3 Oracle Exadata Database Machineのユーザー・セキュリティ
データおよびシステムのセキュリティを強化するには、ユーザー・アクセスを制限し、強力なパスワード・セキュリティ・ポリシーを作成します。
- ユーザー・アカウントの理解
Oracle Exadata Database Machineのコンポーネントを管理するためにいくつかのユーザーが使用されます - デフォルトのパスワード要件
Oracle Exadata Deployment Assistant (OEDA)は、Oracle Exadata Database Machineにデフォルトのパスワード・ポリシーを実装します。 - OEDAによって有効になるデフォルト・セキュリティ設定
Oracle Exadata Deployment Assistant (OEDA)には、Oracle Exadata Database Machineのハードウェアのセキュリティを強化するためのステップが含まれています。 - データベース・サーバーのパスワード・ポリシーの変更
パスワード・ポリシーを変更できるのは、データベース・サーバーのみです。 - Oracle Exadata System Softwareのユーザーおよびロールの作成
ロールに権限を付与し、ユーザーにロールを付与することで、ユーザーが実行できるOracle Exadata System Softwareコマンドを制御できます。 - Oracle Exadata Storage Serverのオペレーティング・システム・ユーザーのセキュリティ・ポリシー
オペレーティング・システムへのユーザー・アクセスは、セキュアで堅固なパスワードを使用することによって保護できます。
3.1 ユーザー・アカウントの理解
Oracle Exadata Database Machineのコンポーネントを管理するために使用されるユーザーが複数あります
root
ユーザーに加えて、Oracle Exadata Storage Serverには2種類のユーザー、celladmin
とcellmonitor
があります。celladmin
ユーザーは、セルですべてのサービスを実行するために使用されます。cellmonitor
ユーザーは、監視のために使用されます。cellmonitor
ユーザーはセルでサービスを実行できません。その他のOracle Exadata Database Machineコンポーネントには、コンポーネントの管理用のユーザーがあります。
注意:
Oracle Exadata Database Machineがデプロイされた後、システムのセキュリティ手段として、インストール・プロセスによってすべてのroot SSHキーが無効化され、すべてのユーザー・パスワードが失効します。SSHキーが無効化されたり、パスワードが失効しないようにするには、デプロイメントの前にインストール・エンジニアに依頼してください。Oracle Exadata System Softwareリリース19.1.0以降では、特定のアクションのセキュリティを向上させるために、2つの新規ユーザーが作成されます。cellofl
ユーザーは、非root
ユーザーとしてストレージ・サーバーで問合せオフロード・プロセスを実行します。exawatch
ユーザーは、データベース・サーバーとストレージ・サーバーの両方でシステム統計を収集およびアーカイブします。
次の表に、Oracle Exadata Database Machineコンポーネントのデフォルトのユーザーとパスワードを示します。Oracle Exadata Database Machineのインストール後、すべてのデフォルトのパスワードを変更する必要があります。デフォルトのユーザー・アカウント・パスワードの変更の詳細は、My Oracle Supportノート1291766.1を参照してください。
表3-1 デフォルトのユーザーとパスワード
ユーザー名とパスワード | ユーザー・タイプ | コンポーネント |
---|---|---|
|
オペレーティング・システムのユーザー |
Oracle Exadata Database Server Oracle Exadata Storage Server RDMA over InfiniBand Network Fabricスイッチ RDMA over RoCE Network Fabricスイッチ データベース・サーバーILOM Oracle Exadata Storage Server ILOM RDMA over InfiniBand Network Fabric ILOM |
|
オペレーティング・システムのユーザー |
Oracle Exadata Database Server |
|
オペレーティング・システムのユーザー |
Oracle Exadata Database Server |
|
オペレーティング・システムのユーザー |
Oracle Exadata Storage Server |
|
Oracle Exadata System Softwareユーザー |
Oracle Exadata Storage Server |
|
オペレーティング・システムのユーザー |
Oracle Exadata Storage Server |
|
オペレーティング・システムのユーザー |
Oracle Exadata Storage Server |
|
オペレーティング・システムのユーザー |
Oracle Exadata Database Server |
|
オペレーティング・システムのユーザー |
Oracle Exadata Database Server |
|
オペレーティング・システムのユーザー |
Oracle Exadata Database Server Oracle Exadata Storage Server |
|
Oracle Databaseユーザー |
Oracle Exadata Database Server |
|
Oracle Databaseユーザー |
Oracle Exadata Database Server |
grubブート・ローダー・パスワード: |
オペレーティング・システムのユーザー |
Oracle Exadata Database Server Oracle Exadata Storage Server |
|
ファームウェア・ユーザー |
RDMA over InfiniBand Network Fabricスイッチ |
|
ILOMユーザー |
RDMA over InfiniBand Network Fabricスイッチ |
|
ILOMユーザー |
RDMA over InfiniBand Network Fabricスイッチ |
|
ファームウェア・ユーザー |
Ethernetスイッチ |
PDUを出荷時のデフォルト設定にリセットした場合、 |
ファームウェア・ユーザー |
配電ユニット(PDU) キーボード、ビデオ、マウス(KVM) |
管理サーバー(MS)はこのアカウントを使用して、ILOMを管理し、ハングを検知した場合、これをリセットします。
このアカウントは変更しないでください。このアカウントを使用できるのはMSのみです。 |
ILOMユーザー |
データベース・サーバーILOM Oracle Exadata Storage Server ILOM |
3.2 デフォルトのパスワード要件
Oracle Exadata Deployment Assistant (OEDA)は、Oracle Exadata Database Machineにデフォルトのパスワード・ポリシーを実装します。
OEDAの最後のステップ、Oracle Exadata Database Machineの保護では、次のパスワード要件が実装されます。
- 辞書の単語が無効、または受け入れられません。
- パスワードの文字クラスとは、大文字、小文字、数字、特殊文字です。
- パスワードには、4つの文字クラスすべての文字を含める必要があります。1つ、2つまたは3つの文字クラスしか使用しないパスワードは使用できません。
- パスワードの最小長は8文字です。
- パスフレーズを使用できます。パスフレーズの条件は、少なくとも3つの単語が含まれていること、16文字から40文字までの長さであること、および異なる文字クラスが含まれていることです。
- 新しいパスワードは古いパスワードに類似したものにすることはできません。新パスワードには、旧パスワードで使用されていない文字が8文字以上が必要です。
- パスワードでは、同じ文字を最大3連続まで使用できます。
- パスワードでは、同じ文字クラスの文字を最大4連続まで使用できます。たとえば
abcde1#6B
は、連続して5つの小文字を使用しているためパスワードとして使用できません。
3.3 OEDAによって有効になるデフォルト・セキュリティ設定
Oracle Exadata Deployment Assistant (OEDA)には、Oracle Exadata Database Machineのハードウェアのセキュリティを強化するためのステップが含まれています。
OEDAの最後のステップ、Oracle Exadata Database Machineの保護
では、次のセキュリティ・ポリシーが実装されます。
- データベース・サーバーおよびストレージ・サーバー上で新しく作成されたすべてのオペレーティング・システム・ユーザーについて、次のパスワード・エージング値が設定されます。
- パスワードの最大日数は90日です。Oracle Exadata System Softwareリリース19.1.0以降では、この値は60日間に短縮されました。
- パスワード変更の最小間隔は24時間です。
- パスワード変更までの警告の日数は7日です。
- すべての非ルート・ユーザーは、次にログインするときにパスワードを変更する必要があります。
- オペレーティング・システムのユーザー・アカウントは、ログイン試行に1回失敗するたびに10分間、一時的にロックされます。
- オペレーティング・システムのユーザー・アカウントは、ログイン試行に5回失敗するとロックされます。
- ログイン・セッションは、14400秒間入力がなければ終了します。
- SSHセッションは、7200秒間アクティビティがなければ終了します。Oracle Exadata System Softwareリリース19.1.0以降を使用している場合、SSHセッションは非アクティブな状態が600秒続くと終了します。
-
root
ユーザーの場合、すべてのデータベース・サーバーとOracle Exadata Storage ServerでSSH等価が削除されます。 -
次の権限は、OEDAによって設定されます。
- 自動診断リポジトリ(ADR)ベース・ディレクトリ
$ADR_BASE
には、diag
ディレクトリとそのサブディレクトリにSUID (Set owner User ID)があります。 celladmin
ユーザー・グループには、$ADR_BASE
に対する読取りおよび書込み権限があります。
- 自動診断リポジトリ(ADR)ベース・ディレクトリ
3.4 データベース・サーバーのパスワード・ポリシーの変更
パスワード・ポリシーは、データベース・サーバーの場合のみ変更できます。
関連項目:
詳細は、login.defs
およびpasswdqc.conf
マニュアル・ページを参照してください
3.5 Oracle Exadata System Softwareのユーザーとロールの作成
ロールに権限を付与し、ユーザーにロールを付与することで、ユーザーが実行できるOracle Exadata System Softwareコマンドを制御できます。
たとえば、ユーザーにLIST GRIDDISK
コマンドを実行可能にしALTER GRIDDISK
を実行不可にするよう指定できます。このレベルの制御は、システムへの完全なアクセスをごく少数のユーザーにのみ許可するOracle Cloud環境で役立ちます。
- Exadata System Softwareのユーザーの作成の概要
ユーザーとロールを設定するには、一連のコマンドを実行します。 - ロールの作成およびロールに関する情報の取得
Oracle Exadata System Softwareユーザーのロールを作成するには、CREATE ROLE
コマンドを使用します。 - 権限の付与および取消し
GRANT PRIVILEGE
コマンドを使用して、Oracle Exadata System Softwareユーザーのロールに権限を付与します。 - ユーザーの作成
CREATE USER
コマンドを使用して、Oracle Exadata System Softwareユーザーを作成します。 - サーバーにリモートからアクセスするユーザーのパスワード有効期限の構成
CELL
属性を構成して、ユーザー・パスワードを期限切れにできます。 - ロールの付与および取消し
GRANT ROLE
コマンドを使用して、Oracle Exadata System Softwareユーザーにロールを作成します。
関連項目
3.5.1 Exadata System Softwareのユーザーの作成の概要
ユーザーとロールを設定するには、一連のコマンドを実行します。
Oracle Exadata System Softwareユーザーは、オンプレミスまたはOracle Cloud環境でExaCLIを実行する場合に必要です。ExaCLIでは、計算ノードからリモートでセルを管理できます。計算ノード上でExaCLIを実行するときに、セル・ノードへの接続に使用するユーザー名を指定する必要があります。管理サーバー(MS)により、ユーザーの資格証明が認証され、そのユーザーによって発行されるコマンドの許可チェックが実行されます。そのユーザーがコマンドを実行する適切な権限を持っていない場合、MSによりエラーが返されます。
パスワードのセキュリティ・キーは、HMAC-SHA1とパスワード・ベース・キー導出関数2 (PBKDF2)を使用して暗号化されています。
Oracle Exadata System Softwareで使用するユーザーおよびロールを作成するステップの概要を次に示します。
- CREATE ROLEコマンドを使用してロールを作成します。
- GRANT PRIVILEGEコマンドを使用してロールに権限を付与します。
- CREATE USERコマンドを使用してユーザーを作成します。
- GRANT ROLEコマンドを使用してユーザーにロールを付与します。
REVOKE PRIVILEGEコマンドを使用して、ロールから権限を取り消すこともできます。ユーザーからロールを取り消すには、REVOKE ROLEコマンドを使用します。
3.5.2 ロールの作成およびロールに関する情報の取得
CREATE ROLE
コマンドを使用して、Oracle Exadata System Softwareユーザーのロールを作成します。
たとえば、管理者のロールを作成するには、次のコマンドを使用します。
CellCLI> CREATE ROLE admin
ロールを作成した後、GRANT PRIVILEGE
コマンドを使用してロールに権限を付与できます。次の例のように、ロールをユーザーに付与することもできます。
CellCLI> GRANT PRIVILEGE ALL ACTIONS ON ALL OBJECTS TO ROLE admin
CellCLI> GRANT ROLE admin TO USER username
ロールに関する詳細情報を取得するには、LIST ROLE
コマンドを使用します。次のコマンドはadmin
ロールのすべての属性を返します。
CellCLI> LIST ROLE admin DETAIL
name: admin
privileges: object=all objects, verb=all actions,
attributes=all attributes, options=all options
3.5.4 ユーザーの作成
CREATE USER
コマンドを使用して、Oracle Exadata System Softwareユーザーを作成します。
新しく作成したユーザーは、何も権限を持っていません。Oracle Exadata System Softwareユーザーには、ユーザーに付与されたロールを介して権限が付与されます。
3.5.5 サーバーにリモートにアクセスするユーザーのパスワードの有効期限の構成
CELL
属性を構成して、ユーザー・パスワードを期限切れにできます。
Oracle Exadata System Softwareリリース19.1.0では、REST APIまたはExaCLIなど、リモートでOracle Exadata System Softwareサーバーにアクセスするユーザーにパスワード・セキュリティを構成するための新しいCELL
属性があります。これらの属性によって、ユーザーがリモートでパスワードを変更できるかどうか、ユーザー・パスワードが期限切れになるまでの時間、およびパスワード有効期限の前にユーザーが警告メッセージを受け取る日数が決まります。デフォルトの構成では、ユーザー・パスワードは期限切れになりません。
注意:
パスワードの有効期限用のCELL属性は、Oracle Exadata System Softwareで作成されたユーザーにのみ適用されます。パスワードの有効期限は、LIST USER
コマンドで表示されるユーザーにのみ適用され、celladmin
やoracle
などのオペレーティング・システム・ユーザーには適用されません。
3.6 Oracle Exadata Storage Serverのオペレーティング・システム・ユーザーのセキュリティ・ポリシー
オペレーティング・システムへのユーザー・アクセスは、安全で固定化されたパスワードの使用により安全を保証できます。
Oracle Exadata System Softwareを管理するオペレーティング・システム・ユーザーのパスワードは、Oracle Exadata Deployment Assistant (OEDA)によって実施されるセキュリティ・ガイドラインに準拠しています。詳細は、OEDAで実施されるデフォルト・セキュリティ設定に関する項を参照してください。
- パスワードの変更
ユーザーのパスワードを変更するには、オペレーティング・システムのpasswd
コマンドを使用します。 - オペレーティング・システム・ユーザーのセキュリティ・ポリシーの有効化
/opt/oracle.cellos/RESECURED_NODE
ファイルによって、セキュリティ・ポリシーが有効になります。 - 失敗したオペレーティング・システム・パスワードの試行の表示
不正なパスワードでのログイン試行を表示するには、pam_tally2
オペレーティング・システム・ユーティリティを使用します。 - ロックされたオペレーティング・システム・ユーザー・アカウントのリセット
オペレーティング・システムのユーザー・アカウントがログイン試行に5回失敗すると、そのアカウントはロックされます。
3.6.1 パスワードの変更
オペレーティング・システムのpasswd
コマンドを使用して、ユーザーのパスワードを変更します。
パスワードの期限が切れる7日前に、オペレーティング・システムのユーザーにはパスワードを変更する必要があることが通知されます。
3.6.2 オペレーティング・システム・ユーザーのセキュリティ・ポリシーの有効化
/opt/oracle.cellos/RESECURED_NODE
ファイルによって、セキュリティ・ポリシーが有効化されます。
ファイルが存在しない場合は、次のステップを実行してすべてのオペレーティング・システム・ユーザーのセキュリティ・ポリシーをリセットできます。