リカバリ・アプライアンスのユーザー・セキュリティ

Oracle Zero Data Loss Recovery Applianceのデフォルトのユーザー・アカウント

次の表に、Oracle Zero Data Loss Recovery Applianceコンポーネントのデフォルトのユーザーおよびパスワードを示します。デフォルトのパスワードはすべて、リカバリ・アプライアンスのインストール後に変更する必要があります。

表10-1 Oracle Zero Data Loss Recovery Applianceのデフォルトのユーザーおよびパスワード

コンポーネント	ユーザー名とパスワード
計算サーバー	オペレーティング・システム・ユーザー: `root/welcome1` `oracle/We1come$` `dbmadmin/welcome` `dbmmonitor/welcome` `raext/(SSHアクセスからロック済かつブロック済)` `railm/(SSHアクセスからロック済かつブロック済)` GRUBブート・ローダーのパスワード: `sos1Exadata` データベース・ユーザー: `SYS/We1come$` `SYSTEM/We1come$` `raext/(外部認証済)` `ralim/(外部認証済)` `rasys/change^Me2` OSBテープ・バックアップ・アプリケーション・ユーザー: `admin/welcome1` `oracle/welcome1` 暗号化キーウォレット/`welcome1`
ストレージ・サーバー	`root/welcome1` `celladmin/welcome` `cellmonitor/welcome` `CELLDIAG` `CELLDIAG`はExadataストレージ・ソフトウェア・ユーザーであり、オペレーティング・システム・ユーザーではありません。 `CELLDIAG`ユーザーのパスワードは、Oracle Exadata Deployment Assistantの「セキュリティ修正の適用」ステップでランダムなパスワードにリセットされます。このステップを実行する前のデフォルト・パスワードは`Welcome12345`です。 GRUBブート・ローダーのパスワード: `sos1Exadata`
RoCE Network Fabric	`root/welcome1`
InfiniBand Network Fabricスイッチ	`root/welcome1` `nm2user/changeme` `ilom-admin/ilom-admin` `ilom-operator/ilom-operator`
イーサネット・スイッチ	`admin/welcome1` ノート: `admin`ユーザーの`enable mode` `password`値と`secret`値を保護します。
配電ユニット(PDU)	`admin/welcome1` PDUを出荷時のデフォルト設定にリセットした場合、`admin`ユーザーのパスワードは`adm1n`です。
計算サーバーILOM	`root/welcome1` `MSUser` 管理サーバー(MS)はこのアカウントを使用して、ILOMを管理し、ハングを検知した場合、これをリセットします。このアカウントは変更しないでください。このアカウントは使用できるのはMSのみです。 MSが起動する度に、これは以前の`MSUser`アカウントを削除し、ランダムに生成されたパスワードを使用してアカウントを再び作成します。 `MSUser`パスワードは、どこにも持続しません。アカウント・パスワードを定期的に変更する必要がある場合、MSを再起動すれば`MSUser`アカウントのパスワードを変更できます。
ストレージ・サーバーILOM	`root/welcome1` `MSUser` このユーザーの詳細は、前述の説明を参照してください。
InfiniBand Network Fabric ILOM	`ilom-admin/ilom-admin` `ilom-operator/ilom-operator` `root/welcome1`

ノート:

リカバリ・アプライアンスがデプロイされた後、システムに対するセキュリティ対策として、インストール・プロセスによりすべてのルートSSHキーが無効にされ、すべてのユーザー・パスワードが期限切れにされます。SSHキーが無効化されたり、パスワードが失効しないようにするには、デプロイメントの前にインストール・エンジニアに依頼してください。

デフォルトのパスワードの要件

Oracle Exadata Deployment Assistant (OEDA)は、Oracle Exadata Database Machineにデフォルトのパスワード・ポリシーを実装します。

OEDAの最後のステップ、Oracle Exadata Database Machineの保護では、次のパスワード要件が実装されます。

辞書の単語が無効または受け入れられません。
パスワードの文字クラスとは、大文字、小文字、数字、特殊文字です。
パスワードには、4つの文字クラスすべての文字を含める必要があります。1つ、2つまたは3つの文字クラスしか使用しないパスワードは使用できません。
パスワードの最小長は8文字です。
パスフレーズを使用できます。パスフレーズの条件は、少なくとも3つの単語が含まれていること、16文字から40文字までの長さであること、および異なる文字クラスが含まれていることです。
新しいパスワードは古いパスワードに類似したものにすることはできません。新パスワードには、旧パスワードで使用されていない文字が8文字以上が必要です。
パスワードでは、同じ文字を最大3連続まで使用できます。
パスワードでは、同じ文字クラスの文字を最大4連続まで使用できます。たとえばabcde1#6Bは、連続して5つの小文字を使用しているためパスワードとして使用できません。

OEDAによって有効になるデフォルト・セキュリティ設定

Oracle Exadata Deployment Assistant (OEDA)には、リカバリ・アプライアンスのハードウェアのセキュリティを強化するためのステップが含まれています。

OEDAの最後のステップでは、次のセキュリティ・ポリシーを実装します。

計算サーバーおよびストレージ・サーバー上で新しく作成されたすべてのオペレーティング・システム・ユーザーに、次のパスワード・エージング値が設定されます。
- パスワードの最大日数は60日です。
- パスワード変更の最小間隔は24時間です。
- パスワード変更までの警告の日数は7日です。
- すべての非ルート・ユーザーは、次にログインするときにパスワードを変更する必要があります。
オペレーティング・システムのユーザー・アカウントは、ログイン試行に1回失敗するたびに10分間、一時的にロックされます。
オペレーティング・システムのユーザー・アカウントは、ログイン試行に5回失敗するとロックされます。
rootユーザーの場合、すべての計算サーバーとストレージ・サーバーでSSH等価が削除されます。
次の権限は、OEDAによって設定されます。
- 自動診断リポジトリ(ADR)ベース・ディレクトリ$ADR_BASEには、diagディレクトリとそのサブディレクトリにSUID (Set owner User ID)があります。
- celladminユーザー・グループには、$ADR_BASEに対する読取りおよび書込み権限があります。