この付録では、データベース・リスナーを保護するためのセキュリティに関する推奨事項について説明します。
次に示す構成ガイドラインは、データベース・リスナーのセキュリティを強化するのに役立ちます。
データベース・リスナーの構成ファイルlistener.ora
およびサポートしているOracleNet構成ファイルtnsnames.ora
では、ADMIN_RESTRICTIONS_LISTENER_
SID
=ON
の保護を有効にしておく必要があります。
データベース・リスナーの構成ファイルlistener.ora
およびサポートしているOracleNet構成ファイルtnsnames.ora
では、PLSExtProc
リスナーを無効にしておく必要があります。
リスナーは、標準以外のポートでリスニングするように構成する必要があります。つまり、デフォルト・ポート(1521)を変更する必要があります。
リスナーは、組織のセキュリティ・ポリシーに基づいて、パスワード保護されているか、オペレーティング・システム(OS)認証を利用している必要があります。
リスナーには、デフォルト名とは異なる一意の名前を使用する必要があります。
listener.ora
ファイルには、次のパラメータ・セットが含まれている必要があります。
INBOUND_CONNECT_TIMEOUT_ListenerName = 10
sqlnet.ora
ファイルには、次のパラメータ・セットが含まれている必要があります。
SQLNET.INBOUND_CONNECT_TIMEOUT = 12 SQLNET.EXPIRE_TIME = 10
リスナーに対して、次のようにロギングを有効化する必要があります。
LOGGING_LISTENER = ON LOG_STATUS = ON LOG_DIRECTORY_ListenerName = Directory_owned_by_Oracle_account LOG_FILE_ListenerName = File_owned_by_Oracle_account
注意: LOG_DIRECTORY のアクセス権限は、所有者とDBAグループのみに付与する必要があります。所有者にはLOG_DIRECTORY の読取りアクセスと書込みアクセスを、また、DBAグループには読取りアクセスを付与する必要があります。
|
リスナーに対して、次のようにトレースを有効化する必要があります。
TRACE_DIRECTORY_ListenerName = Directory_owned_by_Oracle_account TRACE_FILE_ListenerName = File_owned_by_Oracle_account TRACE_LEVEL = user TRACE_FILELEN_ListenerName = 512 TRACE_FILENO_ListenerName = 1000 TRACE_TIMESTAMP_ListenerName = dd-mon-yyyy hh:mi:ss:mil
注意: TRACE_DIRECTORY の読取りおよび書込みの権限は、所有者とDBAグループのみに付与する必要があります。
|