |
SV-50388r1_rule |
|
CAT I |
アクションは必要ありません |
スクリプトでの対応 |
SV-50389r1_rule |
システムは、対話式ブートを許可しない必要があります。 |
CAT II |
アクションは必要ありません |
スクリプトでの対応 |
SV-50390r2_rule |
|
CAT I |
アクションは必要ありません |
スクリプトでの対応 |
SV-50391r1_rule |
システムは、テキスト・モードでのコンソール画面のロックを許可する必要があります。 |
CAT III |
スクリプトでの対応 |
実装されていません |
SV-50392r1_rule |
|
CAT I |
アクションは必要ありません |
スクリプトでの対応 |
SV-50393r3_rule |
システムは、過度の失敗ログインの試行によってロックされたアカウントのロックを解除するために、管理者によるアクションを要求する必要があります。 |
CAT II |
スクリプトでの対応 |
スクリプトでの対応 |
SV-50395r2_rule |
|
CAT I |
アクションは必要ありません |
スクリプトでの対応 |
SV-50399r2_rule |
|
CAT I |
アクションは必要ありません |
スクリプトでの対応 |
SV-50401r1_rule |
システムは、デフォルトでICMPv4リダイレクトを送信しない必要があります。 |
CAT II |
アクションは必要ありません |
スクリプトでの対応 |
SV-50402r1_rule |
システムは、どのインタフェースでも、ICMPv4リダイレクトを送信しない必要があります。 |
CAT II |
アクションは必要ありません |
スクリプトでの対応 |
SV-50403r2_rule |
|
CAT I |
アクションは必要ありません |
スクリプトでの対応 |
SV-50404r1_rule |
|
CAT II |
アクションは必要ありません |
スクリプトでの対応 |
SV-50405r2_rule |
|
CAT II |
アクションは必要ありません |
スクリプトでの対応 |
SV-50406r2_rule |
|
CAT II |
アクションは必要ありません |
スクリプトでの対応 |
SV-50407r1_rule |
|
CAT II |
アクションは必要ありません |
スクリプトでの対応 |
SV-50408r1_rule |
SSHデーモンは、SSHv2プロトコルのみを使用するように構成する必要があります。 |
CAT I |
アクションは必要ありません |
スクリプトでの対応 |
SV-50409r1_rule |
SSHデーモンは、アイドル・セッションのタイムアウト間隔を設定する必要があります。 |
CAT III |
アクションは必要ありません |
スクリプトでの対応 |
SV-50411r1_rule |
SSHデーモンは、アイドル・セッションのタイムアウト・カウントを設定する必要があります。 |
CAT III |
アクションは必要ありません |
スクリプトでの対応 |
SV-50412r1_rule |
SSHデーモンは、 |
CAT II |
アクションは必要ありません |
スクリプトでの対応 |
SV-50413r1_rule |
SSHデーモンは、ホストベースの認証を許可しない必要があります。 |
CAT II |
アクションは必要ありません |
スクリプトでの対応 |
SV-50414r1_rule |
システムでは、SSHなどのリモート・アクセス・プログラムを使用してrootログインを許可しないでください。 |
CAT II |
アクションは必要ありません |
スクリプトでの対応 |
SV-50415r1_rule |
SSHデーモンは、空のパスワードを使用した認証を許可しない必要があります。 |
CAT I |
アクションは必要ありません |
スクリプトでの対応 |
SV-50416r1_rule |
SSHデーモンを国防総省(DoD)ログイン・バナーで構成する必要があります。 |
CAT II |
スクリプトでの対応 |
実装されていません |
SV-50417r1_rule |
SSHデーモンは、ユーザーの環境設定を許可しない必要があります。 |
CAT III |
アクションは必要ありません |
スクリプトでの対応 |
SV-50419r2_rule |
|
CAT III |
アクションは必要ありません |
スクリプトでの対応 |
SV-50421r1_rule |
システム・クロックは継続的に、少なくとも毎日同期する必要があります。 |
CAT II |
スクリプトでの対応 |
ドキュメントでの対応 |
SV-50422r1_rule |
システム・クロックは、正式なDoDのタイム・ソースと同期する必要があります。 |
CAT II |
アクションは必要ありません |
スクリプトでの対応 |
SV-50423r2_rule |
メール・リレーは制限する必要があります。 |
CAT II |
スクリプトでの対応 |
該当なし |
SV-50428r1_rule |
必要な場合を除いて、 |
CAT III |
アクションは必要ありません |
スクリプトでの対応 |
SV-50430r3_rule |
グラフィカル・デスクトップ環境では、アイドル・タイムアウトを15分以内に設定する必要があります。 |
CAT II |
アクションは必要ありません |
スクリプトでの対応 |
SV-50431r3_rule |
グラフィカル・デスクトップ環境では、非アクティブになってから15分後に自動的にロックする必要があり、システムで環境のロックを解除するにはユーザーに再認証を要求する必要があります。 |
CAT II |
アクションは必要ありません |
スクリプトでの対応 |
SV-50434r1_rule |
システムは、監査ログ・ファイルの最大サイズを設定する必要があります。 |
CAT II |
アクションは必要ありません |
スクリプトでの対応 |
SV-50435r1_rule |
システムは、最大ファイル・サイズに到達した監査ログ・ファイルをローテーションする必要があります。 |
CAT II |
アクションは必要ありません |
スクリプトでの対応 |
SV-50436r2_rule |
監査システムは、 |
CAT III |
アクションは必要ありません |
スクリプトでの対応 |
SV-50437r1_rule |
システムは、必要なログ保存期間に対応できる、十分なローテーションされる監査ログを保持する必要があります。 |
CAT II |
アクションは必要ありません |
スクリプトでの対応 |
SV-50439r3_rule |
グラフィカル・デスクトップ環境では、自動ロックを有効にする必要があります。 |
CAT II |
アクションは必要ありません |
スクリプトでの対応 |
SV-50440r3_rule |
システムは、グラフィカル・デスクトップ環境のセッション・ロック中は、公開表示可能なパターンを表示する必要があります。 |
CAT III |
アクションは必要ありません |
スクリプトでの対応 |
SV-50441r2_rule |
自動不具合報告ツール( |
CAT III |
アクションは必要ありません |
スクリプトでの対応 |
SV-50442r2_rule |
|
CAT III |
アクションは必要ありません |
スクリプトでの対応 |
SV-50443r1_rule |
デーモンのシステムのデフォルト |
CAT III |
アクションは必要ありません |
スクリプトでの対応 |
SV-50445r2_rule |
|
CAT III |
アクションは必要ありません |
スクリプトでの対応 |
SV-50446r1_rule |
|
CAT III |
アクションは必要ありません |
スクリプトでの対応 |
SV-50447r2_rule |
|
CAT III |
アクションは必要ありません |
スクリプトでの対応 |
SV-50448r1_rule |
/etc/profileのシステムのデフォルト |
CAT III |
スクリプトでの対応 |
実装されていません |
SV-50449r2_rule |
|
CAT III |
アクションは必要ありません |
スクリプトでの対応 |
SV-50450r1_rule |
cshシェルのシステムのデフォルト |
CAT III |
スクリプトでの対応 |
実装されていません |
SV-50451r2_rule |
|
CAT III |
アクションは必要ありません |
スクリプトでの対応 |
SV-50452r1_rule |
bashシェルのシステムのデフォルト |
CAT III |
スクリプトでの対応 |
実装されていません |
SV-50457r1_rule |
システムは、 |
CAT III |
スクリプトでの対応 |
実装されていません |
SV-50470r1_rule |
メールを配信するには、postfixサービスを有効にする必要があります。 |
CAT III |
スクリプトでの対応 |
実装されていません |
SV-50472r1_rule |
|
CAT II |
アクションは必要ありません |
スクリプトでの対応 |
SV-50473r2_rule |
必要な場合を除いて、 |
CAT III |
アクションは必要ありません |
スクリプトでの対応 |
SV-50475r1_rule |
必要な場合を除いて、X Windowsは有効にしないでください。 |
CAT II |
アクションは必要ありません |
スクリプトでの対応 |
SV-50476r2_rule |
必要な場合を除いて、プロセスのコア・ダンプは無効にする必要があります。 |
CAT III |
スクリプトでの対応 |
実装されていません |
SV-50477r1_rule |
必要な場合を除いて、 |
CAT III |
アクションは必要ありません |
スクリプトでの対応 |
SV-50480r2_rule |
必要な場合を除いて、DHCPクライアントは無効にする必要があります。 |
CAT II |
スクリプトでの対応 |
実装されていません |
SV-50481r1_rule |
監査システムは、監査ログの記憶域ボリューム容量の問題の通知を受信するスタッフ・メンバーを識別する必要があります。 |
CAT II |
アクションは必要ありません |
スクリプトでの対応 |
SV-50485r2_rule |
システムは、同時にシステムにログインするユーザーを10人、または運用上の要件に従ってサイトで定義した数に制限する必要があります。 |
CAT III |
スクリプトでの対応 |
実装されていません |
SV-50488r2_rule |
システムは、信頼できないネットワークを介した通信にVPN接続を提供する必要があります。 |
CAT III |
スクリプトでの対応 |
実装されていません |
SV-50489r2_rule |
グラフィカル・デスクトップ環境のログイン・プロンプトの直前、またはその一部としてログイン・バナーを表示する必要があります。 |
CAT II |
アクションは必要ありません |
スクリプトでの対応 |
SV-50492r2_rule |
Bluetoothサービスは無効にする必要があります。 |
CAT II |
アクションは必要ありません |
スクリプトでの対応 |
SV-50493r1_rule |
アカウントは、35日間非アクティブだった場合にロックする必要があります。 |
CAT III |
スクリプトでの対応 |
実装されていません |
SV-50495r1_rule |
オペレーティング・システムでは、非アクティブな状態のままで組織が定めた期間が経過した後、ユーザー識別子を無効にすることによって、ユーザーおよびデバイスに対する情報システム識別子を管理する必要があります。 |
CAT III |
スクリプトでの対応 |
実装されていません |
SV-50498r2_rule |
すべてのパブリック・ディレクトリにスティッキー・ビットを設定する必要があります。 |
CAT III |
スクリプトでの対応 |
アクションは必要ありません |
SV-50500r2_rule |
すべてのパブリック・ディレクトリの所有者は、システム・アカウントである必要があります。 |
CAT III |
アクションは必要ありません |
スクリプトでの対応 |
SV-50502r1_rule |
TFTPデーモンは、ホストのファイル・システムの1つのディレクトリにのみアクセスできるセキュア・モードで動作する必要があります。 |
CAT I |
アクションは必要ありません |
スクリプトでの対応 |
SV-65547r1_rule |
システムは、起動時にLinux Security Moduleを使用する必要があります。 |
CAT II |
アクションは必要ありません |
スクリプトでの対応 |
SV-65573r1_rule |
システムは、システム・サービスに制限を強制するように構成されたLinux Security Moduleを使用する必要があります。 |
CAT II |
スクリプトでの対応 |
実装されていません |
SV-65579r1_rule |
システムは、システム・サービスの権限を制限するように構成されたLinux Security Moduleを使用する必要があります。 |
CAT III |
アクションは必要ありません |
スクリプトでの対応 |
SV-66089r1_rule |
オペレーティング・システムは、logoNoccessが成功した場合に、最後に成功したlogoNoccess以降の失敗したlogoNoccessの試行回数をユーザーに表示する必要があります。 |
CAT II |
アクションは必要ありません |
スクリプトでの対応 |
SV-68627r1_rule |
監査システムは、使用可能な監査記憶域ボリュームが深刻に低下した場合、システムを単一ユーザー・モードに切り替える必要があります。 |
CAT II |
スクリプトでの対応 |
実装されていません |
親トピック: セキュリティ技術導入ガイドのコンプライアンス標準