Oracle Exadata Database Service on Cloud@Customerシステムのセキュリティ・ガイド
このガイドでは、Oracle Exadata Database Service on Cloud@Customerシステムのセキュリティについて説明します。 Oracle Exadata Database Service on Cloud@Customerシステムを保護するためのベスト・プラクティスに関する情報が含まれています。
セキュリティ構成およびデフォルトで有効な機能
職責
- お客様がアクセス可能なサービス:
Exadata Cloud@Customerのサブスクリプションの一部として顧客がアクセスできるコンポーネントは、次のとおりです:
- お客様がアクセス可能な仮想マシン(VM)
- お客様がアクセス可能なデータベース・サービス
- Oracle管理インフラストラクチャ:
- 電力配分装置(PDU)
- 帯域外(OOB)管理スイッチ » InfiniBandスイッチ
- Exadata Storage Server
- 物理Exadataデータベース・サーバー
顧客は、VMへのネットワーク・アクセス(顧客VMに実装されているレイヤー2 VLANおよびファイアウォール経由)、VMにアクセスするための認証、VMで実行されているデータベースにアクセスするための認証など、カスタマ・サービスへのアクセスを制御および監視します。 Oracleは、Oracle管理インフラストラクチャ・コンポーネントへのアクセスを制御および監視します。 Oracleスタッフは、顧客のVMやデータベースなどのカスタマ・サービスへのアクセスを許可されていません。
顧客は、ポート1521のOracle Netなどの標準のOracle Database接続メソッドを使用して、顧客設備から顧客VMで実行されているデータベースへのレイヤー2 (タグ付きVLAN)接続を介して、Exadata Cloud@Customerで実行されているOracle Databasesにアクセスします。 顧客は、ポート22上のトークン・ベースのSSHなどの標準のOracle Linuxメソッドを使用して、Oracle Databasesを実行しているVMにアクセスします。
親トピック: セキュリティ構成およびデフォルトで有効な機能
セキュリティ構成のデフォルトに従うガイド・プリンシプル
- 徹底的に守る
Exadata Cloud@Customerには、サービス全体の機密性、整合性およびアカウンタビリティを確保するための多数のコントロールが用意されています。
まず、Exadata Cloud@Customerは、Exadata Database Machineによって提供される強化されたオペレーティング・システム・イメージから構築されます。 詳細は、「Oracle Exadata Database Machineのセキュリティの概要」を参照してください。 これにより、インストール・イメージが必要なソフトウェア・パッケージのみに制限され、不要なサービスが無効になり、システム全体にセキュアな構成パラメータが実装されて、コア・オペレーティング環境が保護されます。
Exadata Cloud@Customerは顧客にシステムをプロビジョニングするため、Exadata Database Machine成熟プラットフォームのすべての強度を継承することに加えて、追加のセキュアなデフォルト構成の選択肢がサービス・インスタンスに実装されます。 たとえば、すべてのデータベース表領域には、透過的データ暗号化(TDE)、初期データベース・ユーザーおよびスーパーユーザーに対する強力なパスワード強制、拡張監査およびイベント・ルールが必要です。
Exadata Cloud@Customerは、完全なデプロイメントとサービスも構成するため、PCI、HIPPA、ISO27001などの業界標準の外部監査の対象となります。 これらの外部監査要件により、ウイルス対策スキャン、システムへの予期しない変更に対する自動アラート、フリート内のすべてのOracle管理インフラストラクチャ・システムに対する日次脆弱性スキャンなど、付加価値サービス機能が強化されます。
- 最小特権
プロセスが必要な権限にのみアクセスできるようにするために、Oracle Secure Coding Standardsでは最小限の権限のパラダイムが必要です。
各プロセスおよびデーモンは、より高いレベルの権限の要件を証明できる場合を除き、通常の非特権ユーザーとして実行する必要があります。 これにより、予期しない問題や、権限のないユーザー領域に対する脆弱性が含まれ、システム全体が危険にさらされることがなくなります。
この原則は、メンテナンスまたはトラブルシューティングのために、個々の指定アカウントを使用してOracle Exadata Cloud@CustomerインフラストラクチャにアクセスするOracle運用チーム・メンバーにも適用されます。 必要な場合にのみ、より高いレベルの権限への監査アクセスを使用して問題を解決または解決します。 ほとんどの問題は自動化によって解決されるため、自動化で問題を解決できない場合を除き、人間のオペレータにシステムへのアクセスを許可しないことで最小の権限を採用しています。
- 監査とアカウンタビリティ
必要に応じてシステムへのアクセスが許可されますが、アカウンタビリティのためにすべてのアクセスおよびアクションが記録および追跡されます。
これにより、Oracleと顧客の両方が、システムで何が行われたか、およびいつ行われたかを把握できます。 これらの事実は、外部監査のレポート作成ニーズに準拠していることを確認するだけでなく、一部の変更をアプリケーションで認識される動作の変更と照合するのにも役立ちます。
すべてのインフラストラクチャ・コンポーネントで監査機能が提供され、すべてのアクションが確実に取得されます。 また、データベースおよびゲストVM構成の監査を構成し、それらを他のエンタープライズ監査システムと統合することもできます。
- クラウド操作の自動化
システムのプロビジョニング、パッチ適用、メンテナンス、トラブルシューティングおよび構成に必要な手動操作を排除することで、エラーの機会が減少し、セキュアな構成が保証されます。
このサービスはセキュアになるように設計されており、すべてのプロビジョニング、構成およびその他のほとんどの操作タスクを自動化することで、構成の欠落を回避し、システムへの必要なすべてのパスを厳密に閉じることができます。
セキュリティ機能
- オペレーティング・システム・イメージの強化
- 最小パッケージ・インストール:
効率的なシステムを実行するために必要なパッケージのみがインストールされます。 インストールするパッケージのセットを小さくすると、オペレーティング・システムの攻撃対象領域が減少し、システムの安全性が向上します。
- セキュアな構成:
多くのデフォルト以外の構成パラメータは、システムおよびそのコンテンツのセキュリティ状態を強化するためにインストール時に設定されます。 たとえば、SSHは特定のネットワーク・インタフェースでのみ待機するように構成され、sendmailはlocalhost接続のみを受け入れるように構成され、その他の多くの同様の制限がインストール時に実装されます。
- 必要なサービスのみを実行します:
システムにインストールされているが、通常の操作には必要ないサービスは、デフォルトで無効になっています。 たとえば、NFSは様々なアプリケーションの目的で顧客が頻繁に構成するサービスですが、通常のデータベース操作には必要ないため、デフォルトでは無効になっています。 お客様は、必要に応じて要件に応じてサービスを構成することもできます。
- 最小パッケージ・インストール:
- 最小化された攻撃面
強化されたイメージの一部として、サービスを無効にすることで攻撃対象領域が減少します。
- 追加のセキュリティ機能の有効化(grubパスワード、セキュア・ブート)
- Exadata Cloud@Customerは、Exadataイメージ機能を利用して、grubパスワードやセキュア・ブートなどのベース・イメージに統合された機能を他の多くの機能に加えて利用します。
- カスタマイズにより、お客様は、この章の後半で説明する追加の構成を使用して、セキュリティ状況をさらに強化することを希望する場合があります。
- セキュア・アクセス・メソッド
- 強力な暗号を使用したSSHを介したデータベース・サーバーへのアクセス。 弱い暗号はデフォルトで無効になっています。
- 暗号化されたOracle Net接続を介したデータベースへのアクセス。 デフォルトでは、サービスは暗号化されたチャネルを使用して使用でき、デフォルトで構成されているOracle Netクライアントは暗号化されたセッションを使用します。
- Exadata MS webインタフェース(https)を介した診断へのアクセス。
- 監査およびロギング
デフォルトでは、監査は管理操作に対して有効になっており、これらの監査レコードは、必要に応じて自動的に確認およびアラートを行うためにOCI内部システムに通信されます。
- デプロイメント時の考慮事項
- ウォレット・ファイルのダウンロードの内容と機密性: デプロイメントを可能にするために顧客が取得したウォレット・ファイルのダウンロードには機密情報が含まれているため、内容が保護されるように適切に処理する必要があります。 ウォレット・ファイルのダウンロードの内容は、デプロイメントの完了後は必要ないため、情報漏洩が発生しないように破棄する必要があります。
- コントロール・プレーン・サーバー(CPS):
- CPSのデプロイメント要件には、CPSがOracleに接続してリモート管理、モニタリングおよびメンテナンスを可能にするためのアウトバウンドHTTPSアクセスの許可が含まれます。 詳細は、「デプロイメント・ガイド」を参照してください。
- 顧客の責任には、データ・センター内のExadata Cloud@Customer機器への物理的なセキュリティの提供が含まれます。 Exadata Cloud@Customerは多くのソフトウェア・セキュリティ機能を採用していますが、サーバーの内容の安全性を確保するために、顧客の物理セキュリティによって物理サーバーの侵害に対処する必要があります。
親トピック: セキュリティ構成およびデフォルトで有効な機能
ゲストVMのデフォルト固定ユーザー
いくつかのユーザー・アカウントは、Oracle Exadata Cloud@Customerのコンポーネントを定期的に管理します。 すべてのExadata Cloud@Customerマシンで、OracleはSSHベースのログインのみを使用して推奨します。 Oracleユーザーまたはプロセスは、パスワード・ベースの認証システムを使用しません。
次に、デフォルトで作成される様々な種類のユーザーについて説明します。
- デフォルト・ユーザー: ログオン権限なし
このユーザー・リストは、デフォルトのオペレーティング・システム・ユーザーと、
exawatchやdbmsvcなどの特殊なユーザーで構成されています。 これらのユーザーは変更しないでください。 これらのユーザーは、すべて/bin/falseに設定されているため、システムにログインできません。exawatch:exawatchユーザーは、データベース・サーバーとストレージ・サーバーの両方でシステム統計を収集およびアーカイブします。dbmsvc:ユーザーは、Oracle Exadata Systemのデータベース・ノード・サービスの「管理サーバー」に使用されます。
NOLOGINユーザーbin:x:1:1:bin:/bin:/bin/false daemon:x:2:2:daemon:/sbin:/bin/false adm:x:3:4:adm:/dev/null:/bin/false mail:x:8:12:mail:/var/spool/mail:/bin/false nobody:x:99:99:Nobody:/:/bin/false systemd-network:x:192:192:systemd Network Management:/:/bin/false dbus:x:81:81:System message bus:/:/bin/false rpm:x:37:37::/var/lib/rpm:/bin/false sshd:x:74:74:Privilege-separated SSH:/var/empty/sshd:/bin/false rpc:x:32:32:Rpcbind Daemon:/var/lib/rpcbind:/bin/false nscd:x:28:28:NSCD Daemon:/:/bin/false saslauth:x:999:76:Saslauthd user:/run/saslauthd:/bin/false mailnull:x:47:47::/var/spool/mqueue:/bin/false smmsp:x:51:51::/var/spool/mqueue:/bin/false chrony:x:998:997::/var/lib/chrony:/bin/false rpcuser:x:29:29:RPC Service User:/var/lib/nfs:/bin/false uucp:x:10:14:Uucp user:/var/spool/uucp:/bin/false nslcd:x:65:55:LDAP Client User:/:/bin/false tcpdump:x:72:72::/:/bin/false exawatch:x:1010:510::/:/bin/false sssd:x:997:508:User for sssd:/:/bin/false tss:x:59:59:Account used by the trousers package to sandbox the tcsd daemon:/dev/null:/bin/false dbmsvc:x:12137:11137::/home/dbmsvc:/bin/false - シェル・アクセスが制限されたデフォルト・ユーザー
これらのユーザーは、制限付きのシェル・ログインを使用して定義されたタスクを実行するために使用されます。 これらのユーザーは、変更または削除されると定義済タスクが失敗するため、変更しないでください。
dbmmonitor:dbmmonitorユーザーはDBMCLIユーティリティに使用されます。 詳細は、「DBMCLIユーティリティの使用」を参照してください。制限付きシェル・ユーザーdbmmonitor:x:2003:2003::/home/dbmmonitor:/bin/rbash - ログイン権限を持つデフォルト・ユーザー
これらの特権ユーザーは、システム内のほとんどのタスクを実行するために使用されます。 これらのユーザーは、実行中のシステムに重大な影響を与える可能性があるため、変更または削除しないでください。
SSHキーは、カスタマ・スタッフによるログインおよびクラウドの自動化に使用されます。
顧客が追加したSSHキーは、
UpdateVmClusterメソッド、または顧客のVMに直接アクセスして顧客VM内のSSHキーを管理することによって追加できます。 お客様は、キーを識別できるようにコメントを追加する必要があります。UpdateVmClusterメソッドでSSHキーを追加した場合、キーはopcユーザーのauthorized_keysファイルにのみ追加されます。クラウド自動化キーは、VMクラスタ・メモリーのサイズ変更や一意などの特定のクラウド自動化タスクに固有の一時的なものです。 クラウド自動化アクセス・キーは、次のコメントで識別できます:
OEDA_PUB,EXACLOUD_KEY,ControlPlane。 クラウド自動化キーは、クラウドの自動化タスクが完了した後に削除されるため、root,opc,oracleのauthorized_keysファイルとgridアカウントのauthorized_keysファイルには、クラウド自動化アクションの実行中にクラウド自動化キーのみを含める必要があります。特権ユーザーroot:x:0:0:root:/root:/bin/bash oracle:x:1001:1001::/home/oracle:/bin/bash grid:x:1000:1001::/home/grid:/bin/bash opc:x:2000:2000::/home/opc:/bin/bash dbmadmin:x:2002:2002::/home/dbmadmin:/bin/bashroot: Linuxの要件。ローカルの特権付きコマンドを実行するために慎重に使用されます。rootは、Oracle Trace File Analyzer AgentやExaWatcherなどの一部のプロセスにも使用されます。grid: Oracle Grid Infrastructureソフトウェア・インストールを所有し、グリッド・インフラストラクチャ・プロセスを実行します。oracle: Oracleデータベース・ソフトウェアのインストールを所有し、Oracle Databaseプロセスを実行します。opc:- Oracle Cloud自動化で自動化タスクに使用されます。
- (自動化機能をサポートするために)追加の認証なしで特定の特権付きコマンドを実行する機能があります。
- Oracle DatabaseおよびOracle Grid Infastructureソフトウェアのライフサイクル操作(パッチ適用、データベースの作成など)を実行するローカル・エージェント(DCSエージェントとも呼ばれる)を実行します。
dbmadmin:dbmadminユーザーは、Oracle Exadata Database Machineコマンドライン・インタフェース(DBMCLI)ユーティリティに使用されます。- データベース・サーバーですべてのサービスを実行するには、
dbmadminユーザーを使用する必要があります。 詳細は、「DBMCLIユーティリティの使用」を参照してください。
関連トピック
親トピック: セキュリティ構成およびデフォルトで有効な機能
ゲストVMのデフォルトのセキュリティ設定
「Oracle Exadata Database Machineのセキュリティ機能」で説明されているすべてのExadata機能に加えて、次のセキュリティ設定も適用されます。
- デフォルト以外のパラメータを使用したカスタム・データベース・デプロイメント。
コマンド
host_access_controlは、Exadataのセキュリティ設定を構成します:- パスワードのエージングおよび複雑性ポリシーを実装します。
- アカウントのロックアウトおよびセッション・タイムアウト・ポリシーを定義します。
- リモートのrootアクセスを制限します。
- 特定のアカウントへのネットワーク・アクセスを制限します。
- ログイン警告バナーの実装。
account-disable: 特定の構成済条件が満たされた場合にユーザー・アカウントを無効にします。pam-auth: パスワード変更およびパスワード認証のためのさまざまなPAM設定。rootssh:/etc/ssh/sshd_configのPermitRootLogin値を調整します。これにより、rootユーザーがSSHを介してログインすることを許可または拒否します。- デフォルトでは、
PermitRootLoginはパスワードなしに設定されます。 - この設定のままにして、このアクセス・パスを使用するクラウド自動化のサブセット(たとえば、顧客のVM OSパッチ適用)を機能させることをお薦めします。
PermitRootLoginをnoに設定すると、クラウド自動化機能のサブセットが無効になります。
- デフォルトでは、
session-limit: すべてのユーザーの最大ログイン数である/etc/security/limits.confの* hard maxloginsパラメータを設定します。 この制限は、uid=0を持つユーザーには適用されません。デフォルトは
* hard maxlogins 10で、推奨されるセキュアな値です。ssh-macs: 使用可能なメッセージ認証コード(MAC)アルゴリズムを指定します。- MACアルゴリズムは、プロトコル・バージョン2でデータ整合性保護のために使用されます。
- サーバーとクライアントの両方について、デフォルトで
hmac-sha1,hmac-sha2-256,hmac-sha2-512に設定されます。 - 推奨値の保護: サーバーとクライアントの両方の
hmac-sha2-256、hmac-sha2-512。
password-aging: 対話型ユーザー・アカウントの現在のパスワード・エージングを設定または表示します。-M: パスワードを使用できる最大日数。-m: パスワード変更の間隔として許容される最小日数。-W: パスワードの有効期限が切れるまでの警告日数。- デフォルトは
-M 99999,-m 0,-W 7です --strict_compliance_only-M 60,-m 1,-W 7- 推奨値の保護:
-M 60,-m 1,-W 7
ゲストVMのデフォルト・プロセス
- Exadata Cloud@CustomerゲストVMエージェント: データベース・ライフサイクル操作を処理するためのクラウド・エージェント
opcユーザーとして実行します。- プロセス表は、
jar名、dbcs-agent-VersionNumber-SNAPSHOT.jarおよびdbcs-admin-VersionNumver-SNAPSHOT.jarを持つJavaプロセスとして実行されていることを示しています。
- Oracle Trace File Analyzerエージェント: Oracle Trace File Analyzer (TFA)には、単一のバンドル内に多数の診断ツールが用意されているため、Oracle DatabaseおよびOracle Clusterwareに関する診断情報を簡単に収集でき、Oracle Supportを扱う際の問題解決に役立ちます。
rootユーザーとして実行します。initdのデモ、/etc/init.d/init.tfaとして実行します。- プロセス表は、Javaアプリケーションである
oracle.rat.tfa.TFAMainを示しています。
-
ExaWatcher:rootおよびexawatchユーザーとして実行されます。- バックグラウンド・スクリプトとして実行され、
ExaWatcher.shとそのすべての子プロセスはPerlプロセスとして実行されます。 - プロセス表は複数のPerlアプリケーションとして表示されます。
- Oracle DatabaseおよびOracle Grid Infrastructure (Oracle Clusterware):
dbmsvcおよびgridユーザーとして実行されます。- プロセス表には、次のアプリケーションが表示されます:
gridユーザーとしてのoraagent.bin、apx_*およびams_*。oracleユーザーとしてのdbrsMainおよびJavaアプリケーション、derbyclient.jarおよびweblogic.Server。
- 管理サーバー(MS): イメージ機能を管理およびモニタリングするためのExadataイメージ・ソフトウェアの一部。
dbmadminユーザーとして実行します。- プロセス表は、Javaプロセスとして実行されていることを示しています。
親トピック: セキュリティ構成およびデフォルトで有効な機能
ゲストVMネットワーク・セキュリティ
表7-31 ゲストVMサービスのデフォルト・ポート・マトリックス
| インタフェースのタイプ | インタフェースの名前 | ポート | 実行プロセス |
|---|---|---|---|
|
クライアントVLAN上のブリッジ |
|
22 |
sshd |
|
1521 オプションで、1024から8999までの範囲でSCANリスナー・ポート(TCP/IP)を割り当てることができます。 デフォルトは1521です。 |
Oracle TNSリスナー |
||
|
5000 |
Oracleトレース・ファイル・アナライザ・コレクタ |
||
|
7879 |
Jetty管理サーバー |
||
|
|
1521 オプションで、1024から8999までの範囲でSCANリスナー・ポート(TCP/IP)を割り当てることができます。 デフォルトは1521です。 |
Oracle TNSリスナー |
|
|
|
1521 オプションで、1024から8999までの範囲でSCANリスナー・ポート(TCP/IP)を割り当てることができます。 デフォルトは1521です。 |
Oracle TNSリスナー |
|
|
バックアップVLAN上のブリッジ |
|
7879 |
Jetty管理サーバー |
|
各クラスタ・ノードで実行されているOracle Clusterwareは、これらのインタフェースを介して通信します。 |
|
1525 |
Oracle TNSリスナー |
|
3260 |
シノニムDSM iSCSI |
||
|
5054 |
Oracle Gridプロセス間通信 |
||
|
7879 |
Jetty管理サーバー |
||
|
動的ポート: 9000-65500 ポートは、オペレーティング・システムで構成された一時的な範囲によって制御され、動的です。 |
システム・モニター・サービス(osysmond) |
||
|
動的ポート: 9000-65500 ポートは、オペレーティング・システムで構成された一時的な範囲によって制御され、動的です。 |
クラスタ・ロガー・サービス(ologgerd) |
||
|
|
5054 |
Oracle Gridプロセス間通信 |
|
|
7879 |
Jetty管理サーバー |
||
|
クラスタ・ノードは、これらのインタフェースを使用してストレージ・セル(ASMディスク)にアクセスします。 ただし、ストレージ・インタフェースにアタッチされたIP/ポート7060/7070を使用して、コントロール・プレーン・サーバーからDBCSエージェントにアクセスします。 |
|
7060 |
dbcs-admin |
|
7070 |
dbcs-agent |
||
|
|
7060 |
dbcs-admin |
|
|
7070 |
dbcs-agent |
||
|
コントロール・プレーン・サーバーをdomUに |
|
22 |
sshd |
|
ループバック |
|
22 |
sshd |
|
2016 |
Oracle Grid Infrastructure |
||
|
6100 |
Oracle Notification Service (ONS)、Oracle Grid Infrastructureの一部 |
||
|
7879 |
Jetty管理サーバー |
||
|
動的ポート9000-65500 |
Oracle Trace File Analyzer |
ノート:
TNSリスナーは、既知のポート(1521、1525)への初期接続後に動的ポートをオープンします。
ゲストVMのデフォルトのiptablesルール:
#iptables -L -n -v
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination親トピック: セキュリティ構成およびデフォルトで有効な機能
セキュリティ状況を更新するための追加手順
お客様の責任
表7-32 職責
| Oracle Cloud Platform | 顧客/テナント・インスタンス | |||
|---|---|---|---|---|
|
監視 |
Oracle Cloud操作 |
顧客 |
Oracle Cloud操作 |
顧客 |
|
インフラストラクチャ、コントロール・プレーン、ハードウェア障害、可用性、容量 |
Oracleインフラストラクチャのログ収集およびモニタリングをサポートするネットワーク・アクセスを提供 |
カスタマ・サービスのモニタリングをサポートするインフラストラクチャの可用性 |
顧客のオペレーティング・システム、データベース、アプリのモニタリング |
|
|
インシデントの管理と解決 |
インシデントの管理と修正 スペア部品およびフィールド・ディスパッチ |
ネットワーク・トラブルシューティングなどのオン・サイト診断支援 |
基礎となるプラットフォームに関連するインシデントのサポート |
お客様のアプリケーションのインシデント管理と解決 |
|
パッチの管理 |
ハードウェアのプロアクティブなパッチ適用、IaaS/PaaS制御スタック |
パッチ配信をサポートするためのネットワーク・アクセスの提供 |
使用可能なパッチ(Oracle Databaseパッチ・セットなど)のステージング |
テナント・インスタンスのパッチ適用 テスト |
|
バックアップおよびリストア |
インフラストラクチャとコントロール・プレーンのバックアップ/リカバリ、お客様のVMの受信 |
クラウド自動化配信をサポートするためのネットワーク・アクセスを提供 |
お客様がアクセス可能な実行中のVMを提供 |
Oracleのネイティブまたはサードパーティ機能を使用した、顧客のIaaSおよびPaaSデータのスナップショット / バックアップおよびリカバリ |
|
クラウドのサポート |
インフラストラクチャまたはサブスクリプションの問題に関連するSRのレスポンスと解決 |
MOSを介したSRの発行 | SRのレスポンスおよび解決 | サポート・ポータルを介したSRの送信 |
親トピック: セキュリティ状況を更新するための追加手順
追加のセキュリティ機能の有効化
Exadata Cloud@Customerでのデータベースの外部TDEキー・ストアとしてのOracle Key Vaultの使用
Oracleは、Exadata Cloud@Customerで実行されているデータベースの外部キー・ストアとしてOracle Key Vault (OKV)を使用しているお客様をサポートします。 TDEマスター・キーをOKVに移行する手順については、My Oracle Supportドキュメント2823650.1 (「Cloud at Customer Gen2でのExadata Databaseサービスのファイル・ベースのTDEのOKVへの移行」)で公開されています。 Oracleでは、Exadata Cloud@Customerでサードパーティのハードウェア・セキュリティ・モジュール(HSM)はサポートされていません。
host_access_controlを使用したパスワードの複雑度要件の変更
表7-33 host_access_control password-aging
| オプション | 説明 |
|---|---|
|
|
現在のユーザー・パスワード・エージングを表示します。 |
|
|
有効な対話型ユーザーのユーザー名。 |
|
|
すべての対話型ユーザーに対して、すべてのパスワード・エイジング値を*Exadataファクトリのデフォルトに設定します。 |
|
|
すべての対話型ユーザーのすべてのパスワード・エイジング値を**Exadataセキュア・デフォルトに設定します。 |
|
|
すべての対話型ユーザーのpassword-policyコマンド(または |
|
|
パスワードを使用できる最大日数。 入力できるのは1から99999までです。 |
|
|
パスワード変更の間隔として許容される最小日数。 入力は0から99999までの範囲で、いつでも0に制限されます。 |
|
|
パスワードの有効期限が切れるまでの警告日数。 0から99999までの値を入力できます。 |
|
|
|
表7-34 host_access_control pam-auth
| オプション | 説明 |
|---|---|
|
|
このヘルプ・メッセージを表示して終了します。 |
|
|
アカウントがロックされるまでのログイン試行の失敗回数。 入力は1~ 10に制限されます。(*Exadataの出荷時のデフォルトは5です) |
|
|
単一のログイン試行が失敗したためにアカウントがロックされる秒数(整数)。 入力は0から31557600 (1年)に制限されています(*Exadataのファクトリ出荷時のデフォルトは600 (10m)) |
|
|
OL7未満で実行されているシステムの場合 5つの値のカンマ区切りセット: N0、N1、N2、N3、N4は、様々なタイプのパスワード/パスフレーズに許可される最小長を定義します。 後続の各数値は、前述の数値以下である必要があります。 キーワード"disabled"を使用すると、長さに関係なく、特定の種類のパスワードを禁止できます。 (詳細は、pam_passwdqcのマニュアル・ページを参照してください)。 パスワードには3つの文字クラスを使用する必要があります。 パスワードの文字クラスとは、桁、小文字の文字、大文字の文字、その他の文字です。 3つの文字クラスを使用する場合の、最小パスワード長は12文字です。 4文字のクラスを使用する場合、パスワードの最小長は8文字です。(*Exadataの出荷時のデフォルトは5,5,5,5) (**Exadataのセキュア・デフォルトはdisabled,disabled,16,12,8) |
|
|
OL7以上で実行されているシステム 6から40の範囲の整数で、Exadataセキュア・デフォルトで定義されている最小許容パスワード長を定義します。 パスワードの変更や、長さが7を超えるその他のチェックには、すべてのクラスが必要です。 長さが8未満の場合、クラス要件は使用されません。 (*Exadataの出荷時のデフォルトは次のとおりです: minlen=8 dcredit=-1 ucredit=-1 lcredit=-1 ocredit=-1 difok=8 maxrepeat=3 maxclassrepeat=4) (**Exadataセキュア・デフォルトは次のとおりです: minlen=15 dcredit=-1 ucredit=-1 lcredit=-1 ocredit=-1 difok=8 maxrepeat=3 maxclassrepeat=4) (詳細は、pam_pwqualityのマニュアル・ページを参照してください) |
|
|
パスワード変更履歴用に記憶する最後のnパスワード。 有効な範囲は0から1000までの整数です。 (*Exadataの出荷時のデフォルトは10です) |
|
|
すべてのpam-auth値を*Exadataファクトリのデフォルトに設定します。 |
|
|
すべてのpam-auth値を**Exadataセキュア・デフォルトに設定します。 |
|
|
現在のPAM認証設定を表示します。 |
ゲストVMでのiptablesファイアウォール構成の実装または更新
iptablesの構成およびファイアウォール・ルールは、/etc/sysconfig/iptablesに格納されます。
man iptables : iptablesヘルプを取得します。 オンラインのさまざまなwebサイトにも多数のチュートリアルがあります。
iptables --list : 現在のiptablesルールを取得します。
ゲストVMで必要になる可能性のあるポートの詳細は、前述の項「ゲストVMのネットワーク・セキュリティ」を参照してください。 ファイアウォールを手動で構成するには、次の例のようなコマンドを作成します。 接続するポートをブロックすることでシステムからロック・アウトできるため、可能な場合はテスト・システムを参照して経験豊富なiptables管理者に連絡することをお薦めします。
- コマンド・プロンプトで、開くポートごとに適切なコマンドを入力します。たとえば:
# iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 7002 -j ACCEPT # iptables -A INPUT -m state --state NEW -m udp -p udp --dport 123 -j ACCEPT - iptables構成を保存します。
# service iptables save
パスワードの変更および認可されたキーの更新
ユーザー・パスワードを変更するには、passwordコマンドを使用します。 パスワードは、有効期限の7日前に変更する必要があります。 パスワード・ポリシーについては、前述のデフォルトのセキュリティ設定の項で説明しています。
デフォルトのOracle Exadataユーザーおよびパスワード - My Oracle Supportノートhttps://support.oracle.com/epmos/faces/DocContentDisplay?id=1291766.1を参照してください。 そのノートに含まれていないその他のアカウントを次に示します。
表7-35 ユーザー・アカウント
| ユーザー名とパスワード | ユーザー・タイプ | コンポーネント |
|---|---|---|
|
|
オペレーティング・システムのユーザー | Oracle Exadataデータベース・サーバー |
exawatch (release 19.1.0 and later) - no logon privileges
|
オペレーティング・システムのユーザー |
Oracle Exadataデータベース・サーバー Oracle Exadata Storage Server |
SYS/We1come$ |
Oracle Databaseユーザー | Oracle Exadataデータベース・サーバー |
SYSTEM/We1come$ |
Oracle Databaseユーザー | Oracle Exadataデータベース・サーバー |
|
管理サーバー(MS)はこのアカウントを使用して、ILOMを管理し、ハングを検知した場合、これをリセットします。
このアカウントは変更しないでください。 このアカウントは使用できるのはMSのみです。 |
ILOMユーザー |
データベース・サーバーILOM Oracle Exadata Storage Server ILOMs |
クラウド自動化のサービス関連ログインに影響する可能性のあるアクションに注意してください
たとえば、手順には、クラウド自動化アクションに使用される認可キーが変更されないようにすることが含まれます。
Oracle Cloud Automationのガイドラインを含む物理ネットワーク・アクセス制御の詳細は、「Oracle Gen2 Exadata Cloud@Customerのセキュリティ制御」を参照してください。
顧客VMへのOracle Cloud Automationアクセスは、トークン・ベースのSSHを介して制御されます。 Oracle Cloud Automationアクセスの公開キーは、顧客VMのoracle、opcおよびrootユーザーの認可されたキー・ファイルに格納されます。 自動化で使用される秘密キーは、顧客のデータ・センターのExadata Cloud@Customerハードウェアで実行されているOracle Cloud Automationソフトウェアによって格納および保護されます。 顧客のOCI Identity and Access Management (IAM)は、顧客のVMおよびデータベースに対してOracle Cloud Automation機能を実行するかどうか、およびその方法を制御します。 顧客は、ネットワーク・アクセス(ファイアウォール・ルール、ネットワーク・インタフェースの無効化)をブロックし、Oracle Cloud Automationで使用される資格証明を取り消す(認可されたキー・ファイルから公開キーを削除する)ことで、管理ネットワークおよびOracle Cloud Automationキーを介したアクセスをさらに制御できます。 Oracle Cloud Automation Accessは、カスタマVMおよびカスタマ・データベースへのアクセスに必要な機能(カスタマVMオペレーティング・システムへのパッチ適用など)のサブセットを許可するために、一時的にリストアできます。 Oracle Cloud Automationは、OCPUスケーリングを実行するために顧客VMへのネットワーク・アクセスを必要としません。OCPUスケーリング機能は、顧客が顧客VMへのOracle Cloud Automationネットワーク・アクセスをブロックすると正常に機能します。
データベース・リスナー(Oracle Net)接続の暗号化チャネルの構成
詳細は、「Oracle Databaseのネイティブ・ネットワーク暗号化およびデータ整合性の構成」を参照してください。