10 リカバリ・アプライアンスのユーザー・セキュリティ

データおよびシステムのセキュリティを強化するには、ユーザー・アクセスを制限し、強力なパスワード・セキュリティ・ポリシーを作成します。

Oracle Zero Data Loss Recovery Applianceのデフォルトのユーザー・アカウント

次の表に、Oracle Zero Data Loss Recovery Applianceコンポーネントのデフォルトのユーザーおよびパスワードを示します。デフォルトのパスワードはすべて、リカバリ・アプライアンスのインストール後に変更する必要があります。

表10-1 Oracle Zero Data Loss Recovery Applianceのデフォルトのユーザーおよびパスワード

コンポーネント ユーザー名とパスワード

計算サーバー

オペレーティング・システム・ユーザー:

  • root/welcome1

  • oracle/We1come$

  • dbmadmin/welcome

  • dbmmonitor/welcome

  • raext/(SSHアクセスからロック済かつブロック済)

  • railm/(SSHアクセスからロック済かつブロック済)

  • GRUBブート・ローダーのパスワード: sos1Exadata

データベース・ユーザー:

  • SYS/We1come$

  • SYSTEM/We1come$

  • raext/(外部認証済)

  • ralim/(外部認証済)

  • rasys/change^Me2

OSBテープ・バックアップ・アプリケーション・ユーザー:

  • admin/welcome1

  • oracle/welcome1

  • 暗号化キーウォレット/welcome1

ストレージ・サーバー

  • root/welcome1

  • celladmin/welcome

  • cellmonitor/welcome

  • CELLDIAG

    CELLDIAGはExadataストレージ・ソフトウェア・ユーザーであり、オペレーティング・システム・ユーザーではありません。

    CELLDIAGユーザーのパスワードは、Oracle Exadata Deployment Assistantの「セキュリティ修正の適用」ステップでランダムなパスワードにリセットされます。このステップを実行する前のデフォルト・パスワードはWelcome12345です。

  • GRUBブート・ローダーのパスワード: sos1Exadata

RoCE Network Fabric

  • root/welcome1

InfiniBand Network Fabricスイッチ

  • root/welcome1

  • nm2user/changeme

  • ilom-admin/ilom-admin

  • ilom-operator/ilom-operator

イーサネット・スイッチ

admin/welcome1

ノート: adminユーザーのenable mode password値とsecret値を保護します。

配電ユニット(PDU)

  • admin/welcome1

    PDUを出荷時のデフォルト設定にリセットした場合、adminユーザーのパスワードはadm1nです。

計算サーバーILOM

  • root/welcome1

  • MSUser

    管理サーバー(MS)はこのアカウントを使用して、ILOMを管理し、ハングを検知した場合、これをリセットします。

    このアカウントは変更しないでください。このアカウントは使用できるのはMSのみです。

    MSが起動する度に、これは以前のMSUserアカウントを削除し、ランダムに生成されたパスワードを使用してアカウントを再び作成します。

    MSUserパスワードは、どこにも持続しません。アカウント・パスワードを定期的に変更する必要がある場合、MSを再起動すればMSUserアカウントのパスワードを変更できます。

ストレージ・サーバーILOM

  • root/welcome1

  • MSUser

    このユーザーの詳細は、前述の説明を参照してください。

InfiniBand Network Fabric ILOM

  • ilom-admin/ilom-admin

  • ilom-operator/ilom-operator

  • root/welcome1

ノート:

リカバリ・アプライアンスがデプロイされた後、システムに対するセキュリティ対策として、インストール・プロセスによりすべてのルートSSHキーが無効にされ、すべてのユーザー・パスワードが期限切れにされます。SSHキーが無効化されたり、パスワードが失効しないようにするには、デプロイメントの前にインストール・エンジニアに依頼してください。

関連項目:

リカバリ・アプライアンス・コンポーネントのパスワードを変更する方法を学習するには、「コンポーネントのパスワードの変更」を参照してください。

デフォルトのパスワードの要件

Oracle Exadata Deployment Assistant (OEDA)は、Oracle Exadata Database Machineにデフォルトのパスワード・ポリシーを実装します。

OEDAの最後のステップ、Oracle Exadata Database Machineの保護では、次のパスワード要件が実装されます。

  • 辞書の単語が無効または受け入れられません。
  • パスワードの文字クラスとは、大文字、小文字、数字、特殊文字です。
  • パスワードには、4つの文字クラスすべての文字を含める必要があります。1つ、2つまたは3つの文字クラスしか使用しないパスワードは使用できません。
  • パスワードの最小長は8文字です。
  • パスフレーズを使用できます。パスフレーズの条件は、少なくとも3つの単語が含まれていること、16文字から40文字までの長さであること、および異なる文字クラスが含まれていることです。
  • 新しいパスワードは古いパスワードに類似したものにすることはできません。新パスワードには、旧パスワードで使用されていない文字が8文字以上が必要です。
  • パスワードでは、同じ文字を最大3連続まで使用できます。
  • パスワードでは、同じ文字クラスの文字を最大4連続まで使用できます。たとえばabcde1#6Bは、連続して5つの小文字を使用しているためパスワードとして使用できません。

OEDAによって有効になるデフォルト・セキュリティ設定

Oracle Exadata Deployment Assistant (OEDA)には、リカバリ・アプライアンスのハードウェアのセキュリティを強化するためのステップが含まれています。

OEDAの最後のステップでは、次のセキュリティ・ポリシーを実装します。

  • 計算サーバーおよびストレージ・サーバー上で新しく作成されたすべてのオペレーティング・システム・ユーザーに、次のパスワード・エージング値が設定されます。
    • パスワードの最大日数は60日です。
    • パスワード変更の最小間隔は24時間です。
    • パスワード変更までの警告の日数は7日です。
    • すべての非ルート・ユーザーは、次にログインするときにパスワードを変更する必要があります。
  • オペレーティング・システムのユーザー・アカウントは、ログイン試行に1回失敗するたびに10分間、一時的にロックされます。
  • オペレーティング・システムのユーザー・アカウントは、ログイン試行に5回失敗するとロックされます。
  • rootユーザーの場合、すべての計算サーバーとストレージ・サーバーでSSH等価が削除されます。

  • 次の権限は、OEDAによって設定されます。

    • 自動診断リポジトリ(ADR)ベース・ディレクトリ$ADR_BASEには、diagディレクトリとそのサブディレクトリにSUID (Set owner User ID)があります。
    • celladminユーザー・グループには、$ADR_BASEに対する読取りおよび書込み権限があります。