10 リカバリ・アプライアンスのユーザー・セキュリティ
データおよびシステムのセキュリティを強化するには、ユーザー・アクセスを制限し、強力なパスワード・セキュリティ・ポリシーを作成します。
Oracle Zero Data Loss Recovery Applianceのデフォルトのユーザー・アカウント
次の表に、Oracle Zero Data Loss Recovery Applianceコンポーネントのデフォルトのユーザーおよびパスワードを示します。デフォルトのパスワードはすべて、リカバリ・アプライアンスのインストール後に変更する必要があります。
表10-1 Oracle Zero Data Loss Recovery Applianceのデフォルトのユーザーおよびパスワード
コンポーネント | ユーザー名とパスワード |
---|---|
計算サーバー |
オペレーティング・システム・ユーザー:
データベース・ユーザー:
OSBテープ・バックアップ・アプリケーション・ユーザー:
|
ストレージ・サーバー |
|
RoCE Network Fabric |
|
InfiniBand Network Fabricスイッチ |
|
イーサネット・スイッチ |
ノート: |
配電ユニット(PDU) |
|
計算サーバーILOM |
|
ストレージ・サーバーILOM |
|
InfiniBand Network Fabric ILOM |
|
ノート:
リカバリ・アプライアンスがデプロイされた後、システムに対するセキュリティ対策として、インストール・プロセスによりすべてのルートSSHキーが無効にされ、すべてのユーザー・パスワードが期限切れにされます。SSHキーが無効化されたり、パスワードが失効しないようにするには、デプロイメントの前にインストール・エンジニアに依頼してください。関連項目:
リカバリ・アプライアンス・コンポーネントのパスワードを変更する方法を学習するには、「コンポーネントのパスワードの変更」を参照してください。デフォルトのパスワードの要件
Oracle Exadata Deployment Assistant (OEDA)は、Oracle Exadata Database Machineにデフォルトのパスワード・ポリシーを実装します。
OEDAの最後のステップ、Oracle Exadata Database Machineの保護では、次のパスワード要件が実装されます。
- 辞書の単語が無効または受け入れられません。
- パスワードの文字クラスとは、大文字、小文字、数字、特殊文字です。
- パスワードには、4つの文字クラスすべての文字を含める必要があります。1つ、2つまたは3つの文字クラスしか使用しないパスワードは使用できません。
- パスワードの最小長は8文字です。
- パスフレーズを使用できます。パスフレーズの条件は、少なくとも3つの単語が含まれていること、16文字から40文字までの長さであること、および異なる文字クラスが含まれていることです。
- 新しいパスワードは古いパスワードに類似したものにすることはできません。新パスワードには、旧パスワードで使用されていない文字が8文字以上が必要です。
- パスワードでは、同じ文字を最大3連続まで使用できます。
- パスワードでは、同じ文字クラスの文字を最大4連続まで使用できます。たとえば
abcde1#6B
は、連続して5つの小文字を使用しているためパスワードとして使用できません。
OEDAによって有効になるデフォルト・セキュリティ設定
Oracle Exadata Deployment Assistant (OEDA)には、リカバリ・アプライアンスのハードウェアのセキュリティを強化するためのステップが含まれています。
OEDAの最後のステップでは、次のセキュリティ・ポリシーを実装します。
- 計算サーバーおよびストレージ・サーバー上で新しく作成されたすべてのオペレーティング・システム・ユーザーに、次のパスワード・エージング値が設定されます。
- パスワードの最大日数は60日です。
- パスワード変更の最小間隔は24時間です。
- パスワード変更までの警告の日数は7日です。
- すべての非ルート・ユーザーは、次にログインするときにパスワードを変更する必要があります。
- オペレーティング・システムのユーザー・アカウントは、ログイン試行に1回失敗するたびに10分間、一時的にロックされます。
- オペレーティング・システムのユーザー・アカウントは、ログイン試行に5回失敗するとロックされます。
-
root
ユーザーの場合、すべての計算サーバーとストレージ・サーバーでSSH等価が削除されます。 -
次の権限は、OEDAによって設定されます。
- 自動診断リポジトリ(ADR)ベース・ディレクトリ
$ADR_BASE
には、diag
ディレクトリとそのサブディレクトリにSUID (Set owner User ID)があります。 celladmin
ユーザー・グループには、$ADR_BASE
に対する読取りおよび書込み権限があります。
- 自動診断リポジトリ(ADR)ベース・ディレクトリ