I セキュリティ技術導入ガイド
Oracle Audit Vault and Database Firewallは、セキュリティ技術導入ガイド(STIG)ベースのコンプライアンス標準に従っています。
I.1 セキュリティ技術導入ガイドについて
セキュリティ技術導入ガイドについて学習します。
セキュリティ技術導入ガイド(STIG)は、コンピュータ・システムおよびネットワークの攻撃対象となる面を減らすために米国国防総省(DOD)の求める手法であり、これにより、DODのネットワークに格納されている機密性の高い情報の封鎖を確実にします。STIGにより、DODの情報保証(IA)、およびIAが有効なデバイスやシステムのセキュアな構成の標準が提供されます。STIGは、国防情報システム局(DISA)によって作成されています。
10年以上の間、オラクル社はDODと緊密に協働しながら、次のような様々な中核的なOracle製品およびテクノロジに対する、増加するSTIGのリストを開発、発行およびメンテナンスしてきました。
-
Oracle Database
-
Oracle Solaris
-
Oracle Linux
-
Oracle WebLogic
STIGが更新されると、オラクル社は、製品のセキュリティを改善する次のような新しい方法を確認するため、最新の推奨事項を分析します。
-
STIGの将来のアップデートに追加される新しい、革新的なセキュリティ機能の実装
-
STIGの推奨事項のアセスメントや実装を自動化する機能の提供
Oracle Audit Vault and Database FirewallでSTIGガイドラインを有効にした後は、アップグレードを実行した場合に設定が保持されます。
STIGの推奨事項に基づく、「即時利用可能」なセキュリティ構成設定の改善
STIGの推奨事項
Oracle Audit Vault Serverは、高度にチューニングされテストされたソフトウェア・アプライアンスです。このサーバーにインストールされた追加のソフトウェアによって、動作が不安定になる場合があります。そのため、Oracle Audit Vault Serverにはソフトウェアをインストールしないことをお薦めします。ウイルスをスキャンする必要がある場合は、できるかぎり外部のスキャナを使用してください。
次に、外部スキャナを使用できず、Audit Vault Serverにアンチウイルスがインストールされている場合の例を示します。
-
問題がある場合は、トラブルシューティングを有効にするために、アンチウイルス・ソフトウェアをアンインストールしてください。
-
問題がなく、Oracle Audit Vault and Database Firewallに適用する新しいバンドル・パッチがある場合、Oracleサポートでは、ウイルス対策ソフトウェアをアンインストールし、パッチを適用した後、Oracle Audit Vault Serverでウイルス対策ソフトウェアを再インストールするよう求める場合があります。これによって、パッチを適用した後のいくつかの問題を回避できます。
-
問題はないが、アンチウイルス・スキャナによってウイルスまたはマルウェアが検出された場合は、アンチウイルス・スキャナのベンダーに連絡して、検出結果が正しいかどうかを確認してください。
-
アンチウイルス・ソフトウェアを前もって削除しておらず、バンドル・パッチ・アップグレードが失敗した場合は、Oracle Audit Vault and Database Firewallをフレッシュ・インストールし、続いてバンドル・パッチ・アップグレードを実行してください。これを行ってから、アンチウイルス・スキャナをインストールしてください。
-
オラクル社が指示した手順に従っても、アンチウイルス・スキャナを完全にアンインストールできず、バンドル・パッチ・アップグレードが失敗する場合は、アンチウイルスのベンダーにソフトウェアを完全に削除する方法を問い合せてください。これが完了してから、Oracle Audit Vault and Database Firewallバンドル・パッチをインストールしてください。インストールが失敗した場合、クリーン・インストールが保証されます。
I.2 Oracle Audit Vault and Database FirewallでのSTIGガイドラインの有効化および無効化
厳密モードを有効にすることで、Oracle Audit Vault and Database FirewallでSTIGガイドラインを有効にできます。
I.2.1 Oracle Audit Vault and Database FirewallでのSTIGガイドラインの有効化
Oracle Audit Vault and Database FirewallでSTIGガイドラインを有効にする方法を学習します。
厳密モードを有効にするには:
I.3 Oracle Audit Vault and Database FirewallでのSTIGガイドラインの現在の実装
Oracle Audit Vault and Database Firewallは、セキュリティ技術導入ガイド(STIG)の推奨事項に従って構成され、セキュリティが強化されています。
オラクル社は、米国国防総省のセキュリティ技術導入ガイド(STIG)の推奨事項をサポートする、セキュリティを強化した構成のOracle Audit Vault and Database Firewallを開発しています。
表I-1に、STIGの3つの脆弱性カテゴリを示します。
表I-1 脆弱性のカテゴリ
カテゴリ | 説明 |
---|---|
CAT I |
その搾取により、直接的および即時的に機密性、可用性または整合性の損失がもたらされる、任意の脆弱性。 |
CAT II |
その搾取により、潜在的に機密性、可用性または整合性の損失がもたらされる、任意の脆弱性。 |
CAT III |
その存在により、機密性、可用性または整合性の損失に対する保護対策が損われる、任意の脆弱性。 |
I.4 データベースのSTIGガイドラインの現在の実装
Oracle Audit Vault and Database FirewallでのデータベースのSTIGガイドラインの現在の実装について学習します。
表I-2に、Oracle Audit Vault and Database FirewallでのデータベースのSTIGガイドラインの現在の実装を示します。
表I-2 データベースのSTIGガイドラインの現在の実装
STIG ID | タイトル | 重大度 | スクリプトでの対応 | ドキュメントでの対応 | 必要なアクション | 実装済 | ノート |
---|---|---|---|---|---|---|---|
DG0004-ORACLE11 |
DBMSアプリケーション・オブジェクトの所有者アカウント |
CAT II |
なし |
なし |
なし |
なし |
アプリケーション・オブジェクトの所有者アカウント |
DG0008-ORACLE11 |
DBMSアプリケーション・オブジェクトの所有権 |
なし |
なし |
〇 |
なし |
なし |
詳細は、「DG0008-ORACLE11 STIGガイドライン」を参照してください。 |
DG0014-ORACLE11 |
DBMSのデモおよびサンプル・データベース |
CAT II |
なし |
なし |
なし |
なし |
すべてのデフォルトのデモおよびサンプル・データベースのオブジェクトが削除されています。 |
DG0071-ORACLE11 |
DBMSのパスワード変更の多様性 |
CAT II |
なし |
なし |
なし |
なし |
現在はサポートされていません |
DG0073-ORACLE11 |
DBMSの失敗したログイン・アカウントのロック |
CAT II |
〇 |
なし |
なし |
なし |
|
DG0075-ORACLE11 |
DBMSの外部データベースへのリンク |
CAT II |
なし |
〇 |
なし |
なし |
詳細は、「DG0075-ORACLE11およびDO0250-ORACLE11 STIGガイドライン」を参照してください。 |
DG0077-ORACLE11 |
共有システムでの本番データの保護 |
CAT II |
なし |
なし |
なし |
なし |
なし |
DG0116-ORACLE11 |
DBMSの特権ロールの割当て |
CAT II |
〇 |
〇 |
なし |
なし |
|
DG0117-ORACLE11 |
DBMSの管理者特権の割当て |
CAT II |
なし |
なし |
なし |
なし |
現在はサポートされていません |
DG0121-ORACLE11 |
DBMSのアプリケーション・ユーザー特権の割当て |
CAT II |
なし |
なし |
なし |
なし |
現在はサポートされていません |
DG0123-ORACLE11 |
DBMSの管理データ・アクセス |
CAT II |
なし |
なし |
なし |
なし |
現在はサポートされていません |
DG0125-ORACLE11 |
DBMSのアカウント・パスワードの有効期限 |
CAT II |
〇 |
なし |
なし |
なし |
|
DG0126-ORACLE11 |
DBMSのアカウント・パスワードの再利用 |
CAT II |
なし |
なし |
なし |
なし |
Oracle Audit Vault and Database Firewallでは、パスワードの再利用は許可されていません。 |
DG0128-ORACLE11 |
DBMSのデフォルトのパスワード |
CAT I |
〇 |
なし |
なし |
なし |
アカウント |
DG0133-ORACLE11 |
DBMSのアカウント・ロック時間 |
CAT II |
〇 |
なし |
なし |
なし |
なし |
DG0141-ORACLE11 |
DBMSのアクセス制御のバイパス |
CAT II |
〇 |
なし |
なし |
なし |
ユーザーは、次のイベントの監査にスクリプトを使用できます。
|
DG0142-ORACLE11 |
DBMSの特権アクションの監査 |
CAT II |
なし |
なし |
なし |
なし |
なし |
DG0192-ORACLE11 |
DBMSのリモート・アクセスの完全修飾名 |
CAT II |
〇 |
なし |
なし |
なし |
現在はサポートされていません |
DO0231-ORACLE11 |
Oracleアプリケーション・オブジェクトの所有者の表領域 |
CAT II |
なし |
なし |
なし |
なし |
現在はサポートされていません |
DO0250-ORACLE11 |
Oracleデータベースのリンクの使用方法 |
CAT II |
なし |
〇 |
なし |
なし |
詳細は、「DG0075-ORACLE11およびDO0250-ORACLE11 STIGガイドライン」を参照してください。 |
DO0270-ORACLE11 |
OracleのREDOログ・ファイルの可用性 |
CAT II |
なし |
なし |
なし |
なし |
現在はサポートされていません |
DO0350-ORACLE11 |
Oracleのシステム特権の割当て |
CAT II |
なし |
なし |
なし |
なし |
現在はサポートされていません |
DO3475-ORACLE11 |
制限されたパッケージへのOracle |
CAT II |
なし |
なし |
なし |
なし |
現在はサポートされていません |
DO3536-ORACLE11 |
Oracle |
CAT II |
〇 |
なし |
なし |
なし |
なし |
DO3540-ORACLE11 |
Oracle |
CAT II |
なし |
なし |
なし |
なし |
パラメータ |
DO3609-ORACLE11 |
WITH ADMIN OPTIONで付与されたシステム権限 |
CAT II |
なし |
なし |
なし |
なし |
現在はサポートされていません |
DO3610-ORACLE11 |
Oracle最小オブジェクトの監査 |
CAT II |
なし |
なし |
なし |
なし |
現在はサポートされていません |
DO3689-ORACLE11 |
Oracleオブジェクトの権限のPUBLICへの割当て |
CAT II |
なし |
なし |
なし |
なし |
現在はサポートされていません |
DO3696-ORACLE11 |
Oracle RESOURCE_LIMITパラメータ |
CAT II |
なし |
なし |
なし |
なし |
現在はサポートされていません |
O121-BP-021900 |
Oracle |
CAT I |
なし |
なし |
なし |
〇 |
なし |
O121-BP-022000 |
Oracle |
CAT I |
なし |
なし |
なし |
〇 |
なし |
O121-BP-022700 |
|
CAT I |
なし |
なし |
なし |
〇 |
なし |
O121-C1-004500 |
DBA OSアカウントには、DBMSの管理に必要なホスト・システム権限のみが付与されていなければなりません。 |
CAT I |
なし |
なし |
なし |
〇 |
Audit Vault and Database Firewallでは、OracleユーザーのみがSYSDBAとしてデータベースに接続できます。Oracleユーザーには必要な権限のみが付与されます。 |
O121-C1-011100 |
Oracleソフトウェアは、新しく検出された脆弱性に関して評価され、パッチ適用されていなければなりません。 |
CAT I |
なし |
なし |
なし |
なし |
Audit Vault and Database Firewallリリースの四半期ごとのバンドル・パッチを適用して、Audit Vault ServerおよびDatabase Firewall上のOS、DBおよびJavaにパッチを適用してください。 |
O121-C1-015000 |
DBMSのデフォルト・アカウントには、カスタム・パスワードが割り当てられていなければなりません。 |
CAT I |
〇 |
なし |
なし |
〇 |
DVSYSには、製品のカスタム・パスワードが割り当てられます。他のユーザーには、STIGスクリプトによってパスワードが割り当てられます。 |
O121-C1-015400 |
DBMSは、PKIベースの認証を使用するときに、対応する秘密キーへの認可されたアクセスを強制しなければなりません。 |
CAT I |
なし |
なし |
なし |
〇 |
なし |
O121-C1-019700 |
DBMSは、送信データが別の物理的な手段で保護されていないかぎり、暗号メカニズムを採用して送信中の情報の不正な開示を避けなければなりません。 |
CAT I |
なし |
なし |
なし |
〇 |
Audit Vault Serverのsqlnet.oraに次の暗号化アルゴリズムのリストが設定されています: SQLNET.ENCRYPTION_TYPES_SERVER = (AES256,AES192,AES128)。エージェントとAudit Vault Server間の通信は暗号化されています。 |
O121-N1-015601 |
アプリケーションは、認証プロセス中の認証情報のフィードバックを隠蔽して、起こり得る搾取や未認可の個人による使用から情報を保護しなければなりません。 |
CAT I |
なし |
なし |
なし |
〇 |
Audit Vault and Database Firewallのすべてのパスワードは、Oracleウォレットに格納されているか、データベースで暗号化されています。すべてのパスワードは暗号化されたチャネルを介して送信されます。 |
O121-N1-015602 |
プレーン・テキストのパスワードを受け入れるOracle SQL*Plusなどのコマンドライン・ツールを使用する場合、ユーザーはパスワードが公開されない代替のログイン方法を使用しなければなりません。 |
CAT I |
なし |
なし |
なし |
完全には準拠できません。 |
Audit Vault and Database FirewallにはAVCLIコマンドライン・インタフェースがあります。パスワードをクリア・テキストで問題なく入力できます。しかし、AVCLIにはパスワードがクリア・テキストで公開されない代替のログイン手段も用意されています。 |
O121-OS-004600 |
DBMSソフトウェアのインストール・アカウントの使用は、DBMSソフトウェアのインストールのみに制限されていなければなりません。 |
CAT I |
なし |
なし |
なし |
〇 |
なし |
O121-BP-021300 |
Oracleのインスタンス名にOracleのバージョン番号を含めてはなりません。 |
CAT II |
なし |
なし |
なし |
〇 |
なし |
O121-BP-021400 |
固定ユーザー・リンクとパブリック・データベース・リンクは、使用を認可されていなければなりません。 |
CAT II |
なし |
「ノート」を参照してください。 |
なし |
なし |
|
O121-BP-022100 |
SQL92_SECURITYパラメータは、TRUEに設定されていなければなりません。 |
CAT II |
なし |
なし |
なし |
〇 |
なし |
O121-BP-022200 |
Oracle |
CAT II |
なし |
なし |
なし |
〇 |
なし |
O121-BP-022300 |
|
CAT II |
なし |
なし |
なし |
〇 |
なし |
O121-BP-022400 |
|
CAT II |
なし |
なし |
なし |
〇 |
なし |
O121-BP-022500 |
|
CAT II |
なし |
なし |
なし |
〇 |
なし |
O121-BP-022600 |
|
CAT II |
なし |
なし |
なし |
〇 |
なし |
O121-BP-022800 |
アプリケーション・ロール権限をOracle |
CAT II |
なし |
なし |
なし |
〇 |
なし |
O121-BP-023000 |
中間層のWebおよびアプリケーション・システムによるOracle DBMSへの接続は、データベース、Web、アプリケーション、エンクレーブおよびネットワークの要件に従って保護、暗号化および認証されていなければなりません。 |
CAT II |
なし |
なし |
なし |
〇 |
なし |
O121-BP-023200 |
未認可のデータベース・リンクを定義してアクティブ状態のままにしてはなりません。 |
CAT II |
なし |
「ノート」を参照してください。 |
なし |
なし |
|
O121-BP-023600 |
認可されたシステム・アカウントのみが |
CAT II |
なし |
なし |
なし |
〇 |
なし |
O121-BP-023900 |
Oracle |
CAT II |
なし |
なし |
なし |
〇 |
なし |
O121-BP-025200 |
DBMSがリモートのデータベースまたはアプリケーションにアクセスするために保存して使用する資格証明は、認可され、認可されたユーザーのみに制限されていなければなりません。 |
CAT II |
なし |
「ノート」を参照してください。 |
なし |
なし |
|
O121-BP-025700 |
DBMSのデータ・ファイルは、個々のアプリケーションのサポート専用でなければなりません。 |
CAT II |
なし |
なし |
なし |
〇 |
なし |
O121-BP-025800 |
構成オプションの変更は、監査されていなければなりません。 |
CAT II |
なし |
なし |
なし |
〇 |
なし |
O121-BP-026600 |
ネットワーク・クライアントの接続は、サポートされているバージョンのみに制限されていなければなりません。 |
CAT II |
なし |
なし |
なし |
〇 |
Audit Vault Serverのsqlnet.oraに次のパラメータが設定されています: |
O121-C2-002100 |
アカウントが非アクティブだった期間が35日を超えた場合は、DBMSが自動的にアカウントを無効化しなければなりません。 |
CAT II |
〇 |
なし |
なし |
なし |
なし |
O121-C2-003000 |
DBMSは、任意アクセス制御(DAC)ポリシーを強制して、ユーザーが指定した個人、個人のグループまたはその両方によって共有を指定および制御したり、アクセス権の伝播を制限したり、単一ユーザーの粒度へのアクセスを包含または除外したりできるようにしなければなりません。 |
CAT II |
なし |
なし |
なし |
〇 |
なし |
O121-C2-003400 |
DBMSのプロセスまたはサービスをカスタムの専用OSアカウントで実行しなければなりません。 |
CAT II |
なし |
なし |
なし |
〇 |
なし |
O121-C2-003600 |
1つのデータベース接続構成ファイルですべてのデータベース・クライアントを構成してはなりません。 |
CAT II |
なし |
なし |
なし |
〇 |
なし |
O121-C2-004900 |
DBMSは、アカウントのロックアウトが管理者によってリセットされるまで続くことを確認しなければなりません。 |
CAT II |
Audit Vault and Database Firewall 12.2.0.1.0のSTIGスクリプトで対応されています。 |
なし |
なし |
なし |
なし |
O121-C2-006700 |
任意アクセス制御(DAC)を利用するDBMSは、単一ユーザーの粒度へのアクセスを包含または排除するポリシーを強制しなければなりません。 |
CAT II |
なし |
なし |
なし |
〇 |
なし |
O121-C2-006900 |
DBMSは、指定された組織担当者がデータベースによって監査される可能性があるイベントを選択できるようにしなければなりません。 |
CAT II |
なし |
なし |
なし |
〇 |
なし |
O121-C2-011500 |
デフォルトのデモンストレーション、サンプル・データベース、データベース・オブジェクトおよびアプリケーションは、削除されていなければなりません。 |
CAT II |
なし |
なし |
なし |
〇 |
なし |
O121-C2-011600 |
未使用のデータベース・コンポーネント、DBMSソフトウェアおよびデータベース・オブジェクトは、削除されていなければなりません。 |
CAT II |
なし |
なし |
なし |
〇 |
なし |
O121-C2-011700 |
DBMSに統合され、アンインストールできない未使用のデータベース・コンポーネントは、無効にされていなければなりません。 |
CAT II |
なし |
なし |
なし |
〇 |
なし |
O121-C2-013800 |
DBMSは、組織によって設定された定義済の非アクティブ期間が経過したユーザー・アカウントを無効化するという組織要件をサポートしなければなりません。 |
CAT II |
〇 |
なし |
なし |
なし |
なし |
O121-C2-014600 |
DBMSは、パスワードの保存時に暗号化を強制するという組織要件をサポートしなければなりません。 |
CAT II |
なし |
なし |
なし |
〇 |
なし |
O121-C2-015100 |
DBMSのパスワードを、コンパイル、エンコードまたは暗号化されたバッチ・ジョブ、あるいはコンパイル、エンコードまたは暗号化されたアプリケーション・ソース・コードに保存してはなりません。 |
CAT II |
なし |
なし |
なし |
〇 |
なし。 |
O121-C2-015200 |
DBMSは、パスワードの最大存続期間の制限を強制しなければなりません。 |
CAT II |
〇 |
なし |
なし |
なし |
なし |
ノート:
DBリンクの使用については、Audit Vault and Database Firewall 12.2.0.1.0のSTIGドキュメントにすでに記載されています。
I.5 STIGガイドラインに関するその他の留意事項
STIGガイドラインに関する追加のアドバイスについて学習します。
関連トピック
I.5.1 DG0008-ORACLE11 STIGガイドライン
STIGガイドラインDG0008-ORACLE11について学習します。
Audit Vault Serverでのオブジェクト所有者のアカウントは次のとおりです。
-
APEX
-
APEX_180200 (Oracle AVDF 20.1から20.3)
-
APEX_200100 (Oracle AVDF 20.4から20.5)
-
APEX_210100 (Oracle AVDF 20.6以降)
-
-
MANAGEMENT
-
AVRULEOWNER
-
SECURELOG
-
AVREPORTUSER
-
AVSYS
Database Firewallでのオブジェクト所有者のアカウントは次のとおりです。
-
MANAGEMENT
-
SECURELOG
I.5.2 DG0075-ORACLE11およびDO0250-ORACLE11 STIGガイドライン
STIGガイドラインDG0075-ORACLE11およびDO0250-ORACLE11について学習します。
Oracle Audit Vault Serverで使用されるデータベース・リンクは次のとおりです。
AVRPTUSR_LINK.DBFWDB: (DESCRIPTION=(ADDRESS=(PROTOCOL=TCP)(HOST=127.0.0.1)(PORT=1521)) (CONNECT_DATA=(SERVICE_NAME=dbfwdb)))
データベース・リンクは、Oracle Audit Vault Serverのインストール中に作成され、REDOコレクタで使用されます。
I.5.3 DG0116-ORACLE11 STIGガイドライン
STIGガイドラインDG0116-ORACLE11について学習します。
表I-3に、Audit Vault Serverでのアカウントおよびロール割当てを示します。
表I-3 Audit Vault Serverのアカウントおよびロールの割当て
アカウント | ロールの割当て |
---|---|
|
|
|
|
|
|
|
|
|
|
|
|
表I-4に、Database Firewallでのアカウントおよびロール割当てを示します。
表I-4 Database Firewallのアカウントおよびロールの割当て
アカウント | ロールの割当て |
---|---|
|
|
|
|
I.6 オペレーティング・システムのSTIGガイドラインの現在の実装
このトピックには、Oracle Audit Vault and Database Firewall (Oracle AVDF)でのオペレーティング・システムのSTIGガイドラインの現在の実装に関する情報が含まれています。
表I-5 オペレーティング・システムのSTIGガイドライン・セットのリファレンス
リファレンス | 詳細 |
---|---|
ドキュメント | Oracle Linux 8セキュリティ技術導入ガイド |
バージョン | 1 |
リリース | 5 |
リリース日 | 2023年1月13日 |
ドキュメントのリンク | Oracle Linux セキュリティ技術導入ガイド |
表I-6 ユーザー・アクション - 定義およびガイドライン
ユーザー・アクション | ガイドラインの説明 |
---|---|
なし | このガイドラインはデフォルトで実装されているため、ユーザー・アクションは不要です。 |
厳密モードの有効化 | このガイドラインは、アプライアンスを厳密モードに切り替えることで実装できます。 |
サイト・ポリシー | このガイドラインはローカル・ポリシーに応じて実装できますが、それには管理者のアクションが必要です。実装に関する追加情報は、ノート列を参照してください。 |
管理タスク | このガイドラインの実装は、インストール後またはアップグレード後に管理者が実施する構成アクションです。定期的に使用および定義される管理手順になることもあります。 |
表I-7 Oracle AVDF向けのオペレーティング・システムSTIGガイドラインの現在の実装
STIG ID | 重大度 | ユーザー・アクション | タイトル | ノート |
---|---|---|---|---|
OL08-00-010000 | CAT I | - | OL 8が、ベンダーでサポートされているリリースである必要があります。 | デフォルトで実装済 |
OL08-00-010140 | CAT I | - | United Extensible Firmware Interface (UEFI)でブートされたOL 8オペレーティング・システムでは、シングルユーザー・モードおよびメンテナンス・モードのブート時に認証を要求する必要があります。 | デフォルトで実装済 |
OL08-00-010150 | CAT I | - | BIOSでブートされたOL 8オペレーティング・システムでは、シングルユーザー・モードおよびメンテナンス・モードのブート時に認証を要求する必要があります。 | デフォルトで実装済 |
OL08-00-010370 | CAT I | - | YUMが、組織で認識および承認されている証明書を使用してデジタル署名されていないパッチ、サービス・パック、デバイス・ドライバまたはOL 8システム・コンポーネントがインストールされないように構成されている必要があります。 | デフォルトで実装済 |
OL08-00-010460 | CAT I | - | OL 8オペレーティング・システムに"shosts.equiv"ファイルが存在しないようにしてください。 | デフォルトで実装済 |
OL08-00-010470 | CAT I | - | OL 8オペレーティング・システムに".shosts"ファイルが存在しないようにしてください。 | デフォルトで実装済 |
OL08-00-010820 | CAT I | - | OL 8グラフィカル・ユーザー・インタフェースを介した無人または自動ログオンは許可しないでください。 | デフォルトで実装済 |
OL08-00-010830 | CAT I | - | OL 8では、ユーザーがSSH環境変数をオーバーライドできないようにしてください。 | デフォルトで実装済 |
OL08-00-020330 | CAT I | - | OL 8では、アカウントを空またはnullのパスワードを使用して構成できないようにしてください。 | デフォルトで実装済 |
OL08-00-020331 | CAT I | - | OL 8では、system-authファイル内で空またはnullのパスワードを使用できないようにしてください。 | デフォルトで実装済 |
OL08-00-020332 | CAT I | - | OL 8では、password-authファイル内で空またはnullのパスワードを使用できないようにしてください。 | デフォルトで実装済 |
OL08-00-040000 | CAT I | - | OL 8にtelnet-serverパッケージをインストールしないでください。 | デフォルトで実装済 |
OL08-00-040010 | CAT I | - | OL 8にrsh-serverパッケージをインストールしないでください。 | デフォルトで実装済 |
OL08-00-040171 | CAT I | - | グラフィカル・ユーザー・インタフェースがインストールされている場合は、OL 8でのx86のキー・シーケンスである[Ctrl]+[Alt]+[Delete]を無効にする必要があります。 | デフォルトで実装済 |
OL08-00-040190 | CAT I | - | OL 8の操作のサポートに必要な場合を除き、Trivial File Transfer Protocol (TFTP)サーバー・パッケージをインストールしないでください。 | デフォルトで実装済 |
OL08-00-040200 | CAT I | - | rootアカウントは、OL 8システムに無制限にアクセスできる唯一のアカウントである必要があります。 | デフォルトで実装済 |
OL08-00-040360 | CAT I | - | OL 8で不可欠な場合を除き、File Transfer Protocol (FTP)サーバー・パッケージをインストールしないでください。 | デフォルトで実装済 |
OL08-00-010049 | CAT II | - | OL 8では、グラフィカル・ユーザー・ログオンによってシステムへのローカルまたはリモート・アクセスを付与する前に、バナーを表示する必要があります。 | デフォルトで実装済 |
OL08-00-010110 | CAT II | - | OL 8では、FIPS 140-2で承認されている暗号化ハッシュ・アルゴリズムを使用して、格納されているすべてのパスワードを暗号化する必要があります。 | デフォルトで実装済 |
OL08-00-010120 | CAT II | - | OL 8では、格納されているすべてのパスワードに対して、FIPS 140-2で承認されている暗号化ハッシュ・アルゴリズムを使用する必要があります。 | デフォルトで実装済 |
OL08-00-010130 | CAT II | - | OL 8のshadowパスワード・スイートが、十分な数のハッシュ・ラウンドを使用するように構成されている必要があります。 | デフォルトで実装済 |
OL08-00-010151 | CAT II | - | OL 8オペレーティング・システムでは、レスキュー・モードの起動時に認証が必要です。 | デフォルトで実装済 |
OL08-00-010152 | CAT II | - | OL 8オペレーティング・システムでは、緊急モードの起動時に認証が必要です。 | デフォルトで実装済 |
OL08-00-010159 | CAT II | - | OL 8の"pam_unix.so"モジュールが、system-authファイル内で、システム認証にFIPS 140-2で承認された暗号化ハッシュ・アルゴリズムを使用するように構成されている必要があります。 | デフォルトで実装済 |
OL08-00-010160 | CAT II | - | OL 8の"pam_unix.so"モジュールが、password-authファイル内で、システム認証にFIPS 140-2で承認された暗号化ハッシュ・アルゴリズムを使用するように構成されている必要があります。 | デフォルトで実装済 |
OL08-00-010161 | CAT II | - | OL 8では、システム・デーモンで認証にKerberosが使用されないようにする必要があります。 | デフォルトで実装済 |
OL08-00-010162 | CAT II | - | krb5-workstationパッケージをOL 8にインストールしないでください。 | デフォルトで実装済 |
OL08-00-010163 | CAT II | - | krb5-serverパッケージをOL 8にインストールしないでください。 | デフォルトで実装済 |
OL08-00-010200 | CAT II | - | SSHトラフィックに関連するすべてのネットワーク接続は一定期間非アクティブだったら終了するように、OL 8が構成されている必要があります。 | デフォルトで実装済 |
OL08-00-010210 | CAT II | - | OL 8の"/var/log/messages"ファイルは、モード0640以下が許可されている必要があります。 | デフォルトで実装済 |
OL08-00-010220 | CAT II | - | OL 8の"/var/log/messages"ファイルは、rootが所有している必要があります。 | デフォルトで実装済 |
OL08-00-010230 | CAT II | - | OL 8の"/var/log/messages"ファイルは、rootがグループで所有している必要があります。 | デフォルトで実装済 |
OL08-00-010240 | CAT II | - | OL 8の"/var/log"ディレクトリは、モード0755以下が許可されている必要があります。 | デフォルトで実装済 |
OL08-00-010250 | CAT II | - | OL 8の"/var/log"ディレクトリは、rootが所有している必要があります。 | デフォルトで実装済 |
OL08-00-010260 | CAT II | - | OL 8の"/var/log"ディレクトリは、rootがグループで所有している必要があります。 | デフォルトで実装済 |
OL08-00-010294 | CAT II | - | OL 8オペレーティング・システムでは、DoDによって承認されたTLS暗号化がOpenSSLパッケージで実装されている必要があります。 | デフォルトで実装済 |
OL08-00-010372 | CAT II | - | OL 8では、後で実行するための新しいカーネルのロードを防ぐ必要があります。 | デフォルトで実装済 |
OL08-00-010373 | CAT II | - | OL 8では、カーネル・パラメータでシンボリック・リンクに任意アクセス制御(DAC)を適用できるようにする必要があります。 | デフォルトで実装済 |
OL08-00-010374 | CAT II | - | OL 8では、カーネル・パラメータでハード・リンクに任意アクセス制御(DAC)を適用できるようにする必要があります。 | デフォルトで実装済 |
OL08-00-010381 | CAT II | - | OL 8では、権限エスカレーションおよびロール変更の場合はユーザーに再認証を求める必要があります。 | デフォルトで実装済 |
OL08-00-010382 | CAT II | - | OL 8では、権限昇格を、認可された人物のみに限定する必要があります。 | デフォルトで実装済 |
OL08-00-010480 | CAT II | - | OL 8のSSH公開ホスト・キー・ファイルは、モード"0644"以下が許可されている必要があります。 | デフォルトで実装済 |
OL08-00-010500 | CAT II | - | OL 8のSSHデーモンでは、ホーム・ディレクトリの構成ファイルの厳密モード・チェックが実行される必要があります。 | デフォルトで実装済 |
OL08-00-010520 | CAT II | - | OL 8のSSHデーモンでは、既知のホストの認証を使用した認証を許可しないでください。 | デフォルトで実装済 |
OL08-00-010521 | CAT II | - | OL 8のSSHデーモンでは、ドキュメントに記載されている検証済のミッション要件を満たすためでなければKerberos認証を許可しないでください。 | デフォルトで実装済 |
OL08-00-010522 | CAT II | - | OL 8のSSHデーモンでは、ドキュメントに記載されている検証済のミッション要件を満たすためでなければGSSAPI認証を許可しないでください。 | デフォルトで実装済 |
OL08-00-010543 | CAT II | - | OL 8では、"/tmp"用に別個のファイル・システムが使用されている必要があります。 | デフォルトで実装済 |
OL08-00-010550 | CAT II | - | OL 8では、SSHによるリモート・アクセスを使用したrootアカウントへの直接ログオンを許可しないでください。 | デフォルトで実装済 |
OL08-00-010561 | CAT II | - | OL 8では、rsyslogサービスが有効化されアクティブになっている必要があります。 | デフォルトで実装済 |
OL08-00-010571 | CAT II | - | OL 8では、setuidビットとsetgidビットが設定されたファイルが/bootディレクトリで実行されないようにする必要があります。 | デフォルトで実装済 |
OL08-00-010630 | CAT II | - | OL 8ファイル・システムでは、ネットワーク・ファイル・システム(NFS)を介してインポートされているバイナリ・ファイルを実行しないでください。 | デフォルトで実装済 |
OL08-00-010640 | CAT II | - | OL 8ファイル・システムでは、NFSを介してインポートされる文字特殊デバイスまたはブロック特殊デバイスを解釈しないでください。 | デフォルトで実装済 |
OL08-00-010650 | CAT II | - | OL 8では、ネットワーク・ファイル・システム(NFS)を介してインポートされている、setuidビットとsetgidビットが設定されたファイルを、ファイル・システム上で実行できないようにする必要があります。 | デフォルトで実装済 |
OL08-00-010760 | CAT II | - | OL 8のローカルのすべての対話型ユーザー・アカウントには、作成時にホーム・ディレクトリを割り当てる必要があります。 | デフォルトで実装済 |
OL08-00-020010 | CAT II | - | バージョン8.2より前のOL 8システムでは、ログオンに3回失敗したらアカウントが自動的にロックされる必要があります。 | デフォルトで実装済 |
OL08-00-020011 | CAT II | - | バージョン8.2以上のOL 8システムでは、ログオンに3回失敗したらアカウントが自動的にロックされる必要があります。 | デフォルトで実装済 |
OL08-00-020012 | CAT II | - | バージョン8.2より前のOL 8システムでは、15分間にログオンに3回失敗したらアカウントが自動的にロックされる必要があります。 | デフォルトで実装済 |
OL08-00-020013 | CAT II | - | バージョン8.2以上のOL 8システムでは、15分間にログオンに3回失敗したらアカウントが自動的にロックされる必要があります。 | デフォルトで実装済 |
OL08-00-020014 | CAT II | - | バージョン8.2より前のOL 8システムでは、15分間にログオンに3回失敗したら、アカウントが自動的にロックされ、管理者によってロックが解除されるまでロック状態になる必要があります。 | デフォルトで実装済 |
OL08-00-020018 | CAT II | - | バージョン8.2より前のOL 8システムでは、ログオンに3回失敗したときにシステム・メッセージが表示されないようにする必要があります。 | デフォルトで実装済 |
OL08-00-020019 | CAT II | - | バージョン8.2以上のOL 8システムでは、ログオンに3回失敗したときにシステム・メッセージが表示されないようにする必要があります。 | デフォルトで実装済 |
OL08-00-020020 | CAT II | - | バージョン8.2より前のOL 8システムでは、ログオンに失敗したときはユーザー名情報が記録される必要があります。 | デフォルトで実装済 |
OL08-00-020021 | CAT II | - | バージョン8.2以上のOL 8システムでは、ログオンに失敗したときはユーザー名情報が記録される必要があります。 | デフォルトで実装済 |
OL08-00-020022 | CAT II | - | バージョン8.2より前のOL 8システムでは、15分間にログオンに3回失敗するとアカウントが自動的にロックされ管理者によってロックが解除されるまでロック状態にする場合は、rootも対象にする必要があります。 | デフォルトで実装済 |
OL08-00-020039 | CAT II | - | OL 8にtmuxパッケージがインストールされている必要があります。 | デフォルトで実装済 |
OL08-00-020100 | CAT II | - | OL 8では、必ずpassword-authファイル内でパスワード複雑度モジュールを有効にする必要があります。 | デフォルトで実装済 |
OL08-00-020140 | CAT II | - | OL 8では、パスワード変更時の、同じ文字クラスの繰返し文字の最大数を4に制限する必要があります。 | デフォルトで実装済 |
OL08-00-020150 | CAT II | - | OL 8では、パスワード変更時の、繰返し文字の最大数を3に制限する必要があります。 | デフォルトで実装済 |
OL08-00-020160 | CAT II | - | OL 8では、パスワード変更時に、少なくとも4つの文字クラスを変更するよう求める必要があります。 | デフォルトで実装済 |
OL08-00-020180 | CAT II | - | OL 8の新しいユーザーのパスワード、またはパスワード変更については、"/etc/shadow"内で最小パスワード存続期間の制限が24時間/1日になっている必要があります。 | デフォルトで実装済 |
OL08-00-020190 | CAT II | - | OL 8の新規ユーザーのパスワード、またはパスワード変更については、"/etc/login.defs"内で最小パスワード存続期間の制限が24時間/1日になっている必要があります。 | デフォルトで実装済 |
OL08-00-020200 | CAT II | 厳密モードの有効化 | OL 8のユーザー・アカウント・パスワードについては、最大パスワード存続期間の制限が60日間になっている必要があります。 | 厳密モードで実装される |
OL08-00-020210 | CAT II | 厳密モードの有効化 | OL 8のユーザー・アカウント・パスワードは、既存のパスワードの最大存続期間が60日に制限されるように構成されている必要があります。 | 厳密モードで実装される |
OL08-00-020230 | CAT II | 厳密モードの有効化 | OL 8のパスワードは15文字以上である必要があります。 | 厳密モードで実装される |
OL08-00-020231 | CAT II | 厳密モードの有効化 | OL 8の新規ユーザーのパスワードは15文字以上である必要があります。 | 厳密モードで実装される |
OL08-00-020263 | CAT II | - | OL 8のlastlogコマンドは、rootが所有している必要があります。 | デフォルトで実装済 |
OL08-00-020264 | CAT II | - | OL 8のlastlogコマンドは、rootがグループで所有している必要があります。 | デフォルトで実装済 |
OL08-00-020300 | CAT II | - | OL 8では、パスワードに辞書の単語を使用できないようにする必要があります。 | デフォルトで実装済 |
OL08-00-020310 | CAT II | - | OL 8では、ログオンに失敗してからログオン・プロンプトが表示されるまでに必ず4秒以上時間を空ける必要があります。 | デフォルトで実装済 |
OL08-00-020350 | CAT II | - | OL 8では、SSHログオン時に、最後にアカウントがログオンに成功した日時が表示される必要があります。 | デフォルトで実装済 |
OL08-00-020351 | CAT II | - | OL 8のデフォルト権限は、すべての認証済ユーザーに各自のファイルのみの読取りおよび変更を可能にするように定義する必要があります。 | デフォルトで実装済 |
OL08-00-030000 | CAT II | - | OL 8の監査システムは、特権機能の実行を監査しすべてのソフトウェアがそのソフトウェアの実行ユーザーよりも高い特権レベルで実行されないように構成されている必要があります。 | デフォルトで実装済 |
OL08-00-030020 | CAT II | - | 少なくともOL 8のシステム管理者(SA)と情報システム・セキュリティ担当者(ISSO)に、監査処理失敗イベントのアラートが通知される必要があります。 | デフォルトで実装済 |
OL08-00-030040 | CAT II | - | 監査処理に失敗したときに、OL 8のシステムで適切なアクションが実行される必要があります。 | デフォルトで実装済 |
OL08-00-030060 | CAT II | - | 監査記憶域ボリュームがいっぱいになったときに、OL 8の監査システムで適切なアクションが実行される必要があります。 | デフォルトで実装済 |
OL08-00-030061 | CAT II | - | OL 8の監査システムでローカル・イベントが監査される必要があります。 | デフォルトで実装済 |
OL08-00-030062 | CAT II | - | OL 8では、すべてのオフロード済監査ログは、中央のログ・サーバーに送信する前にラベルを付ける必要があります。 | デフォルトで実装済 |
OL08-00-030063 | CAT II | - | OL 8では、監査情報は、ディスクに書き込む前に解決する必要があります。 | デフォルトで実装済 |
OL08-00-030080 | CAT II | - | OL 8の監査ログは、権限のない読取りアクセスを防ぐために、rootが所有する必要があります。 | デフォルトで実装済 |
OL08-00-030100 | CAT II | - | OL 8の監査ログ・ディレクトリは、権限のない読取りアクセスを防ぐために、rootが所有する必要があります。 | デフォルトで実装済 |
OL08-00-030121 | CAT II | - | OL 8の監査システムでは、監査ルールを、不正に変更されないように保護する必要があります。 | デフォルトで実装済 |
OL08-00-030122 | CAT II | - | OL 8の監査システムでは、ログオンUIDを、不正に変更されないように保護する必要があります。 | デフォルトで実装済 |
OL08-00-030130 | CAT II | - | OL 8では、"/etc/shadow"に影響するすべてのアカウント作成イベントについて監査レコードが生成される必要があります。 | デフォルトで実装済 |
OL08-00-030140 | CAT II | - | OL 8では、"/etc/security/opasswd"に影響するすべてのアカウント作成イベントについて監査レコードが生成される必要があります。 | デフォルトで実装済 |
OL08-00-030150 | CAT II | - | OL 8では、"/etc/passwd"に影響するすべてのアカウント作成イベントについて監査レコードが生成される必要があります。 | デフォルトで実装済 |
OL08-00-030160 | CAT II | - | OL 8では、"/etc/gshadow"に影響するすべてのアカウント作成イベントについて監査レコードが生成される必要があります。 | デフォルトで実装済 |
OL08-00-030170 | CAT II | - | OL 8では、"/etc/group"に影響するすべてのアカウント作成イベントについて監査レコードが生成される必要があります。 | デフォルトで実装済 |
OL08-00-030171 | CAT II | - | OL 8では、"/etc/sudoers"に影響する、アカウントの作成、変更、無効化および終了のすべてのイベントについて監査レコードが生成される必要があります。 | デフォルトで実装済 |
OL08-00-030172 | CAT II | - | OL 8では、"/etc/sudoers.d/"に影響する、アカウントの作成、変更、無効化および終了のすべてのイベントについて監査レコードが生成される必要があります。 | デフォルトで実装済 |
OL08-00-030180 | CAT II | - | OL 8の監査パッケージをインストールする必要があります。 | デフォルトで実装済 |
OL08-00-030181 | CAT II | - | OL 8の監査レコードには、発生したイベントのタイプ、イベントのソース、イベントが発生した場所、およびイベントの結果をはっきりさせるための情報が含まれている必要があります。 | デフォルトで実装済 |
OL08-00-030190 | CAT II | - | OL 8では、"su"コマンドの使用については監査レコードが生成される必要があります。 | デフォルトで実装済 |
OL08-00-030200 | CAT II | - | OL 8の監査システムは、"setxattr"、"fsetxattr"、"lsetxattr"、"removexattr"、"fremovexattr"および"lremovexattr"システム・コールの使用を監査するように構成されている必要があります。 | デフォルトで実装済 |
OL08-00-030250 | CAT II | - | OL 8では、"chage"コマンドの使用については監査レコードが生成される必要があります。 | デフォルトで実装済 |
OL08-00-030260 | CAT II | - | OL 8では、"chcon"コマンドの使用については監査レコードが生成される必要があります。 | デフォルトで実装済 |
OL08-00-030280 | CAT II | - | OL 8では、"ssh-agent"コマンドの使用については監査レコードが生成される必要があります。 | デフォルトで実装済 |
OL08-00-030290 | CAT II | - | OL 8では、"passwd"コマンドの使用については監査レコードが生成される必要があります。 | デフォルトで実装済 |
OL08-00-030300 | CAT II | - | OL 8では、"mount"コマンドの使用については監査レコードが生成される必要があります。 | デフォルトで実装済 |
OL08-00-030301 | CAT II | - | OL 8では、"umount"コマンドの使用については監査レコードが生成される必要があります。 | デフォルトで実装済 |
OL08-00-030302 | CAT II | - | OL 8では、"mount"シスコールの使用については監査レコードが生成される必要があります。 | デフォルトで実装済 |
OL08-00-030310 | CAT II | - | OL 8では、"unix_update"コマンドの使用については監査レコードが生成される必要があります。 | デフォルトで実装済 |
OL08-00-030311 | CAT II | - | OL 8では、"postdrop"コマンドの使用については監査レコードが生成される必要があります。 | デフォルトで実装済 |
OL08-00-030312 | CAT II | - | OL 8では、"postqueue"コマンドの使用については監査レコードが生成される必要があります。 | デフォルトで実装済 |
OL08-00-030313 | CAT II | - | OL 8では、"semanage"コマンドの使用については監査レコードが生成される必要があります。 | デフォルトで実装済 |
OL08-00-030314 | CAT II | - | OL 8では、"setfiles"コマンドの使用については監査レコードが生成される必要があります。 | デフォルトで実装済 |
OL08-00-030315 | CAT II | - | OL 8では、"userhelper"コマンドの使用については監査レコードが生成される必要があります。 | デフォルトで実装済 |
OL08-00-030316 | CAT II | - | OL 8では、"setsebool"コマンドの使用については監査レコードが生成される必要があります。 | デフォルトで実装済 |
OL08-00-030317 | CAT II | - | OL 8では、"unix_chkpwd"コマンドの使用については監査レコードが生成される必要があります。 | デフォルトで実装済 |
OL08-00-030320 | CAT II | - | OL 8では、"ssh-keysign"コマンドの使用については監査レコードが生成される必要があります。 | デフォルトで実装済 |
OL08-00-030330 | CAT II | - | OL 8では、"setfacl"コマンドの使用については監査レコードが生成される必要があります。 | デフォルトで実装済 |
OL08-00-030340 | CAT II | - | OL 8では、"pam_timestamp_check"コマンドの使用については監査レコードが生成される必要があります。 | デフォルトで実装済 |
OL08-00-030350 | CAT II | - | OL 8では、"newgrp"コマンドの使用については監査レコードが生成される必要があります。 | デフォルトで実装済 |
OL08-00-030360 | CAT II | - | OL 8では、"init_module"および"finit_module"システム・コールの使用については監査レコードが生成される必要があります。 | デフォルトで実装済 |
OL08-00-030361 | CAT II | - | OL 8では、"rename"、"unlink"、"rmdir"、"renameat"および"unlinkat"システム・コールの使用については監査レコードが生成される必要があります。 | デフォルトで実装済 |
OL08-00-030370 | CAT II | - | OL 8では、"gpasswd"コマンドの使用については監査レコードが生成される必要があります。 | デフォルトで実装済 |
OL08-00-030390 | CAT II | - | OL 8では、delete_moduleシスコールの使用については監査レコードが生成される必要があります。 | デフォルトで実装済 |
OL08-00-030400 | CAT II | - | OL 8では、"crontab"コマンドの使用については監査レコードが生成される必要があります。 | デフォルトで実装済 |
OL08-00-030410 | CAT II | - | OL 8では、"chsh"コマンドの使用については監査レコードが生成される必要があります。 | デフォルトで実装済 |
OL08-00-030420 | CAT II | - | OL 8では、"truncate"、"ftruncate"、"creat"、"open"、"openat"および"open_by_handle_at"システム・コールの使用については監査レコードが生成される必要があります。 | デフォルトで実装済 |
OL08-00-030480 | CAT II | - | OL 8では、"chown"、"fchown"、"fchownat"および"lchown"システム・コールの使用については監査レコードが生成される必要があります。 | デフォルトで実装済 |
OL08-00-030490 | CAT II | - | OL 8では、"chmod"、"fchmod"および"fchmodat"システム・コールの使用については監査レコードが生成される必要があります。 | デフォルトで実装済 |
OL08-00-030550 | CAT II | - | OL 8では、"sudo"コマンドの使用については監査レコードが生成される必要があります。 | デフォルトで実装済 |
OL08-00-030560 | CAT II | - | OL 8では、"usermod"コマンドの使用については監査レコードが生成される必要があります。 | デフォルトで実装済 |
OL08-00-030570 | CAT II | - | OL 8では、"chacl"コマンドの使用については監査レコードが生成される必要があります。 | デフォルトで実装済 |
OL08-00-030580 | CAT II | - | OL 8では、"kmod"コマンドの使用については監査レコードが生成される必要があります。 | デフォルトで実装済 |
OL08-00-030600 | CAT II | - | OL 8では、"lastlog"ファイルに対して試みられた変更については監査レコードが生成される必要があります。 | デフォルトで実装済 |
OL08-00-030610 | CAT II | - | OL 8では、監査する監査可能イベントを選択できるのは情報システム・セキュリティ・マネージャ(ISSM) (または、ISSMによって任命された個人またはロール)のみにする必要があります。 | デフォルトで実装済 |
OL08-00-030620 | CAT II | - | OL 8の監査ツールは、モード"0755"以下が許可されている必要があります。 | デフォルトで実装済 |
OL08-00-030630 | CAT II | - | OL 8の監査ツールは、rootが所有している必要があります。 | デフォルトで実装済 |
OL08-00-030640 | CAT II | - | OL 8の監査ツールは、rootがグループで所有している必要があります。 | デフォルトで実装済 |
OL08-00-030670 | CAT II | - | OL 8に、監査ログのオフロードに必要なパッケージがインストールされている必要があります。 | デフォルトで実装済 |
OL08-00-030700 | CAT II | - | 内部イベント・キューがいっぱいになったときに、OL 8で適切なアクションが実行される必要があります。 | デフォルトで実装済 |
OL08-00-040001 | CAT II | - | OL 8に自動バグ・レポート・ツールをインストールしないでください。 | デフォルトで実装済 |
OL08-00-040002 | CAT II | - | OL 8にsendmailパッケージをインストールしないでください。 | デフォルトで実装済 |
OL08-00-040021 | CAT II | - | OL 8には、操作のサポートに不要な場合は非同期転送モード(ATM)のカーネル・モジュールをインストールしないでください。 | デフォルトで実装済 |
OL08-00-040022 | CAT II | - | OL 8には、操作のサポートに不要な場合はコントローラ・エリア・ネットワーク(CAN)のカーネル・モジュールをインストールしないでください。 | デフォルトで実装済 |
OL08-00-040023 | CAT II | - | OL 8には、操作のサポートに不要な場合はストリーム制御転送プロトコル(SCTP)のカーネル・モジュールをインストールしないでください。 | デフォルトで実装済 |
OL08-00-040080 | CAT II | - | OL 8は、USB大容量ストレージ・デバイスを使用できないように構成されている必要があります。 | デフォルトで実装済 |
OL08-00-040111 | CAT II | - | OL 8のBluetoothを無効にする必要があります。 | デフォルトで実装済 |
OL08-00-040129 | CAT II | - | OL 8では、"nodev"オプションを指定して"/var/log/audit"をマウントする必要があります。 | デフォルトで実装済 |
OL08-00-040130 | CAT II | - | OL 8では、"nosuid"オプションを指定して"/var/log/audit"をマウントする必要があります。 | デフォルトで実装済 |
OL08-00-040131 | CAT II | - | OL 8では、"noexec"オプションを指定して"/var/log/audit"をマウントする必要があります。 | デフォルトで実装済 |
OL08-00-040160 | CAT II | - | OL 8のすべてのネットワーク・システムでは、送受信した情報および転送準備中の情報の機密性と整合性を守るためにSSHが導入され実装されている必要があります。 | デフォルトで実装済 |
OL08-00-040161 | CAT II | - | OL 8では、サーバーへのSSH接続の場合はセッション・キーの再ネゴシエーションが必ず頻繁に実行されるようにする必要があります。 | デフォルトで実装済 |
OL08-00-040209 | CAT II | - | OL 8では、IPv4インターネット制御通知プロトコル(ICMP)のリダイレクト・メッセージが受け入れられないようにする必要があります。 | デフォルトで実装済 |
OL08-00-040210 | CAT II | - | OL 8では、IPv6インターネット制御通知プロトコル(ICMP)のリダイレクト・メッセージが受け入れられないようにする必要があります。 | デフォルトで実装済 |
OL08-00-040220 | CAT II | - | OL 8では、インターネット制御通知プロトコル(ICMP)のリダイレクトを送信しないでください。 | デフォルトで実装済 |
OL08-00-040230 | CAT II | - | OL 8では、ブロードキャスト・アドレスに送信されたインターネット制御通知プロトコル(ICMP)のエコーに応答しないでください。 | デフォルトで実装済 |
OL08-00-040239 | CAT II | - | OL 8では、IPv4のソースルーティングされたパケットを転送しないでください。 | デフォルトで実装済 |
OL08-00-040240 | CAT II | - | OL 8では、IPv6のソースルーティングされたパケットを転送しないでください。 | デフォルトで実装済 |
OL08-00-040249 | CAT II | - | OL 8では、デフォルトで、IPv4のソースルーティングされたパケットを転送しないでください。 | デフォルトで実装済 |
OL08-00-040250 | CAT II | - | OL 8では、デフォルトで、IPv6のソースルーティングされたパケットを転送しないでください。 | デフォルトで実装済 |
OL08-00-040260 | CAT II | - | OL 8では、システムがルーターでないかぎり、IPv6パケット転送を有効にしないでください。 | デフォルトで実装済 |
OL08-00-040261 | CAT II | - | OL 8では、どのIPv6インタフェースでもルーター通知を受け入れないようにしてください。 | デフォルトで実装済 |
OL08-00-040262 | CAT II | - | OL 8では、デフォルトで、どのIPv6インタフェースでもルーター通知を受け入れないようにしてください。 | デフォルトで実装済 |
OL08-00-040270 | CAT II | - | OL 8では、デフォルトで、インタフェースにインターネット制御通知プロトコル(ICMP)のリダイレクトの実行を許可しないでください。 | デフォルトで実装済 |
OL08-00-040279 | CAT II | - | OL 8では、IPv4インターネット制御通知プロトコル(ICMP)のリダイレクト・メッセージを無視する必要があります。 | デフォルトで実装済 |
OL08-00-040280 | CAT II | - | OL 8では、IPv6インターネット制御通知プロトコル(ICMP)のリダイレクト・メッセージを無視する必要があります。 | デフォルトで実装済 |
OL08-00-040281 | CAT II | - | OL 8では、権限のないプロセスからのネットワーク"bpf"シスコールへのアクセスを無効にする必要があります。 | デフォルトで実装済 |
OL08-00-040283 | CAT II | - | OL 8では、公開されているカーネル・ポインタ・アドレスのアクセスを制限する必要があります。 | デフォルトで実装済 |
OL08-00-040284 | CAT II | - | OL 8では、ユーザー名前空間の使用を無効にする必要があります。 | デフォルトで実装済 |
OL08-00-040285 | CAT II | - | OL 8では、すべてのIPv4インタフェースでリバース・パス・フィルタリングが使用されている必要があります。 | デフォルトで実装済 |
OL08-00-040286 | CAT II | - | OL 8では、Berkeley Packet Filterのジャストインタイム・コンパイラに対してハードニングを有効にする必要があります。 | デフォルトで実装済 |
OL08-00-040290 | CAT II | - | OL 8は、無制限のメール・リレーを防ぐように構成されている必要があります。 | デフォルトで実装済 |
OL08-00-040340 | CAT II | - | OL 8の対話型ユーザー用リモートX接続は、ドキュメントに記載されている検証済のミッション要件を満たすためでなければ、無効にする必要があります。 | デフォルトで実装済 |
OL08-00-040341 | CAT II | - | OL 8のSSHデーモンでは、リモート・ホストがプロキシ表示に接続できないようにする必要があります。 | デフォルトで実装済 |
OL08-00-040350 | CAT II | - | Trivial File Transfer Protocol (TFTP)サーバーが必要な場合は、OL 8のTFTPデーモンが、セキュア・モードで動作するように構成されている必要があります。 | デフォルトで実装済 |
OL08-00-040390 | CAT II | - | OL 8には、操作のサポートに不要な場合は"tuned"パッケージをインストールしないでください。 | デフォルトで実装済 |
OL08-00-010171 | CAT III | - | OL 8に"policycoreutils"パッケージがインストールされている必要があります。 | デフォルトで実装済 |
OL08-00-010292 | CAT III | - | OL 8のSSHサーバーは、強力なエントロピを使用するように構成されている必要があります。 | デフォルトで実装済 |
OL08-00-010375 | CAT III | - | OL 8では、カーネル・メッセージ・バッファへのアクセスが制限されている必要があります。 | デフォルトで実装済 |
OL08-00-010376 | CAT III | - | OL 8では、権限のないユーザーによるカーネル・プロファイリングが防止されている必要があります。 | デフォルトで実装済 |
OL08-00-010390 | CAT III | - | OL 8には、多要素認証に必要なパッケージがインストールされている必要があります。 | デフォルトで実装済 |
OL08-00-010440 | CAT III | - | YUMでは、更新されたバージョンがOL 8にインストールされた後にすべてのソフトウェア・コンポーネントが削除される必要があります。 | デフォルトで実装済 |
OL08-00-010541 | CAT III | - | OL 8では、"/var/log"用に別個のファイル・システムが使用されている必要があります。 | デフォルトで実装済 |
OL08-00-020024 | CAT III | - | OL 8では、すべてのアカウントまたはアカウント・タイプ(あるいはその両方)に対して同時セッションの数を10個までに制限する必要があります。 | デフォルトで実装済 |
OL08-00-020110 | CAT III | - | OL 8では、大文字を1つ以上使用するよう求めることで強制的にパスワードを複雑にする必要があります。 | デフォルトで実装済 |
OL08-00-020120 | CAT III | - | OL 8では、小文字を1つ以上使用するよう求めることで強制的にパスワードを複雑にする必要があります。 | デフォルトで実装済 |
OL08-00-020130 | CAT III | - | OL 8では、数字を1つ以上使用するよう求めることで強制的にパスワードを複雑にする必要があります。 | デフォルトで実装済 |
OL08-00-020170 | CAT III | - | OL 8では、パスワード変更時に、少なくとも8文字を変更するよう求める必要があります。 | デフォルトで実装済 |
OL08-00-020220 | CAT III | - | OL 8は、password-authファイル内で、5世代以上にわたりパスワードの再使用を禁止するように構成されている必要があります。 | デフォルトで実装済 |
OL08-00-020280 | CAT III | - | OL 8のすべてのパスワードには、少なくとも1つの特殊文字が含まれている必要があります。 | デフォルトで実装済 |
OL08-00-030741 | CAT III | - | OL 8では、サーバーとして機能しないようにchronyデーモンを無効にする必要があります。 | デフォルトで実装済 |
OL08-00-030742 | CAT III | - | OL 8では、chronyデーモンのネットワーク管理を無効にする必要があります。 | デフォルトで実装済 |
OL08-00-040024 | CAT III | - | OL 8では、Transparent Inter-Process Communication (TIPC)プロトコルを無効にする必要があります。 | デフォルトで実装済 |
OL08-00-040025 | CAT III | - | OL 8では、cramfsのマウントを無効にする必要があります。 | デフォルトで実装済 |
OL08-00-040026 | CAT III | - | OL 8では、IEEE 1394 (FireWire)のサポートを無効にする必要があります。 | デフォルトで実装済 |