| Oracle® Database Vaultインストレーション・ガイド 10gリリース2(10.2)for Linux x86 B40014-04 |
|
 戻る |
 次へ |
この付録では、データベース・リスナーを保護するためのセキュリティに関する推奨事項について説明します。
次に示す構成ガイドラインは、データベース・リスナーのセキュリティを強化するのに役立ちます。
データベース・リスナーの構成ファイルlistener.oraおよびサポートしているOracleNet構成ファイルtnsnames.oraでは、ADMIN_RESTRICTIONS_LISTENER_SID=ONの保護を有効にしておく必要があります。
データベース・リスナーの構成ファイルlistener.oraおよびサポートしているOracleNet構成ファイルtnsnames.oraでは、PLSExtProcリスナーを無効にしておく必要があります。
リスナーは、標準以外のポートでリスニングするように構成する必要があります。つまり、デフォルト・ポート(1521)を変更する必要があります。
リスナーは、組織のセキュリティ・ポリシーに基づいて、パスワード保護されているか、オペレーティング・システム(OS)認証を利用している必要があります。
リスナーには、デフォルト名とは異なる一意の名前を使用する必要があります。
listener.oraファイルには、次のパラメータ・セットが含まれている必要があります。
INBOUND_CONNECT_TIMEOUT_ListenerName = 10
sqlnet.oraファイルには、次のパラメータ・セットが含まれている必要があります。
SQLNET.INBOUND_CONNECT_TIMEOUT = 12 SQLNET.EXPIRE_TIME = 10
リスナーに対して、次のようにロギングを有効化する必要があります。
LOGGING_LISTENER = ON LOG_STATUS = ON LOG_DIRECTORY_ListenerName = Directory_owned_by_Oracle_account LOG_FILE_ListenerName = File_owned_by_Oracle_account
|
注意: LOG_DIRECTORYのアクセス権限は、所有者とDBAグループのみに付与する必要があります。所有者にはLOG_DIRECTORYの読取りアクセスと書込みアクセスを、また、DBAグループには読取りアクセスを付与する必要があります。
|
リスナーに対して、次のようにトレースを有効化する必要があります。
TRACE_DIRECTORY_ListenerName = Directory_owned_by_Oracle_account TRACE_FILE_ListenerName = File_owned_by_Oracle_account TRACE_LEVEL = user TRACE_FILELEN_ListenerName = 512 TRACE_FILENO_ListenerName = 1000 TRACE_TIMESTAMP_ListenerName = dd-mon-yyyy hh:mi:ss:mil
|
注意: TRACE_DIRECTORYの読取りおよび書込みの権限は、所有者とDBAグループのみに付与する必要があります。
|
