E データベース・リスナーのセキュリティに関する推奨事項

この付録では、データベース・リスナーを保護するためのセキュリティに関する推奨事項について説明します。

データベース・リスナーのセキュリティ・チェックリスト

次に示す構成ガイドラインは、データベース・リスナーのセキュリティを強化するのに役立ちます。

• データベース・リスナーの構成ファイルlistener.oraおよびサポートしているOracleNet構成ファイルtnsnames.oraでは、ADMIN_RESTRICTIONS_LISTENER_SID=ONの保護を有効にしておく必要があります。

• データベース・リスナーの構成ファイルlistener.oraおよびサポートしているOracleNet構成ファイルtnsnames.oraでは、PLSExtProcリスナーを無効にしておく必要があります。

• リスナーは、標準以外のポートでリスニングするように構成する必要があります。つまり、デフォルト・ポート（1521）を変更する必要があります。

• リスナーは、組織のセキュリティ・ポリシーに基づいて、パスワード保護されているか、オペレーティング・システム（OS）認証を利用している必要があります。

• リスナーには、デフォルト名とは異なる一意の名前を使用する必要があります。

• listener.oraファイルには、次のパラメータ・セットが含まれている必要があります。

  INBOUND_CONNECT_TIMEOUT_ListenerName = 10
  
  

• sqlnet.oraファイルには、次のパラメータ・セットが含まれている必要があります。

  SQLNET.INBOUND_CONNECT_TIMEOUT  = 12
  SQLNET.EXPIRE_TIME = 10
  
  

• リスナーに対して、次のようにロギングを有効化する必要があります。

  LOGGING_LISTENER = ON
  LOG_STATUS = ON
  LOG_DIRECTORY_ListenerName = Directory_owned_by_Oracle_account
  LOG_FILE_ListenerName = File_owned_by_Oracle_account
  
  

  注意 LOG_DIRECTORYのアクセス権限は、所有者とDBAグループのみに付与する必要があります。所有者にはLOG_DIRECTORYの読取りアクセスと書込みアクセスを、また、DBAグループには読取りアクセスを付与する必要があります。 LOG_FILEの読取りおよび書込みの権限は、所有者とDBAグループのみに付与する必要があります。

• リスナーに対して、次のようにトレースを有効化する必要があります。

  TRACE_DIRECTORY_ListenerName = Directory_owned_by_Oracle_account
  TRACE_FILE_ListenerName = File_owned_by_Oracle_account
  TRACE_LEVEL = user
  TRACE_FILELEN_ListenerName = 512
  TRACE_FILENO_ListenerName = 1000
  TRACE_TIMESTAMP_ListenerName = dd-mon-yyyy hh:mi:ss:mil
  
  

  注意 TRACE_DIRECTORYの読取りおよび書込みの権限は、所有者とDBAグループのみに付与する必要があります。 TRACE_FILEの読取りおよび書込みの権限は、所有者とDBAグループのみに付与する必要があります。