1. 管理者ガイド
  2. 一般的なリファレンス
  3. セキュリティ技術導入ガイド

I セキュリティ技術導入ガイド

Oracle Audit Vault and Database Firewallは、セキュリティ技術導入ガイド(STIG)ベースのコンプライアンス標準に従っています。

I.1 セキュリティ技術導入ガイドについて

セキュリティ技術導入ガイドについて学習します。

セキュリティ技術導入ガイド(STIG)は、コンピュータ・システムおよびネットワークの攻撃対象となる面を減らすために米国国防総省(DOD)の求める手法であり、これにより、DODのネットワークに格納されている機密性の高い情報の封鎖を確実にします。STIGにより、DODの情報保証(IA)、およびIAが有効なデバイスやシステムのセキュアな構成の標準が提供されます。STIGは、国防情報システム局(DISA)によって作成されています。

10年以上の間、オラクル社はDODと緊密に協働しながら、次のような様々な中核的なOracle製品およびテクノロジに対する、増加するSTIGのリストを開発、発行およびメンテナンスしてきました。

  • Oracle Database

  • Oracle Solaris

  • Oracle Linux

  • Oracle WebLogic

STIGが更新されると、オラクル社は、製品のセキュリティを改善する次のような新しい方法を確認するため、最新の推奨事項を分析します。

  • STIGの将来のアップデートに追加される新しい、革新的なセキュリティ機能の実装

  • STIGの推奨事項のアセスメントや実装を自動化する機能の提供

Oracle Audit Vault and Database FirewallでSTIGガイドラインを有効にした後は、アップグレードを実行した場合に設定が保持されます。

STIGの推奨事項に基づく、「即時利用可能」なセキュリティ構成設定の改善

STIGの推奨事項

Oracle Audit Vault Serverは、高度にチューニングされテストされたソフトウェア・アプライアンスです。このサーバーにインストールされた追加のソフトウェアによって、動作が不安定になる場合があります。そのため、Oracle Audit Vault Serverにはソフトウェアをインストールしないことをお薦めします。ウイルスをスキャンする必要がある場合は、できるかぎり外部のスキャナを使用してください。

次に、外部スキャナを使用できず、Audit Vault Serverにアンチウイルスがインストールされている場合の例を示します。

  • 問題がある場合は、トラブルシューティングを有効にするために、アンチウイルス・ソフトウェアをアンインストールしてください。

  • 問題がなく、Oracle Audit Vault and Database Firewallに適用する新しいバンドル・パッチがある場合、Oracleサポートでは、ウイルス対策ソフトウェアをアンインストールし、パッチを適用した後、Oracle Audit Vault Serverでウイルス対策ソフトウェアを再インストールするよう求める場合があります。これによって、パッチを適用した後のいくつかの問題を回避できます。

  • 問題はないが、アンチウイルス・スキャナによってウイルスまたはマルウェアが検出された場合は、アンチウイルス・スキャナのベンダーに連絡して、検出結果が正しいかどうかを確認してください。

  • アンチウイルス・ソフトウェアを前もって削除しておらず、バンドル・パッチ・アップグレードが失敗した場合は、Oracle Audit Vault and Database Firewallをフレッシュ・インストールし、続いてバンドル・パッチ・アップグレードを実行してください。これを行ってから、アンチウイルス・スキャナをインストールしてください。

  • オラクル社が指示した手順に従っても、アンチウイルス・スキャナを完全にアンインストールできず、バンドル・パッチ・アップグレードが失敗する場合は、アンチウイルスのベンダーにソフトウェアを完全に削除する方法を問い合せてください。これが完了してから、Oracle Audit Vault and Database Firewallバンドル・パッチをインストールしてください。インストールが失敗した場合、クリーン・インストールが保証されます。

関連項目:

I.2 Oracle Audit Vault and Database FirewallでのSTIGガイドラインの有効化および無効化

厳密モードを有効にすることで、Oracle Audit Vault and Database FirewallでSTIGガイドラインを有効にできます。

I.2.1 Oracle Audit Vault and Database FirewallでのSTIGガイドラインの有効化

Oracle Audit Vault and Database FirewallでSTIGガイドラインを有効にする方法を学習します。

厳密モードを有効にするには:

  1. Oracle Audit Vault Serverのオペレーティング・システムにrootユーザーとしてログインします。
  2. 次のコマンドをrootとして実行します。

    /usr/local/dbfw/bin/stig --enable

I.2.2 Oracle Audit Vault and Database FirewallでのSTIGガイドラインの無効化

Oracle Audit Vault and Database FirewallでSTIGガイドラインを無効にする方法を学習します。

厳密モードを無効にするには:

  1. Oracle Audit Vault Serverのオペレーティング・システムにrootユーザーとしてログインします。
  2. 次のコマンドをrootとして実行します。

    /usr/local/dbfw/bin/stig --disable

I.3 Oracle Audit Vault and Database FirewallでのSTIGガイドラインの現在の実装

Oracle Audit Vault and Database Firewallは、セキュリティ技術導入ガイド(STIG)の推奨事項に従って構成され、セキュリティが強化されています。

オラクル社は、米国国防総省のセキュリティ技術導入ガイド(STIG)の推奨事項をサポートする、セキュリティを強化した構成のOracle Audit Vault and Database Firewallを開発しています。

表I-1に、STIGの3つの脆弱性カテゴリを示します。

表I-1 脆弱性のカテゴリ

カテゴリ 説明

CAT I

その搾取により、直接的および即時的に機密性、可用性または整合性の損失がもたらされる、任意の脆弱性。

CAT II

その搾取により、潜在的に機密性、可用性または整合性の損失がもたらされる、任意の脆弱性。

CAT III

その存在により、機密性、可用性または整合性の損失に対する保護対策が損われる、任意の脆弱性。

I.4 データベースのSTIGガイドラインの現在の実装

Oracle Audit Vault and Database FirewallでのデータベースのSTIGガイドラインの現在の実装について学習します。

表I-2に、Oracle Audit Vault and Database FirewallでのデータベースのSTIGガイドラインの現在の実装を示します。

表I-2 データベースのSTIGガイドラインの現在の実装

STIG ID タイトル 重大度 スクリプトでの対応 ドキュメントでの対応 必要なアクション 実装済 ノート

DG0004-ORACLE11

DBMSアプリケーション・オブジェクトの所有者アカウント

CAT II

なし

なし

なし

なし

アプリケーション・オブジェクトの所有者アカウントAVSYSMANAGEMENTSECURELOGは、Oracle Audit Vault and Database Firewallのインストール後にロックされます。

DG0008-ORACLE11

DBMSアプリケーション・オブジェクトの所有権

なし

なし

なし

なし

詳細は、「DG0008-ORACLE11 STIGガイドライン」を参照してください。

DG0014-ORACLE11

DBMSのデモおよびサンプル・データベース

CAT II

なし

なし

なし

なし

すべてのデフォルトのデモおよびサンプル・データベースのオブジェクトが削除されています。

DG0071-ORACLE11

DBMSのパスワード変更の多様性

CAT II

なし

なし

なし

なし

現在はサポートされていません

DG0073-ORACLE11

DBMSの失敗したログイン・アカウントのロック

CAT II

なし

なし

なし

MONITORING_PROFILEは、Oracle Audit Vault and Database Firewall 12.2にはもう存在しません。別のプロファイルのFAILED_LOGIN_ATTEMPTSは、スクリプトで必要な制限に設定されます。

DG0075-ORACLE11

DBMSの外部データベースへのリンク

CAT II

なし

なし

なし

詳細は、「DG0075-ORACLE11およびDO0250-ORACLE11 STIGガイドライン」を参照してください。

DG0077-ORACLE11

共有システムでの本番データの保護

CAT II

なし

なし

なし

なし

なし

DG0116-ORACLE11

DBMSの特権ロールの割当て

CAT II

なし

なし

AV_ADMINからDBFS_ROLEが廃止されました。詳細は、「DG0116-ORACLE11 STIGガイドライン」を参照してください。

DG0117-ORACLE11

DBMSの管理者特権の割当て

CAT II

なし

なし

なし

なし

現在はサポートされていません

DG0121-ORACLE11

DBMSのアプリケーション・ユーザー特権の割当て

CAT II

なし

なし

なし

なし

現在はサポートされていません

DG0123-ORACLE11

DBMSの管理データ・アクセス

CAT II

なし

なし

なし

なし

現在はサポートされていません

DG0125-ORACLE11

DBMSのアカウント・パスワードの有効期限

CAT II

なし

なし

なし

MONITORING_PROFILEは、Oracle Audit Vault and Database Firewall 12.2にはもう存在しません。別のプロファイルのPASSWORD_LIFE_TIMEは、スクリプトで必要な制限に設定されます。

DG0126-ORACLE11

DBMSのアカウント・パスワードの再利用

CAT II

なし

なし

なし

なし

Oracle Audit Vault and Database Firewallでは、パスワードの再利用は許可されていません。

DG0128-ORACLE11

DBMSのデフォルトのパスワード

CAT I

なし

なし

なし

アカウントOWBSYS_AUDITは、Oracle Audit Vault and Database Firewall 12.2にはもう存在しません。CTXSYSAUDSYSDBSNMPORDSYSなどのアカウントにはスクリプトでランダムなパスワードが割り当てられます。

DG0133-ORACLE11

DBMSのアカウント・ロック時間

CAT II

なし

なし

なし

なし

DG0141-ORACLE11

DBMSのアクセス制御のバイパス

CAT II

なし

なし

なし

ユーザーは、次のイベントの監査にスクリプトを使用できます。

DROP ANY SYNONYM

DROP ANY INDEXTYPE

DG0142-ORACLE11

DBMSの特権アクションの監査

CAT II

なし

なし

なし

なし

なし

DG0192-ORACLE11

DBMSのリモート・アクセスの完全修飾名

CAT II

なし

なし

なし

現在はサポートされていません

DO0231-ORACLE11

Oracleアプリケーション・オブジェクトの所有者の表領域

CAT II

なし

なし

なし

なし

現在はサポートされていません

DO0250-ORACLE11

Oracleデータベースのリンクの使用方法

CAT II

なし

なし

なし

詳細は、「DG0075-ORACLE11およびDO0250-ORACLE11 STIGガイドライン」を参照してください。

DO0270-ORACLE11

OracleのREDOログ・ファイルの可用性

CAT II

なし

なし

なし

なし

現在はサポートされていません

DO0350-ORACLE11

Oracleのシステム特権の割当て

CAT II

なし

なし

なし

なし

現在はサポートされていません

DO3475-ORACLE11

制限されたパッケージへのOracle PUBLICアクセス

CAT II

なし

なし

なし

なし

現在はサポートされていません

DO3536-ORACLE11

Oracle IDLE_TIMEプロファイル・パラメータ

CAT II

なし

なし

なし

なし

DO3540-ORACLE11

Oracle SQL92_SECURITYパラメータ

CAT II

なし

なし

なし

なし

パラメータSQL92_SECURITYは、すでにTRUEに設定されています。

DO3609-ORACLE11

WITH ADMIN OPTIONで付与されたシステム権限

CAT II

なし

なし

なし

なし

現在はサポートされていません

DO3610-ORACLE11

Oracle最小オブジェクトの監査

CAT II

なし

なし

なし

なし

現在はサポートされていません

DO3689-ORACLE11

Oracleオブジェクトの権限のPUBLICへの割当て

CAT II

なし

なし

なし

なし

現在はサポートされていません

DO3696-ORACLE11

Oracle RESOURCE_LIMITパラメータ

CAT II

なし

なし

なし

なし

現在はサポートされていません

O121-BP-021900

Oracle REMOTE_OS_AUTHENTパラメータは、FALSEに設定されていなければなりません。

CAT I

なし

なし

なし

なし

O121-BP-022000

Oracle REMOTE_OS_ROLESパラメータは、FALSEに設定されていなければなりません。

CAT I

なし

なし

なし

なし

O121-BP-022700

Oracle Listenerは、管理認証を要求するように構成されていなければなりません。

CAT I

なし

なし

なし

なし

O121-C1-004500

DBA OSアカウントには、DBMSの管理に必要なホスト・システム権限のみが付与されていなければなりません。

CAT I

なし

なし

なし

Audit Vault and Database Firewallでは、OracleユーザーのみがSYSDBAとしてデータベースに接続できます。Oracleユーザーには必要な権限のみが付与されます。

O121-C1-011100

Oracleソフトウェアは、新しく検出された脆弱性に関して評価され、パッチ適用されていなければなりません。

CAT I

なし

なし

なし

なし

Audit Vault and Database Firewallリリースの四半期ごとのバンドル・パッチを適用して、Audit Vault ServerおよびDatabase Firewall上のOS、DBおよびJavaにパッチを適用してください。

O121-C1-015000

DBMSのデフォルト・アカウントには、カスタム・パスワードが割り当てられていなければなりません。

CAT I

なし

なし

DVSYSには、製品のカスタム・パスワードが割り当てられます。他のユーザーには、STIGスクリプトによってパスワードが割り当てられます。

O121-C1-015400

DBMSは、PKIベースの認証を使用するときに、対応する秘密キーへの認可されたアクセスを強制しなければなりません。

CAT I

なし

なし

なし

なし

O121-C1-019700

DBMSは、送信データが別の物理的な手段で保護されていないかぎり、暗号メカニズムを採用して送信中の情報の不正な開示を避けなければなりません。

CAT I

なし

なし

なし

Audit Vault Serverのsqlnet.oraに次の暗号化アルゴリズムのリストが設定されています: SQLNET.ENCRYPTION_TYPES_SERVER = (AES256,AES192,AES128)。エージェントとAudit Vault Server間の通信は暗号化されています。

O121-N1-015601

アプリケーションは、認証プロセス中の認証情報のフィードバックを隠蔽して、起こり得る搾取や未認可の個人による使用から情報を保護しなければなりません。

CAT I

なし

なし

なし

Audit Vault and Database Firewallのすべてのパスワードは、Oracleウォレットに格納されているか、データベースで暗号化されています。すべてのパスワードは暗号化されたチャネルを介して送信されます。

O121-N1-015602

プレーン・テキストのパスワードを受け入れるOracle SQL*Plusなどのコマンドライン・ツールを使用する場合、ユーザーはパスワードが公開されない代替のログイン方法を使用しなければなりません。

CAT I

なし

なし

なし

完全には準拠できません。

Audit Vault and Database FirewallにはAVCLIコマンドライン・インタフェースがあります。パスワードをクリア・テキストで問題なく入力できます。しかし、AVCLIにはパスワードがクリア・テキストで公開されない代替のログイン手段も用意されています。

O121-OS-004600

DBMSソフトウェアのインストール・アカウントの使用は、DBMSソフトウェアのインストールのみに制限されていなければなりません。

CAT I

なし

なし

なし

なし

O121-BP-021300

Oracleのインスタンス名にOracleのバージョン番号を含めてはなりません。

CAT II

なし

なし

なし

なし

O121-BP-021400

固定ユーザー・リンクとパブリック・データベース・リンクは、使用を認可されていなければなりません。

CAT II

なし

「ノート」を参照してください。

なし

なし

「ノート」を参照してください

O121-BP-022100

SQL92_SECURITYパラメータは、TRUEに設定されていなければなりません。

CAT II

なし

なし

なし

なし

O121-BP-022200

Oracle REMOTE_LOGIN_PASSWORDFILEパラメータは、EXCLUSIVEまたはNONEに設定されていなければなりません。

CAT II

なし

なし

なし

なし

O121-BP-022300

WITH ADMIN OPTIONを使用して付与するシステム権限を未認可のユーザーに付与してはなりません。

CAT II

なし

なし

なし

なし

O121-BP-022400

PUBLICロールにシステム権限を付与してはなりません。

CAT II

なし

なし

なし

なし

O121-BP-022500

WITH ADMIN OPTIONを使用して付与するOracleロールを未認可のユーザーに付与してはなりません。

CAT II

なし

なし

なし

なし

O121-BP-022600

PUBLICロールに付与されるオブジェクト権限は、制限されていなければなりません。

CAT II

なし

なし

なし

なし

O121-BP-022800

アプリケーション・ロール権限をOracle PUBLICロールに割り当ててはなりません。

CAT II

なし

なし

なし

なし

O121-BP-023000

中間層のWebおよびアプリケーション・システムによるOracle DBMSへの接続は、データベース、Web、アプリケーション、エンクレーブおよびネットワークの要件に従って保護、暗号化および認証されていなければなりません。

CAT II

なし

なし

なし

なし

O121-BP-023200

未認可のデータベース・リンクを定義してアクティブ状態のままにしてはなりません。

CAT II

なし

「ノート」を参照してください。

なし

なし

「ノート」を参照してください

O121-BP-023600

認可されたシステム・アカウントのみがSYSTEM表領域をデフォルト表領域として持たなければなりません。

CAT II

なし

なし

なし

なし

O121-BP-023900

Oracle _TRACE_FILES_PUBLICパラメータがある場合、それはFALSEに設定されていなければなりません。

CAT II

なし

なし

なし

なし

O121-BP-025200

DBMSがリモートのデータベースまたはアプリケーションにアクセスするために保存して使用する資格証明は、認可され、認可されたユーザーのみに制限されていなければなりません。

CAT II

なし

「ノート」を参照してください。

なし

なし

「ノート」を参照してください

O121-BP-025700

DBMSのデータ・ファイルは、個々のアプリケーションのサポート専用でなければなりません。

CAT II

なし

なし

なし

なし

O121-BP-025800

構成オプションの変更は、監査されていなければなりません。

CAT II

なし

なし

なし

なし

O121-BP-026600

ネットワーク・クライアントの接続は、サポートされているバージョンのみに制限されていなければなりません。

CAT II

なし

なし

なし

Audit Vault Serverのsqlnet.oraに次のパラメータが設定されています: SQLNET.ALLOWED_LOGON_VERSION_SERVER = 11

O121-C2-002100

アカウントが非アクティブだった期間が35日を超えた場合は、DBMSが自動的にアカウントを無効化しなければなりません。

CAT II

なし

なし

なし

なし

O121-C2-003000

DBMSは、任意アクセス制御(DAC)ポリシーを強制して、ユーザーが指定した個人、個人のグループまたはその両方によって共有を指定および制御したり、アクセス権の伝播を制限したり、単一ユーザーの粒度へのアクセスを包含または除外したりできるようにしなければなりません。

CAT II

なし

なし

なし

なし

O121-C2-003400

DBMSのプロセスまたはサービスをカスタムの専用OSアカウントで実行しなければなりません。

CAT II

なし

なし

なし

なし

O121-C2-003600

1つのデータベース接続構成ファイルですべてのデータベース・クライアントを構成してはなりません。

CAT II

なし

なし

なし

なし

O121-C2-004900

DBMSは、アカウントのロックアウトが管理者によってリセットされるまで続くことを確認しなければなりません。

CAT II

Audit Vault and Database Firewall 12.2.0.1.0のSTIGスクリプトで対応されています。

なし

なし

なし

なし

O121-C2-006700

任意アクセス制御(DAC)を利用するDBMSは、単一ユーザーの粒度へのアクセスを包含または排除するポリシーを強制しなければなりません。

CAT II

なし

なし

なし

なし

O121-C2-006900

DBMSは、指定された組織担当者がデータベースによって監査される可能性があるイベントを選択できるようにしなければなりません。

CAT II

なし

なし

なし

なし

O121-C2-011500

デフォルトのデモンストレーション、サンプル・データベース、データベース・オブジェクトおよびアプリケーションは、削除されていなければなりません。

CAT II

なし

なし

なし

なし

O121-C2-011600

未使用のデータベース・コンポーネント、DBMSソフトウェアおよびデータベース・オブジェクトは、削除されていなければなりません。

CAT II

なし

なし

なし

なし

O121-C2-011700

DBMSに統合され、アンインストールできない未使用のデータベース・コンポーネントは、無効にされていなければなりません。

CAT II

なし

なし

なし

なし

O121-C2-013800

DBMSは、組織によって設定された定義済の非アクティブ期間が経過したユーザー・アカウントを無効化するという組織要件をサポートしなければなりません。

CAT II

なし

なし

なし

なし

O121-C2-014600

DBMSは、パスワードの保存時に暗号化を強制するという組織要件をサポートしなければなりません。

CAT II

なし

なし

なし

なし

O121-C2-015100

DBMSのパスワードを、コンパイル、エンコードまたは暗号化されたバッチ・ジョブ、あるいはコンパイル、エンコードまたは暗号化されたアプリケーション・ソース・コードに保存してはなりません。

CAT II

なし

なし

なし

なし。

O121-C2-015200

DBMSは、パスワードの最大存続期間の制限を強制しなければなりません。

CAT II

なし

なし

なし

なし

ノート:

DBリンクの使用については、Audit Vault and Database Firewall 12.2.0.1.0のSTIGドキュメントにすでに記載されています。

I.5 STIGガイドラインに関するその他の留意事項

STIGガイドラインに関する追加のアドバイスについて学習します。

関連トピック

I.5.1 DG0008-ORACLE11 STIGガイドライン

STIGガイドラインDG0008-ORACLE11について学習します。

Audit Vault Serverでのオブジェクト所有者のアカウントは次のとおりです。

  • APEX

    • APEX_180200 (Oracle AVDF 20.1から20.3)

    • APEX_200100 (Oracle AVDF 20.4から20.5)

    • APEX_210100 (Oracle AVDF 20.6以降)

  • MANAGEMENT

  • AVRULEOWNER

  • SECURELOG

  • AVREPORTUSER

  • AVSYS

Database Firewallでのオブジェクト所有者のアカウントは次のとおりです。

  • MANAGEMENT

  • SECURELOG

I.5.2 DG0075-ORACLE11およびDO0250-ORACLE11 STIGガイドライン

STIGガイドラインDG0075-ORACLE11およびDO0250-ORACLE11について学習します。

Oracle Audit Vault Serverで使用されるデータベース・リンクは次のとおりです。 

AVRPTUSR_LINK.DBFWDB:
 (DESCRIPTION=(ADDRESS=(PROTOCOL=TCP)(HOST=127.0.0.1)(PORT=1521))
 (CONNECT_DATA=(SERVICE_NAME=dbfwdb)))

データベース・リンクは、Oracle Audit Vault Serverのインストール中に作成され、REDOコレクタで使用されます。

I.5.3 DG0116-ORACLE11 STIGガイドライン

STIGガイドラインDG0116-ORACLE11について学習します。

表I-3に、Audit Vault Serverでのアカウントおよびロール割当てを示します。

表I-3 Audit Vault Serverのアカウントおよびロールの割当て

アカウント ロールの割当て

AV_ADMIN

AQ_ADMINISTRATOR_ROLE

SELECT_CATALOG_ROLE

XDBADMIN

AV_AUDITOR

SELECT_CATALOG_ROLE

AV_MONITOR

SELECT_CATALOG_ROLE

AV_SOURCE

AQ_USER_ROLE

HS_ADMIN_ROLE

HS_ADMIN_EXECUTE_ROLE

HS_ADMIN_SELECT_ROLE

OEM_MONITOR

SELECT_CATALOG_ROLE

表I-4に、Database Firewallでのアカウントおよびロール割当てを示します。

表I-4 Database Firewallのアカウントおよびロールの割当て

アカウント ロールの割当て

HS_ADMIN_ROLE

HS_ADMIN_EXECUTE_ROLE

HS_ADMIN_SELECT_ROLE

OEM_MONITOR

SELECT_CATALOG_ROLE

I.6 オペレーティング・システムのSTIGガイドラインの現在の実装

このトピックには、Oracle Audit Vault and Database Firewall (Oracle AVDF)でのオペレーティング・システムのSTIGガイドラインの現在の実装に関する情報が含まれています。

表I-5 オペレーティング・システムのSTIGガイドライン・セットのリファレンス

リファレンス 詳細
ドキュメント Oracle Linux 8セキュリティ技術導入ガイド
バージョン 1
リリース 5
リリース日 2023年1月13日
ドキュメントのリンク Oracle Linux セキュリティ技術導入ガイド

表I-6 ユーザー・アクション - 定義およびガイドライン

ユーザー・アクション ガイドラインの説明
なし このガイドラインはデフォルトで実装されているため、ユーザー・アクションは不要です。
厳密モードの有効化 このガイドラインは、アプライアンスを厳密モードに切り替えることで実装できます。

関連項目:

Oracle Audit Vault and Database FirewallでのSTIGガイドラインの有効化および無効化
サイト・ポリシー このガイドラインはローカル・ポリシーに応じて実装できますが、それには管理者のアクションが必要です。実装に関する追加情報は、ノート列を参照してください。
管理タスク このガイドラインの実装は、インストール後またはアップグレード後に管理者が実施する構成アクションです。定期的に使用および定義される管理手順になることもあります。

表I-7 Oracle AVDF向けのオペレーティング・システムSTIGガイドラインの現在の実装

STIG ID 重大度 ユーザー・アクション タイトル ノート
OL08-00-010000 CAT I - OL 8が、ベンダーでサポートされているリリースである必要があります。 デフォルトで実装済
OL08-00-010140 CAT I - United Extensible Firmware Interface (UEFI)でブートされたOL 8オペレーティング・システムでは、シングルユーザー・モードおよびメンテナンス・モードのブート時に認証を要求する必要があります。 デフォルトで実装済
OL08-00-010150 CAT I - BIOSでブートされたOL 8オペレーティング・システムでは、シングルユーザー・モードおよびメンテナンス・モードのブート時に認証を要求する必要があります。 デフォルトで実装済
OL08-00-010370 CAT I - YUMが、組織で認識および承認されている証明書を使用してデジタル署名されていないパッチ、サービス・パック、デバイス・ドライバまたはOL 8システム・コンポーネントがインストールされないように構成されている必要があります。 デフォルトで実装済
OL08-00-010460 CAT I - OL 8オペレーティング・システムに"shosts.equiv"ファイルが存在しないようにしてください。 デフォルトで実装済
OL08-00-010470 CAT I - OL 8オペレーティング・システムに".shosts"ファイルが存在しないようにしてください。 デフォルトで実装済
OL08-00-010820 CAT I - OL 8グラフィカル・ユーザー・インタフェースを介した無人または自動ログオンは許可しないでください。 デフォルトで実装済
OL08-00-010830 CAT I - OL 8では、ユーザーがSSH環境変数をオーバーライドできないようにしてください。 デフォルトで実装済
OL08-00-020330 CAT I - OL 8では、アカウントを空またはnullのパスワードを使用して構成できないようにしてください。 デフォルトで実装済
OL08-00-020331 CAT I - OL 8では、system-authファイル内で空またはnullのパスワードを使用できないようにしてください。 デフォルトで実装済
OL08-00-020332 CAT I - OL 8では、password-authファイル内で空またはnullのパスワードを使用できないようにしてください。 デフォルトで実装済
OL08-00-040000 CAT I - OL 8にtelnet-serverパッケージをインストールしないでください。 デフォルトで実装済
OL08-00-040010 CAT I - OL 8にrsh-serverパッケージをインストールしないでください。 デフォルトで実装済
OL08-00-040171 CAT I - グラフィカル・ユーザー・インタフェースがインストールされている場合は、OL 8でのx86のキー・シーケンスである[Ctrl]+[Alt]+[Delete]を無効にする必要があります。 デフォルトで実装済
OL08-00-040190 CAT I - OL 8の操作のサポートに必要な場合を除き、Trivial File Transfer Protocol (TFTP)サーバー・パッケージをインストールしないでください。 デフォルトで実装済
OL08-00-040200 CAT I - rootアカウントは、OL 8システムに無制限にアクセスできる唯一のアカウントである必要があります。 デフォルトで実装済
OL08-00-040360 CAT I - OL 8で不可欠な場合を除き、File Transfer Protocol (FTP)サーバー・パッケージをインストールしないでください。 デフォルトで実装済
OL08-00-010049 CAT II - OL 8では、グラフィカル・ユーザー・ログオンによってシステムへのローカルまたはリモート・アクセスを付与する前に、バナーを表示する必要があります。 デフォルトで実装済
OL08-00-010110 CAT II - OL 8では、FIPS 140-2で承認されている暗号化ハッシュ・アルゴリズムを使用して、格納されているすべてのパスワードを暗号化する必要があります。 デフォルトで実装済
OL08-00-010120 CAT II - OL 8では、格納されているすべてのパスワードに対して、FIPS 140-2で承認されている暗号化ハッシュ・アルゴリズムを使用する必要があります。 デフォルトで実装済
OL08-00-010130 CAT II - OL 8のshadowパスワード・スイートが、十分な数のハッシュ・ラウンドを使用するように構成されている必要があります。 デフォルトで実装済
OL08-00-010151 CAT II - OL 8オペレーティング・システムでは、レスキュー・モードの起動時に認証が必要です。 デフォルトで実装済
OL08-00-010152 CAT II - OL 8オペレーティング・システムでは、緊急モードの起動時に認証が必要です。 デフォルトで実装済
OL08-00-010159 CAT II - OL 8の"pam_unix.so"モジュールが、system-authファイル内で、システム認証にFIPS 140-2で承認された暗号化ハッシュ・アルゴリズムを使用するように構成されている必要があります。 デフォルトで実装済
OL08-00-010160 CAT II - OL 8の"pam_unix.so"モジュールが、password-authファイル内で、システム認証にFIPS 140-2で承認された暗号化ハッシュ・アルゴリズムを使用するように構成されている必要があります。 デフォルトで実装済
OL08-00-010161 CAT II - OL 8では、システム・デーモンで認証にKerberosが使用されないようにする必要があります。 デフォルトで実装済
OL08-00-010162 CAT II - krb5-workstationパッケージをOL 8にインストールしないでください。 デフォルトで実装済
OL08-00-010163 CAT II - krb5-serverパッケージをOL 8にインストールしないでください。 デフォルトで実装済
OL08-00-010200 CAT II - SSHトラフィックに関連するすべてのネットワーク接続は一定期間非アクティブだったら終了するように、OL 8が構成されている必要があります。 デフォルトで実装済
OL08-00-010210 CAT II - OL 8の"/var/log/messages"ファイルは、モード0640以下が許可されている必要があります。 デフォルトで実装済
OL08-00-010220 CAT II - OL 8の"/var/log/messages"ファイルは、rootが所有している必要があります。 デフォルトで実装済
OL08-00-010230 CAT II - OL 8の"/var/log/messages"ファイルは、rootがグループで所有している必要があります。 デフォルトで実装済
OL08-00-010240 CAT II - OL 8の"/var/log"ディレクトリは、モード0755以下が許可されている必要があります。 デフォルトで実装済
OL08-00-010250 CAT II - OL 8の"/var/log"ディレクトリは、rootが所有している必要があります。 デフォルトで実装済
OL08-00-010260 CAT II - OL 8の"/var/log"ディレクトリは、rootがグループで所有している必要があります。 デフォルトで実装済
OL08-00-010294 CAT II - OL 8オペレーティング・システムでは、DoDによって承認されたTLS暗号化がOpenSSLパッケージで実装されている必要があります。 デフォルトで実装済
OL08-00-010372 CAT II - OL 8では、後で実行するための新しいカーネルのロードを防ぐ必要があります。 デフォルトで実装済
OL08-00-010373 CAT II - OL 8では、カーネル・パラメータでシンボリック・リンクに任意アクセス制御(DAC)を適用できるようにする必要があります。 デフォルトで実装済
OL08-00-010374 CAT II - OL 8では、カーネル・パラメータでハード・リンクに任意アクセス制御(DAC)を適用できるようにする必要があります。 デフォルトで実装済
OL08-00-010381 CAT II - OL 8では、権限エスカレーションおよびロール変更の場合はユーザーに再認証を求める必要があります。 デフォルトで実装済
OL08-00-010382 CAT II - OL 8では、権限昇格を、認可された人物のみに限定する必要があります。 デフォルトで実装済
OL08-00-010480 CAT II - OL 8のSSH公開ホスト・キー・ファイルは、モード"0644"以下が許可されている必要があります。 デフォルトで実装済
OL08-00-010500 CAT II - OL 8のSSHデーモンでは、ホーム・ディレクトリの構成ファイルの厳密モード・チェックが実行される必要があります。 デフォルトで実装済
OL08-00-010520 CAT II - OL 8のSSHデーモンでは、既知のホストの認証を使用した認証を許可しないでください。 デフォルトで実装済
OL08-00-010521 CAT II - OL 8のSSHデーモンでは、ドキュメントに記載されている検証済のミッション要件を満たすためでなければKerberos認証を許可しないでください。 デフォルトで実装済
OL08-00-010522 CAT II - OL 8のSSHデーモンでは、ドキュメントに記載されている検証済のミッション要件を満たすためでなければGSSAPI認証を許可しないでください。 デフォルトで実装済
OL08-00-010543 CAT II - OL 8では、"/tmp"用に別個のファイル・システムが使用されている必要があります。 デフォルトで実装済
OL08-00-010550 CAT II - OL 8では、SSHによるリモート・アクセスを使用したrootアカウントへの直接ログオンを許可しないでください。 デフォルトで実装済
OL08-00-010561 CAT II - OL 8では、rsyslogサービスが有効化されアクティブになっている必要があります。 デフォルトで実装済
OL08-00-010571 CAT II - OL 8では、setuidビットとsetgidビットが設定されたファイルが/bootディレクトリで実行されないようにする必要があります。 デフォルトで実装済
OL08-00-010630 CAT II - OL 8ファイル・システムでは、ネットワーク・ファイル・システム(NFS)を介してインポートされているバイナリ・ファイルを実行しないでください。 デフォルトで実装済
OL08-00-010640 CAT II - OL 8ファイル・システムでは、NFSを介してインポートされる文字特殊デバイスまたはブロック特殊デバイスを解釈しないでください。 デフォルトで実装済
OL08-00-010650 CAT II - OL 8では、ネットワーク・ファイル・システム(NFS)を介してインポートされている、setuidビットとsetgidビットが設定されたファイルを、ファイル・システム上で実行できないようにする必要があります。 デフォルトで実装済
OL08-00-010760 CAT II - OL 8のローカルのすべての対話型ユーザー・アカウントには、作成時にホーム・ディレクトリを割り当てる必要があります。 デフォルトで実装済
OL08-00-020010 CAT II - バージョン8.2より前のOL 8システムでは、ログオンに3回失敗したらアカウントが自動的にロックされる必要があります。 デフォルトで実装済
OL08-00-020011 CAT II - バージョン8.2以上のOL 8システムでは、ログオンに3回失敗したらアカウントが自動的にロックされる必要があります。 デフォルトで実装済
OL08-00-020012 CAT II - バージョン8.2より前のOL 8システムでは、15分間にログオンに3回失敗したらアカウントが自動的にロックされる必要があります。 デフォルトで実装済
OL08-00-020013 CAT II - バージョン8.2以上のOL 8システムでは、15分間にログオンに3回失敗したらアカウントが自動的にロックされる必要があります。 デフォルトで実装済
OL08-00-020014 CAT II - バージョン8.2より前のOL 8システムでは、15分間にログオンに3回失敗したら、アカウントが自動的にロックされ、管理者によってロックが解除されるまでロック状態になる必要があります。 デフォルトで実装済
OL08-00-020018 CAT II - バージョン8.2より前のOL 8システムでは、ログオンに3回失敗したときにシステム・メッセージが表示されないようにする必要があります。 デフォルトで実装済
OL08-00-020019 CAT II - バージョン8.2以上のOL 8システムでは、ログオンに3回失敗したときにシステム・メッセージが表示されないようにする必要があります。 デフォルトで実装済
OL08-00-020020 CAT II - バージョン8.2より前のOL 8システムでは、ログオンに失敗したときはユーザー名情報が記録される必要があります。 デフォルトで実装済
OL08-00-020021 CAT II - バージョン8.2以上のOL 8システムでは、ログオンに失敗したときはユーザー名情報が記録される必要があります。 デフォルトで実装済
OL08-00-020022 CAT II - バージョン8.2より前のOL 8システムでは、15分間にログオンに3回失敗するとアカウントが自動的にロックされ管理者によってロックが解除されるまでロック状態にする場合は、rootも対象にする必要があります。 デフォルトで実装済
OL08-00-020039 CAT II - OL 8にtmuxパッケージがインストールされている必要があります。 デフォルトで実装済
OL08-00-020100 CAT II - OL 8では、必ずpassword-authファイル内でパスワード複雑度モジュールを有効にする必要があります。 デフォルトで実装済
OL08-00-020140 CAT II - OL 8では、パスワード変更時の、同じ文字クラスの繰返し文字の最大数を4に制限する必要があります。 デフォルトで実装済
OL08-00-020150 CAT II - OL 8では、パスワード変更時の、繰返し文字の最大数を3に制限する必要があります。 デフォルトで実装済
OL08-00-020160 CAT II - OL 8では、パスワード変更時に、少なくとも4つの文字クラスを変更するよう求める必要があります。 デフォルトで実装済
OL08-00-020180 CAT II - OL 8の新しいユーザーのパスワード、またはパスワード変更については、"/etc/shadow"内で最小パスワード存続期間の制限が24時間/1日になっている必要があります。 デフォルトで実装済
OL08-00-020190 CAT II - OL 8の新規ユーザーのパスワード、またはパスワード変更については、"/etc/login.defs"内で最小パスワード存続期間の制限が24時間/1日になっている必要があります。 デフォルトで実装済
OL08-00-020200 CAT II 厳密モードの有効化 OL 8のユーザー・アカウント・パスワードについては、最大パスワード存続期間の制限が60日間になっている必要があります。 厳密モードで実装される
OL08-00-020210 CAT II 厳密モードの有効化 OL 8のユーザー・アカウント・パスワードは、既存のパスワードの最大存続期間が60日に制限されるように構成されている必要があります。 厳密モードで実装される
OL08-00-020230 CAT II 厳密モードの有効化 OL 8のパスワードは15文字以上である必要があります。 厳密モードで実装される
OL08-00-020231 CAT II 厳密モードの有効化 OL 8の新規ユーザーのパスワードは15文字以上である必要があります。 厳密モードで実装される
OL08-00-020263 CAT II - OL 8のlastlogコマンドは、rootが所有している必要があります。 デフォルトで実装済
OL08-00-020264 CAT II - OL 8のlastlogコマンドは、rootがグループで所有している必要があります。 デフォルトで実装済
OL08-00-020300 CAT II - OL 8では、パスワードに辞書の単語を使用できないようにする必要があります。 デフォルトで実装済
OL08-00-020310 CAT II - OL 8では、ログオンに失敗してからログオン・プロンプトが表示されるまでに必ず4秒以上時間を空ける必要があります。 デフォルトで実装済
OL08-00-020350 CAT II - OL 8では、SSHログオン時に、最後にアカウントがログオンに成功した日時が表示される必要があります。 デフォルトで実装済
OL08-00-020351 CAT II - OL 8のデフォルト権限は、すべての認証済ユーザーに各自のファイルのみの読取りおよび変更を可能にするように定義する必要があります。 デフォルトで実装済
OL08-00-030000 CAT II - OL 8の監査システムは、特権機能の実行を監査しすべてのソフトウェアがそのソフトウェアの実行ユーザーよりも高い特権レベルで実行されないように構成されている必要があります。 デフォルトで実装済
OL08-00-030020 CAT II - 少なくともOL 8のシステム管理者(SA)と情報システム・セキュリティ担当者(ISSO)に、監査処理失敗イベントのアラートが通知される必要があります。 デフォルトで実装済
OL08-00-030040 CAT II - 監査処理に失敗したときに、OL 8のシステムで適切なアクションが実行される必要があります。 デフォルトで実装済
OL08-00-030060 CAT II - 監査記憶域ボリュームがいっぱいになったときに、OL 8の監査システムで適切なアクションが実行される必要があります。 デフォルトで実装済
OL08-00-030061 CAT II - OL 8の監査システムでローカル・イベントが監査される必要があります。 デフォルトで実装済
OL08-00-030062 CAT II - OL 8では、すべてのオフロード済監査ログは、中央のログ・サーバーに送信する前にラベルを付ける必要があります。 デフォルトで実装済
OL08-00-030063 CAT II - OL 8では、監査情報は、ディスクに書き込む前に解決する必要があります。 デフォルトで実装済
OL08-00-030080 CAT II - OL 8の監査ログは、権限のない読取りアクセスを防ぐために、rootが所有する必要があります。 デフォルトで実装済
OL08-00-030100 CAT II - OL 8の監査ログ・ディレクトリは、権限のない読取りアクセスを防ぐために、rootが所有する必要があります。 デフォルトで実装済
OL08-00-030121 CAT II - OL 8の監査システムでは、監査ルールを、不正に変更されないように保護する必要があります。 デフォルトで実装済
OL08-00-030122 CAT II - OL 8の監査システムでは、ログオンUIDを、不正に変更されないように保護する必要があります。 デフォルトで実装済
OL08-00-030130 CAT II - OL 8では、"/etc/shadow"に影響するすべてのアカウント作成イベントについて監査レコードが生成される必要があります。 デフォルトで実装済
OL08-00-030140 CAT II - OL 8では、"/etc/security/opasswd"に影響するすべてのアカウント作成イベントについて監査レコードが生成される必要があります。 デフォルトで実装済
OL08-00-030150 CAT II - OL 8では、"/etc/passwd"に影響するすべてのアカウント作成イベントについて監査レコードが生成される必要があります。 デフォルトで実装済
OL08-00-030160 CAT II - OL 8では、"/etc/gshadow"に影響するすべてのアカウント作成イベントについて監査レコードが生成される必要があります。 デフォルトで実装済
OL08-00-030170 CAT II - OL 8では、"/etc/group"に影響するすべてのアカウント作成イベントについて監査レコードが生成される必要があります。 デフォルトで実装済
OL08-00-030171 CAT II - OL 8では、"/etc/sudoers"に影響する、アカウントの作成、変更、無効化および終了のすべてのイベントについて監査レコードが生成される必要があります。 デフォルトで実装済
OL08-00-030172 CAT II - OL 8では、"/etc/sudoers.d/"に影響する、アカウントの作成、変更、無効化および終了のすべてのイベントについて監査レコードが生成される必要があります。 デフォルトで実装済
OL08-00-030180 CAT II - OL 8の監査パッケージをインストールする必要があります。 デフォルトで実装済
OL08-00-030181 CAT II - OL 8の監査レコードには、発生したイベントのタイプ、イベントのソース、イベントが発生した場所、およびイベントの結果をはっきりさせるための情報が含まれている必要があります。 デフォルトで実装済
OL08-00-030190 CAT II - OL 8では、"su"コマンドの使用については監査レコードが生成される必要があります。 デフォルトで実装済
OL08-00-030200 CAT II - OL 8の監査システムは、"setxattr"、"fsetxattr"、"lsetxattr"、"removexattr"、"fremovexattr"および"lremovexattr"システム・コールの使用を監査するように構成されている必要があります。 デフォルトで実装済
OL08-00-030250 CAT II - OL 8では、"chage"コマンドの使用については監査レコードが生成される必要があります。 デフォルトで実装済
OL08-00-030260 CAT II - OL 8では、"chcon"コマンドの使用については監査レコードが生成される必要があります。 デフォルトで実装済
OL08-00-030280 CAT II - OL 8では、"ssh-agent"コマンドの使用については監査レコードが生成される必要があります。 デフォルトで実装済
OL08-00-030290 CAT II - OL 8では、"passwd"コマンドの使用については監査レコードが生成される必要があります。 デフォルトで実装済
OL08-00-030300 CAT II - OL 8では、"mount"コマンドの使用については監査レコードが生成される必要があります。 デフォルトで実装済
OL08-00-030301 CAT II - OL 8では、"umount"コマンドの使用については監査レコードが生成される必要があります。 デフォルトで実装済
OL08-00-030302 CAT II - OL 8では、"mount"シスコールの使用については監査レコードが生成される必要があります。 デフォルトで実装済
OL08-00-030310 CAT II - OL 8では、"unix_update"コマンドの使用については監査レコードが生成される必要があります。 デフォルトで実装済
OL08-00-030311 CAT II - OL 8では、"postdrop"コマンドの使用については監査レコードが生成される必要があります。 デフォルトで実装済
OL08-00-030312 CAT II - OL 8では、"postqueue"コマンドの使用については監査レコードが生成される必要があります。 デフォルトで実装済
OL08-00-030313 CAT II - OL 8では、"semanage"コマンドの使用については監査レコードが生成される必要があります。 デフォルトで実装済
OL08-00-030314 CAT II - OL 8では、"setfiles"コマンドの使用については監査レコードが生成される必要があります。 デフォルトで実装済
OL08-00-030315 CAT II - OL 8では、"userhelper"コマンドの使用については監査レコードが生成される必要があります。 デフォルトで実装済
OL08-00-030316 CAT II - OL 8では、"setsebool"コマンドの使用については監査レコードが生成される必要があります。 デフォルトで実装済
OL08-00-030317 CAT II - OL 8では、"unix_chkpwd"コマンドの使用については監査レコードが生成される必要があります。 デフォルトで実装済
OL08-00-030320 CAT II - OL 8では、"ssh-keysign"コマンドの使用については監査レコードが生成される必要があります。 デフォルトで実装済
OL08-00-030330 CAT II - OL 8では、"setfacl"コマンドの使用については監査レコードが生成される必要があります。 デフォルトで実装済
OL08-00-030340 CAT II - OL 8では、"pam_timestamp_check"コマンドの使用については監査レコードが生成される必要があります。 デフォルトで実装済
OL08-00-030350 CAT II - OL 8では、"newgrp"コマンドの使用については監査レコードが生成される必要があります。 デフォルトで実装済
OL08-00-030360 CAT II - OL 8では、"init_module"および"finit_module"システム・コールの使用については監査レコードが生成される必要があります。 デフォルトで実装済
OL08-00-030361 CAT II - OL 8では、"rename"、"unlink"、"rmdir"、"renameat"および"unlinkat"システム・コールの使用については監査レコードが生成される必要があります。 デフォルトで実装済
OL08-00-030370 CAT II - OL 8では、"gpasswd"コマンドの使用については監査レコードが生成される必要があります。 デフォルトで実装済
OL08-00-030390 CAT II - OL 8では、delete_moduleシスコールの使用については監査レコードが生成される必要があります。 デフォルトで実装済
OL08-00-030400 CAT II - OL 8では、"crontab"コマンドの使用については監査レコードが生成される必要があります。 デフォルトで実装済
OL08-00-030410 CAT II - OL 8では、"chsh"コマンドの使用については監査レコードが生成される必要があります。 デフォルトで実装済
OL08-00-030420 CAT II - OL 8では、"truncate"、"ftruncate"、"creat"、"open"、"openat"および"open_by_handle_at"システム・コールの使用については監査レコードが生成される必要があります。 デフォルトで実装済
OL08-00-030480 CAT II - OL 8では、"chown"、"fchown"、"fchownat"および"lchown"システム・コールの使用については監査レコードが生成される必要があります。 デフォルトで実装済
OL08-00-030490 CAT II - OL 8では、"chmod"、"fchmod"および"fchmodat"システム・コールの使用については監査レコードが生成される必要があります。 デフォルトで実装済
OL08-00-030550 CAT II - OL 8では、"sudo"コマンドの使用については監査レコードが生成される必要があります。 デフォルトで実装済
OL08-00-030560 CAT II - OL 8では、"usermod"コマンドの使用については監査レコードが生成される必要があります。 デフォルトで実装済
OL08-00-030570 CAT II - OL 8では、"chacl"コマンドの使用については監査レコードが生成される必要があります。 デフォルトで実装済
OL08-00-030580 CAT II - OL 8では、"kmod"コマンドの使用については監査レコードが生成される必要があります。 デフォルトで実装済
OL08-00-030600 CAT II - OL 8では、"lastlog"ファイルに対して試みられた変更については監査レコードが生成される必要があります。 デフォルトで実装済
OL08-00-030610 CAT II - OL 8では、監査する監査可能イベントを選択できるのは情報システム・セキュリティ・マネージャ(ISSM) (または、ISSMによって任命された個人またはロール)のみにする必要があります。 デフォルトで実装済
OL08-00-030620 CAT II - OL 8の監査ツールは、モード"0755"以下が許可されている必要があります。 デフォルトで実装済
OL08-00-030630 CAT II - OL 8の監査ツールは、rootが所有している必要があります。 デフォルトで実装済
OL08-00-030640 CAT II - OL 8の監査ツールは、rootがグループで所有している必要があります。 デフォルトで実装済
OL08-00-030670 CAT II - OL 8に、監査ログのオフロードに必要なパッケージがインストールされている必要があります。 デフォルトで実装済
OL08-00-030700 CAT II - 内部イベント・キューがいっぱいになったときに、OL 8で適切なアクションが実行される必要があります。 デフォルトで実装済
OL08-00-040001 CAT II - OL 8に自動バグ・レポート・ツールをインストールしないでください。 デフォルトで実装済
OL08-00-040002 CAT II - OL 8にsendmailパッケージをインストールしないでください。 デフォルトで実装済
OL08-00-040021 CAT II - OL 8には、操作のサポートに不要な場合は非同期転送モード(ATM)のカーネル・モジュールをインストールしないでください。 デフォルトで実装済
OL08-00-040022 CAT II - OL 8には、操作のサポートに不要な場合はコントローラ・エリア・ネットワーク(CAN)のカーネル・モジュールをインストールしないでください。 デフォルトで実装済
OL08-00-040023 CAT II - OL 8には、操作のサポートに不要な場合はストリーム制御転送プロトコル(SCTP)のカーネル・モジュールをインストールしないでください。 デフォルトで実装済
OL08-00-040080 CAT II - OL 8は、USB大容量ストレージ・デバイスを使用できないように構成されている必要があります。 デフォルトで実装済
OL08-00-040111 CAT II - OL 8のBluetoothを無効にする必要があります。 デフォルトで実装済
OL08-00-040129 CAT II - OL 8では、"nodev"オプションを指定して"/var/log/audit"をマウントする必要があります。 デフォルトで実装済
OL08-00-040130 CAT II - OL 8では、"nosuid"オプションを指定して"/var/log/audit"をマウントする必要があります。 デフォルトで実装済
OL08-00-040131 CAT II - OL 8では、"noexec"オプションを指定して"/var/log/audit"をマウントする必要があります。 デフォルトで実装済
OL08-00-040160 CAT II - OL 8のすべてのネットワーク・システムでは、送受信した情報および転送準備中の情報の機密性と整合性を守るためにSSHが導入され実装されている必要があります。 デフォルトで実装済
OL08-00-040161 CAT II - OL 8では、サーバーへのSSH接続の場合はセッション・キーの再ネゴシエーションが必ず頻繁に実行されるようにする必要があります。 デフォルトで実装済
OL08-00-040209 CAT II - OL 8では、IPv4インターネット制御通知プロトコル(ICMP)のリダイレクト・メッセージが受け入れられないようにする必要があります。 デフォルトで実装済
OL08-00-040210 CAT II - OL 8では、IPv6インターネット制御通知プロトコル(ICMP)のリダイレクト・メッセージが受け入れられないようにする必要があります。 デフォルトで実装済
OL08-00-040220 CAT II - OL 8では、インターネット制御通知プロトコル(ICMP)のリダイレクトを送信しないでください。 デフォルトで実装済
OL08-00-040230 CAT II - OL 8では、ブロードキャスト・アドレスに送信されたインターネット制御通知プロトコル(ICMP)のエコーに応答しないでください。 デフォルトで実装済
OL08-00-040239 CAT II - OL 8では、IPv4のソースルーティングされたパケットを転送しないでください。 デフォルトで実装済
OL08-00-040240 CAT II - OL 8では、IPv6のソースルーティングされたパケットを転送しないでください。 デフォルトで実装済
OL08-00-040249 CAT II - OL 8では、デフォルトで、IPv4のソースルーティングされたパケットを転送しないでください。 デフォルトで実装済
OL08-00-040250 CAT II - OL 8では、デフォルトで、IPv6のソースルーティングされたパケットを転送しないでください。 デフォルトで実装済
OL08-00-040260 CAT II - OL 8では、システムがルーターでないかぎり、IPv6パケット転送を有効にしないでください。 デフォルトで実装済
OL08-00-040261 CAT II - OL 8では、どのIPv6インタフェースでもルーター通知を受け入れないようにしてください。 デフォルトで実装済
OL08-00-040262 CAT II - OL 8では、デフォルトで、どのIPv6インタフェースでもルーター通知を受け入れないようにしてください。 デフォルトで実装済
OL08-00-040270 CAT II - OL 8では、デフォルトで、インタフェースにインターネット制御通知プロトコル(ICMP)のリダイレクトの実行を許可しないでください。 デフォルトで実装済
OL08-00-040279 CAT II - OL 8では、IPv4インターネット制御通知プロトコル(ICMP)のリダイレクト・メッセージを無視する必要があります。 デフォルトで実装済
OL08-00-040280 CAT II - OL 8では、IPv6インターネット制御通知プロトコル(ICMP)のリダイレクト・メッセージを無視する必要があります。 デフォルトで実装済
OL08-00-040281 CAT II - OL 8では、権限のないプロセスからのネットワーク"bpf"シスコールへのアクセスを無効にする必要があります。 デフォルトで実装済
OL08-00-040283 CAT II - OL 8では、公開されているカーネル・ポインタ・アドレスのアクセスを制限する必要があります。 デフォルトで実装済
OL08-00-040284 CAT II - OL 8では、ユーザー名前空間の使用を無効にする必要があります。 デフォルトで実装済
OL08-00-040285 CAT II - OL 8では、すべてのIPv4インタフェースでリバース・パス・フィルタリングが使用されている必要があります。 デフォルトで実装済
OL08-00-040286 CAT II - OL 8では、Berkeley Packet Filterのジャストインタイム・コンパイラに対してハードニングを有効にする必要があります。 デフォルトで実装済
OL08-00-040290 CAT II - OL 8は、無制限のメール・リレーを防ぐように構成されている必要があります。 デフォルトで実装済
OL08-00-040340 CAT II - OL 8の対話型ユーザー用リモートX接続は、ドキュメントに記載されている検証済のミッション要件を満たすためでなければ、無効にする必要があります。 デフォルトで実装済
OL08-00-040341 CAT II - OL 8のSSHデーモンでは、リモート・ホストがプロキシ表示に接続できないようにする必要があります。 デフォルトで実装済
OL08-00-040350 CAT II - Trivial File Transfer Protocol (TFTP)サーバーが必要な場合は、OL 8のTFTPデーモンが、セキュア・モードで動作するように構成されている必要があります。 デフォルトで実装済
OL08-00-040390 CAT II - OL 8には、操作のサポートに不要な場合は"tuned"パッケージをインストールしないでください。 デフォルトで実装済
OL08-00-010171 CAT III - OL 8に"policycoreutils"パッケージがインストールされている必要があります。 デフォルトで実装済
OL08-00-010292 CAT III - OL 8のSSHサーバーは、強力なエントロピを使用するように構成されている必要があります。 デフォルトで実装済
OL08-00-010375 CAT III - OL 8では、カーネル・メッセージ・バッファへのアクセスが制限されている必要があります。 デフォルトで実装済
OL08-00-010376 CAT III - OL 8では、権限のないユーザーによるカーネル・プロファイリングが防止されている必要があります。 デフォルトで実装済
OL08-00-010390 CAT III - OL 8には、多要素認証に必要なパッケージがインストールされている必要があります。 デフォルトで実装済
OL08-00-010440 CAT III - YUMでは、更新されたバージョンがOL 8にインストールされた後にすべてのソフトウェア・コンポーネントが削除される必要があります。 デフォルトで実装済
OL08-00-010541 CAT III - OL 8では、"/var/log"用に別個のファイル・システムが使用されている必要があります。 デフォルトで実装済
OL08-00-020024 CAT III - OL 8では、すべてのアカウントまたはアカウント・タイプ(あるいはその両方)に対して同時セッションの数を10個までに制限する必要があります。 デフォルトで実装済
OL08-00-020110 CAT III - OL 8では、大文字を1つ以上使用するよう求めることで強制的にパスワードを複雑にする必要があります。 デフォルトで実装済
OL08-00-020120 CAT III - OL 8では、小文字を1つ以上使用するよう求めることで強制的にパスワードを複雑にする必要があります。 デフォルトで実装済
OL08-00-020130 CAT III - OL 8では、数字を1つ以上使用するよう求めることで強制的にパスワードを複雑にする必要があります。 デフォルトで実装済
OL08-00-020170 CAT III - OL 8では、パスワード変更時に、少なくとも8文字を変更するよう求める必要があります。 デフォルトで実装済
OL08-00-020220 CAT III - OL 8は、password-authファイル内で、5世代以上にわたりパスワードの再使用を禁止するように構成されている必要があります。 デフォルトで実装済
OL08-00-020280 CAT III - OL 8のすべてのパスワードには、少なくとも1つの特殊文字が含まれている必要があります。 デフォルトで実装済
OL08-00-030741 CAT III - OL 8では、サーバーとして機能しないようにchronyデーモンを無効にする必要があります。 デフォルトで実装済
OL08-00-030742 CAT III - OL 8では、chronyデーモンのネットワーク管理を無効にする必要があります。 デフォルトで実装済
OL08-00-040024 CAT III - OL 8では、Transparent Inter-Process Communication (TIPC)プロトコルを無効にする必要があります。 デフォルトで実装済
OL08-00-040025 CAT III - OL 8では、cramfsのマウントを無効にする必要があります。 デフォルトで実装済
OL08-00-040026 CAT III - OL 8では、IEEE 1394 (FireWire)のサポートを無効にする必要があります。 デフォルトで実装済