1. セキュリティ・ガイド
  2. Oracle Database Applianceのセキュリティ機能
機械翻訳について

2 Oracle Database Applianceのセキュリティ機能

Oracle Database Applianceは、ハードウェアおよびソフトウェア強化プロセスを使用してシステムを保護し、レイヤー化されたセキュリティ戦略のデプロイを支援します。

内容は次のとおりです。

Oracle Database Applianceセキュリティ機能について

Oracle Database Applianceのコア・コンポーネントには、強化構成とセキュリティ機能があります。

組織は、レイヤー化されたセキュリティ戦略の一環として、Oracle Database Applianceのセキュリティ機能を使用できます。

強化構成

Oracle Database Applianceは、次のような強化手順をお薦めします。

  • インストールするパッケージを最小限に整理して、不要なパッケージをサーバーにインストールしないでください。

  • Oracle Database Applianceノードでは、必要なサービスのみを有効にします。

  • オペレーティング・システムのユーザーを監査します。

  • NTP、SSHおよび他のサービス用に構成を保護します。

セキュリティ機能

Oracle Database Applianceアーキテクチャは、コア・コンポーネントのためのセキュリティ機能を提供します。 この機能は、次のカテゴリにグループ化されます。

  • 分離ポリシー

  • データへのアクセスの制御

  • 暗号化サービス

  • 監視および監査

  • Oracle Integrated Lights Out Manager (ILOM)

親トピック: Oracle Database Applianceのセキュリティ機能

分離ポリシーの使用

分離ポリシーは、マルチテナント・サービスをよりセキュアにします。

組織がITインフラストラクチャの統合、共有サービス・アーキテクチャの実装およびセキュアなマルチテナント・サービスの実施を求める場合は、サービス、ユーザー、データ、通信およびストレージを分離する必要があります。 Oracle Database Applianceは、ニーズに基づいて分離ポリシーと分離戦略を実装できる柔軟性を組織に提供します。

内容は次のとおりです。

親トピック: Oracle Database Applianceのセキュリティ機能

ネットワーク・トラフィックの分離

Oracle Database Applianceは、物理ネットワーク・レベルで、クライアント・アクセスをデバイス管理とデバイス間通信から分離します。

Oracle Database Applianceは、クライアントと管理ネットワークのトラフィックを別々のネットワークに分離します。 クライアントは冗長な10Gbpsイーサネット・ネットワークを介してサービスにアクセスするので、システム上で実行されるサービスへの信頼性のある高速アクセスが確保されます。 クラスタ管理アクセスは、物理的に分離された1Gbpsイーサネット・ネットワークを介して提供されます。 物理的に分離されたネットワークを提供することにより、業務用と管理用のネットワーク・トラフィックを確実に分離します。

組織は、仮想LAN (VLAN)を構成することで、クライアント・アクセスのイーサネット・ネットワーク上のトラフィックをさらに分離することも選択できます。 VLANは、組織の要件に基づいてネットワーク・トラフィックを分離します。 VLAN上では暗号化プロトコルを使用して、通信の機密性と整合性を保証することをお薦めします。

親トピック: 分離ポリシーの使用

データベースの分離

Oracle Database Applianceでは、すべてのOracle Databaseセキュリティ・オプションを利用できます。

組織がより細分化したデータベース分離を必要とする場合は、Oracle Database Vault、Oracle Virtual Private Database、Oracle Label Securityなどのソフトウェアを使用できます。 物理的に分離する最良の方法の1つは、1つの環境を丸ごと単一のアプリケーションまたはデータベース専用にすることです。 ただし、サーバーを1つのアプリケーションまたはデータベース専用にすると、コストがかかります。 よりコスト効率の高い分離戦略では、同じオペレーティング・システム・イメージ内で複数のデータベースを使用します。 ユーザー、グループおよびリソース制御の専用の資格証明など、データベースおよびオペレーティング・システム・レベルの制御を組み合せることで、複数のデータベースを分離できます。

Oracle Database Vaultには、単一データベース内で論理レルムを使用して分離させるための必須のアクセス制御モデルが含まれています。 論理レルムは、アプリケーション・データへの一時的アクセスから管理アカウントをブロックすることで、既存のアプリケーション表の周囲に保護境界を形成します。 Oracle Database Vaultのコマンド・ルールは、データベースおよびアプリケーション・データにだれが、いつ、どこで、どのようにアクセスするかを制限する、ポリシーベースの制御を可能にします。 これによって、アプリケーション・データへの信頼できるパスが作成されます。 Oracle Database Vaultは、時間、ソースIPアドレスおよびその他の条件に基づいてアクセスを制限するためにも採用できます。

Oracle Virtual Private Databaseは、データベース表およびビューへのファイングレイン・アクセスを強制するポリシーの作成を可能にします。 Oracle Virtual Private Databaseでは、ポリシーはデータベース・オブジェクトに関連付けられて、データベースへのアクセス方法によらず自動的に適用されるため、セキュリティの移植性が実現されます。 Oracle Virtual Private Databaseは、データベース内の細分化した分離に使用できます。

Oracle Label Securityはデータを分類し、分類に基づいてそのデータへのアクセスを仲介します。 組織は、ニーズに最適な分類戦略(階層、非結合など)を定義できます。 この機能によって、様々な分類レベルで保存された情報を、単一の表領域内で行レベルで分離できるようになります。

親トピック: 分離ポリシーの使用

データへのアクセスの制御

データ、ワークロード、インフラストラクチャへのアクセスを制御することで、セキュリティを高めます。

アプリケーション・データ、ワークロードおよびその実行の基礎となるインフラストラクチャを保護するため、Oracle Database Applianceは、包括的かつ柔軟性のあるアクセス制御機能を、ユーザーと管理者の両方に提供します。 この制御機能には、ネットワーク・アクセスとデータベース・アクセスが含まれます。

内容は次のとおりです。

親トピック: Oracle Database Applianceのセキュリティ機能

ネットワーク・アクセスの制御

ネットワーク・アクセスを構成して、ファイングレイン制御をします。

ファイングレイン・アクセス制御ポリシーは、単純なネットワークレベルの分離を超えて、デバイス・レベルで導入できます。 Oracle Database Applianceのすべてのコンポーネントには、ネットワーク分離などのアーキテクチャを利用した方法で、またはパケット・フィルタリングとアクセス制御リストを使用してコンポーネントおよびサービスへの入出力とそれらの間の通信を制御することで、サービスへのネットワーク・アクセスを制限する機能が組み込まれています。

親トピック: データへのアクセスの制御

データベース・アクセスの制御

役割を割り当てられたオペレーティング・システム・ユーザーおよびグループ・システム権限を使用するデータベース・アーキテクチャの各レイヤーにおいて職務を分離させ、共謀行為や不注意によるエラーのリスクを低減するのに役立ちます。

たとえば、別々のオペレーティング・システム・ユーザー・アカウントを使用し、別々の物理グループを指名してOracle Database権限およびOracle Automatic Storage Management (Oracle ASM)システム権限を付与し、データベース管理者とストレージ管理者のロールを確実に分離します。 Oracle Database内では、ユーザーに特定の権限およびロールを割り当てることで、そのユーザーがアクセスを認可されたデータ・オブジェクトのみにアクセスすることを保証できます。 明示的に許可された場合を除き、データは共有できないようにします。

Oracle Databaseで使用可能なパスワード・ベースの認証に加えて、Oracle Advanced Securityでは、公開キー資格証明、RADIUSまたはKerberosインフラストラクチャを使用して強力な認証を実装できます。 Oracle Enterprise User Securityを使用すると、認証および認可のためにデータベースを既存のLDAPリポジトリに統合できます。 これらの機能によって、データベースに接続するユーザーのIDをより強力に保証できます。

管理ユーザーおよび特権ユーザーのアクセスを管理し、アプリケーション・データにアクセスする方法、時間および場所を制御するために、Oracle Database Vaultを使用できます。 Oracle Database Vaultは、盗難にあったログイン資格証明の不正使用、アプリケーション・バイパス、アプリケーションおよびデータの未許可の変更(アプリケーション・データのコピー作成を含む)に対する保護を提供します。 Oracle Database Vaultは、ほとんどのアプリケーションと日常業務に対して透過的です。 マルチファクタの認可ポリシーをサポートして、ビジネス処理を中断させることなく、ポリシーのセキュアな強制を可能にします。

Oracle Database Vaultは職務の分離を強制して、アカウント管理、セキュリティ管理、リソース管理およびその他の機能が、権限を付与されたユーザーにのみ許可されるようにします。

親トピック: データへのアクセスの制御

SUDOを使用した権限とセキュリティの管理について

SUDOポリシーは、システム監査とオペレーティング・システム上のスーパーユーザー(ルート)権限用のアクセス管理を行う上で役立ちます。 これらの例を参考に、SUDOポリシーを実装します。

Oracle Appliance Managerコマンドライン・ユーティリティでは、ほとんどの管理アクションにrootシステム権限が必要です。 rootとしてログインしていない場合は、アプライアンスでほとんどのアクションを実行できません。 たとえば、rootとしてログインしていない場合は、ストレージの情報を確認できますが、ストレージを変更できません。

管理ユーザーにroot権限を付与するには、suのかわりにSUDOを使用してください。 SUDOを使用すると、システム管理者は、suとは異なり、rootパスワードを必要とせずにrootとしてコマンドを実行する権限を特定のユーザー(またはユーザー・グループ)に付与できます。 また、セキュリティおよびコンプライアンス・プロトコルの一環として、すべてのコマンドおよび引数がログに記録されます。

SUDOセキュリティ・ポリシーを構成するには、ファイル/etc/sudoersを使用します。 sudoersファイルの中でユーザー・グループやコマンド・セットを構成すると、SUDOコマンドを使用したサーバーの管理を簡素化して監査できます。

親トピック: データへのアクセスの制御

DCSスタックのSUDOセキュリティ・ポリシーの構成

DCSスタック(odacli)を使用するOracle Database ApplianceモデルにSUDOポリシーを実装するには、次の例を参考に使用してください。

SUDOポリシーは、システム監査とオペレーティング・システム上のスーパーユーザー(ルート)権限用のアクセス管理を行う上で役立ちます。

注意:

ユーザーが任意の操作を実行できるようにSUDOを構成することは、そのユーザーにroot権限を与えることに相当します。 これがセキュリティのニーズに適しているかどうかを慎重に検討してください。

例2-1 SUDOの例1: ユーザーに対する、任意のODACLI操作の実行の許可

この例では、ユーザーが任意のODACLI操作を実行できるようにSUDOを構成する方法を示します。 これを行うには、/etc/sudoersファイルのコマンドのセクションに数行追加します。 

## The commands section may have other options added to it.
##
Cmnd_Alias ODACLI_CMDS=/opt/oracle/oak/bin/odacli *
jdoe ALL = ODACLI_CMDS

この例では、ユーザー名は jdoeです。 ファイル・パラメータ設定ALL= ODACLI_CMDSは、コマンド別名ODACLI_CMDSで定義されたすべてのodacliコマンドの実行権限をユーザーjdoeに付与します。 構成後、1つのsudoersファイルを複数のホストにコピーできます。 また、ホストごとに異なるルールを作成することもできます。

ノート:

データベース作成の前に、各サーバーのrootユーザーにSSHのユーザー等価性を設定する必要があります。 ユーザーの等価性を設定せずサーバーごとにSSHを構成すると、データベースの作成中、各サーバーのrootパスワードを指定するよう求めるプロンプトが表示されます。

ユーザーのsudoerファイルを構成した後、ユーザーjdoeは、コマンド別名ODACLI_CMDSで構成された一連のodacliコマンドを実行できます。 次に例を示します。 

$ sudo odacli create database -db newdb

INFO: 2018-06-05 14:40:55: Look at the logfile  '/opt/oracle/oak/log/node1011/tools/12.2.1.4.0/createdb_newdb_91715.log' for more details

INFO:2018-06-05 14:40:59: Database parameter file is not provided. Will be using default parameters for DB creation
Please enter the 'SYSASM'  password :
Please re-enter the 'SYSASM' password:
 
INFO: 2018-06-05 14:41:10: Installing a new home: OraDb12102_home3 at /u01/app/oracle/product/12.2.1.4/dbhome_3

Please select one of the following for Database type  [1 .. 3]:
1    => OLTP 
2    => DSS 
3    => In-Memory

例2-2 SUDOの例2: ユーザーに対する、選択したODACLI操作のみの実行の許可

ユーザーが選択されたODACLI操作のみを実行できるようにSUDOを構成するには、/etc/sudoersファイルのコマンド・セクションに、次のように行を追加します。 

## DCS commands for oracle user 
Cmnd_Alias DCSCMDS = /opt/oracle/dcs/bin/odacli describe-appliance
oracle  ALL=       DCSCMDS
$ sudo /opt/oracle/dcs/bin/odacli describe-appliance

Appliance Information
----------------------------------------------------------------
                     ID: a977bb04-6cf0-4c07-8e0c-91a8c7e7ebb8
               Platform: OdaliteL
        Data Disk Count: 6
         CPU Core Count: 20
                Created: June 24, 2018 6:51:52 AM HDT

System Information
----------------------------------------------------------------
                   Name: odal001
            Domain Name: example.com
              Time Zone: America/Adak
             DB Edition: EE
            DNS Servers: 10.200.76.198 10.200.76.199 192.0.2.254
            NTP Servers: 10.200.0.1 10.200.0.2

Disk Group Information
----------------------------------------------------------------
DG Name                   Redundancy                Percentage
------------------------- ------------------------- ------------
Data                      Normal                    90
Reco                      Normal                    10

この例では、ユーザーjdoe2sudo odacli list-databasesコマンドを実行しようとしていますが、これはそのユーザーに対して構成したコマンド・セットの中にありません。 SUDOにより、jdoe2はそのコマンドを実行できません。 

[jdoe2@servernode1 ~]$ sudo /opt/oracle/dcs/bin/odacli list-databases

Sorry, user jdoe2 is not allowed to execute '/opt/oracle/dcs/bin/odacli list-databases' as root on servernode1.

親トピック: データへのアクセスの制御

暗号化サービスの使用

暗号化サービスは、保存済、送信中および使用中の情報を保護するのに役立ちます。

暗号化および復号化から、デジタル・フィンガープリントおよび証明書検証まで、暗号化はIT組織で最も広く採用されているセキュリティ制御です。

Oracle Database Applianceは、可能な場合は常に、ハードウェアベースの暗号化エンジン、Intel AES-NIおよびOracle SPARCプロセッサを使用します。 暗号化処理にハードウェアを使用することで、ソフトウェアで処理を実行する場合に比べてパフォーマンスが大幅に向上します。 いずれのエンジンもハードウェアで暗号化処理を実行する機能を提供し、データベース・サーバーおよびストレージ・サーバー上のOracleソフトウェアによって活用されます。

ネットワーク暗号化サービスは、暗号によって保護されたプロトコルを使用して、通信の機密性と整合性を保護します。 たとえば、セキュア・シェル(SSH)アクセスでは、システムおよびOracle Integrated Lights Out Manager (Oracle ILOM)へのセキュアな管理アクセスが提供されます。 SSL/TLSは、アプリケーションと他のサービスとの間のセキュアな通信を可能にします。

Oracle Advanced Securityからデータベース暗号化サービスを使用できます。 Oracle Advanced Securityは、透過的データ暗号化(TDE)機能を使用してデータベース内の情報を暗号化します。 TDEはアプリケーション表領域の暗号化と、表内の個々の列の暗号化をサポートします。 一時表領域に格納されたデータと、REDOログも暗号化されます。 データベースがバックアップされるとき、格納先メディアでもデータは暗号化されたままです。 これによって、物理的な格納場所に関係なく保存済データが保護されます。 表領域レベルまたは列レベルでの、保存済データベース・コンテンツの機密性、データベース暗号化を必要とする組織は、Oracle Advanced Securityの利用を検討してください。

また、Oracle Advanced Securityは、ネイティブの暗号化またはTLSを使用してネットワーク上で送信中の情報を保護することで、Oracle Net ServicesおよびJDBCトラフィックを暗号化します。 管理接続とアプリケーション接続の両方を保護して、送信中のデータを確実に保護できます。 TLS実装では、X.509証明書を使用したサーバーのみの認証およびX.509を使用した相互(クライアント/サーバー)認証など、認証方法の標準セットがサポートされています。

親トピック: Oracle Database Applianceのセキュリティ機能

Oracle Database Applianceでのデータベースの監視および監査

Oracle Database Applianceには、Oracle Database Fine Grained Auditing (FGA)、Oracle Audit VaultおよびOracle Database Firewall Remote Monitorがあり、これらにより包括的な監視および監査機能が提供されます。

コンプライアンス・レポートとインシデント対応のいずれについても、監視および監査は、IT環境の可視性を向上するために必要な重要な機能です。 導入する監視および監査の程度は、一般的に、環境のリスクまたは重要性に基づいて決まります。 Oracle Database Applianceは、サーバー、ネットワーク、データベースおよびストレージの各レイヤーで包括的な監視および監査の機能を提供し、その情報によって組織の監査およびコンプライアンスの要件をサポートできるように設計されています。

Oracle Database Fine Grained Auditing (FGA)は、監査オーバーヘッドを削減し、個別のテーブルや行のレベルで監査記録を作成するのに役立ちます。 FGAによって、組織は、監査レコードが生成されるタイミングを選択的に決定するポリシーを設定できます。 これは、組織が他のデータベース活動に集中し、監査アクティビティに関連するオーバーヘッドを削減するのに役立ちます。

Oracle Audit Vaultは、データベース監査設定を集中管理して、監査データのセキュアなリポジトリへの統合を自動化します。 Oracle Audit Vaultには、特権ユーザーのアクティビティやデータベース構造への変更を含む、幅広いアクティビティを監視するための組込みのレポート機能があります。 Oracle Audit Vaultによって生成されたレポートは、様々なアプリケーションおよび管理データベースのアクティビティへの可視性を実現し、アクションのアカウンタビリティをサポートする詳細情報を提供します。

Oracle Audit Vaultによって、不正なアクセスの試みまたはシステム権限の悪用を示している可能性のあるアクティビティのプロアクティブな検出とアラートが可能になります。 アラートには、特権ユーザー・アカウントの作成、機密情報を含む表の変更など、システム定義とユーザー定義の両方のイベントおよび条件を含めることができます。

Oracle Database Firewallのリモート・モニターは、リアルタイムのデータベース・セキュリティ監視を提供できます。 Oracle Database Firewallリモート・モニターはデータベース接続の問合せを実行して、アプリケーション・バイパス、認可されていないアクティビティ、SQLインジェクション、その他の脅威などの悪意のあるトラフィックを検出します。 Oracle Database Firewallは、SQL構文ベースの精度の高いアプローチで、組織が不審なデータベース・アクティビティを迅速に検出できるように支援します。

親トピック: Oracle Database Applianceのセキュリティ機能

Oracle Database ApplianceでのFIPS 140-2準拠について

FIPS 140-2をOracle Database Applianceに実装する方法を理解します。

Oracle Database Applianceリリース19.11以降、ベア・メタルおよびKVMデータベース・システムで実行されているOracle Database Applianceで使用されるLinuxカーネルは、米国連邦情報処理規格140-2 (FIPS 140-2)レベル1に準拠しています。 FIPS標準に従って、セキュア・シェル(SSH)で使用されるアルゴリズムは、標準で許可されるアルゴリズムに制限されます。 FIPS 140-2は、新しくプロビジョニングされたシステムとパッチが適用されたシステムの両方でサポートされます。 システムが更新されると、FIPSサポートが自動的に有効になります。 ユーザーが介入する必要はありません。

親トピック: Oracle Database Applianceのセキュリティ機能

Oracle Database ApplianceでのSTIGコンプライアンスの確認

セキュリティ技術的実装ガイドライン(STIG)に準拠するためにOracle Database Applianceを確認する方法を理解します。

Defense Information Systems Agency (DISA)は、ソフトウェア、ハードウェアおよびシステム・コンポーネントのデプロイメントと管理のために、セキュリティ技術実装ガイドライン(STIG)を推奨(または場合によっては必要)します。 STIG標準の詳細は、https://public.cyber.mil/stigs/downloads/を参照してください。

Oracle Database Applianceは、DISA Oracle Linux 7 STIGの文書化と連携を支援するOracle Linux 7セキュリティ・スクリプト(OLSS)をサポートしています。 OLSSを使用すると、既存の環境をSTIG標準で検証し、DISA標準に設定されていないSTIG設定に対してシステムを保護できます。

Oracle Database Applianceは、/opt/oracle/dcs/stigディレクトリのOracle Database Appliance製品とともにSTIGスクリプトをバンドルします。

OLSSには2つの操作モードがあります: 検証と保護。 OLSSを実行すると、情報が画面に表示され、ログ・ファイルにも保存されます。 確認モードでは、スクリプトによってシステムの現在のコンプライアンス・ステータスが調査されますが、設定は変更されません。 セキュア・モードでは、スクリプトによってシステムの現在のコンプライアンス・ステータスが調査され、設定またはコンプライアンスが不十分な場合はシステムに変更を加えたり、管理者が変更できるようにアイテムを手動としてフラグ付けします。

STIGコマンドの実行

STIGスクリプトを実行するステップは、次のとおりです。

  1. ルート・ユーザーとしてログインします。
  2. /opt/oracle/dcs/stigディレクトリからコマンドを実行します:
    [root@oda1 stig]# ./RunSTIG

サマリーおよび詳細ログは、/opt/oracle/dcs/stig/04_Logsディレクトリにあります。 セキュア・モードまたは検証モードでSTIGコマンドを実行すると、ログ・ファイルはそれぞれSTIG.Secure.timestampまたはSTIG.Verify.timestampになります。

STIGコマンドをセキュア・モードで実行する場合のログの例は、次のとおりです。 ログには、スクリプトの実行順序、ユーザーの入力内容、ルールの説明、システムで見た内容、および行われた変更が含まれます。 

The file has description of whether a rule PASSED/Manual/FAILED : file name is : Summary.Secure.08_06_2021_05:21 
===========================================================
Tests run: 252: CAT1 = 27, CAT2 = 213, CAT3 = 12
CAT1     results: Pass: 24      Fail: 0         Manual: 3
         results: Pass: 88.88%  Fail: 0%        Manual: 11.11%
CAT2     results: Pass: 182     Fail: 3         Manual: 28
         results: Pass: 85.44%  Fail: 1.40%     Manual: 13.14%
CAT3     results: Pass: 6       Fail: 0         Manual: 6
         results: Pass: 50.00%  Fail: 0%        Manual: 50.00%
Total by results: Pass: 212     Fail: 3         Manual: 37 
Weighted results: Pass: 84.12%  Fail: 1.19%     Manual: 14.68% 
==========================================================

次に、検証モードとセキュア・モードでSTIGスクリプトを実行する例を示します。

STIGルールのセキュア・モードと検証モードの両方が、STIGルールの重大度をSEV1として分類 - Severity-1 STIGルール、SEV2 - Severity-2 STIGルール、SEV3-Severity-3 STIGルール。

STIGコンプライアンスを使用してOracle Database Applianceシステムを検証および保護するには、検証モードとセキュア・モードの両方でSTIGコマンドを実行する場合は、オプション3を選択します。

重大度に基づいてSTIG準拠ルールでOracle Database Applianceシステムを検証して保護するには、SEV1を検証するために1を指定 - Severity-1 STIGルール、SEV2の検証に2を指定 - Severity-2 STIGルール。SEV3-Severity-3 STIGルールを検証するには3を指定し、すべての重大度のSTIGルールを検証するにはAを指定します。 STIGスクリプトの実行例を次に示します。

例2-3 検証モードでのSTIGスクリプトの実行

$ ./RunSTIG

Initializing tests.....

******** WARNING    WARNING    WARNING    WARNING    WARNING *********

                    Oracle Linux 7 Security Scripts The Oracle Linux Security Scripts (OLSS) are a tool designed to assist in creation and deployment of secured Oracle Linux 7 Operating Environment systems.
The OLSS is comprised of a set of scripts and directories.

DISCLAIMER OF WARRANTIES:  THE OLSS IS OFFERED  "AS IS" AND "WITH ALL FAULTS" AND WITHOUT WARRANTY OF ANY KIND WHATSOEVER. ORACLE DISCLAIMS, AND USERS OF THE OLSS WAIVE, ANY AND ALL EXPRESS OR IMPLIED WARRANTIES AND REPRESENTATIONS, INCLUDING BUT NOT LIMITED TO ANY IMPLIED WARRANTY OF MERCHANTABILITY, FITNESS FOR A PARTICULAR PURPOSE, OR NONINFRINGEMENT.
THE OLSS IS TO BE USED AT YOUR OWN RISK.

NO LIABILITY:  IN NO EVENT SHALL ORACLE BE LIABLE FOR ANY DIRECT, INDIRECT, PUNITIVE, SPECIAL, INCIDENTAL, OR CONSEQUENTIAL DAMAGE IN CONNECTION WITH OR ARISING OUT OF THE USE OF THE OLSS (INCLUDING, BUT NOT LIMITED TO, LOSS OF BUSINESS, REVENUE, PROFITS, USE, DATA, OR OTHER ECONOMIC ADVANTAGE) HOWEVER IT ARISES, WHETHER FOR BREACH OR IN TORT, EVEN IF ORACLE HAS BEEN PREVIOUSLY ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.

I Have read and agree with the above Warning [y|n]: y

  **** Welcome to the Oracle Linux 7 STIG tool ****

This tool has two primary modes: Secure or Verify

Throughout this tool the answers in [] are the expected responses

Did you want to Secure or Verify? [Secure|Verify]:

**********************
When ‘Verify’ is chosen:
**********************
Did you want to Secure or Verify? [Secure|Verify]: Verify
Responded: Verify

Is "Verify" correct? (y/n): y
Responded: y

Oracle Linux 7 Security Scripts have 4 flavors:

1) SCAP             - The 177 DISA SCAP checks

2) Exadata or ZDLRA - The 177 DISA SCAP checks with the special
                       host_access_control command for them

3) ODA - All 252 STIG checks with ODA exceptions

4) Full - All 252 STIG checks

Did you want to run checks against [1|2|3|4]: 3
Responded: 3

Is "3" correct? (y/n): y
Responded: y
ODA set of STIG checks  will be run

Did you want to run checks against SEV1, SEV2, SEV3, All [1|2|3|A]:A
Responded: A

Is "A" correct? (y/n): y
Responded: y

   **** Beginning: Verify testing;  ****

例2-4 セキュア・モードでのSTIGスクリプトの実行

セキュア・モードではSTIG警告の重大度が割り当てられます: SEV1 - Severity-1 STIGルール、SEV2 - Severity02 STIGルール、SEV3-Severity-3 STIGルール。

$ ./RunSTIG

**** Welcome to the Oracle Linux 7 STIG tool ****

This tool has two primary modes: Secure or Verify

Throughout this tool the answers in [] are the expected responses

Did you want to Secure or Verify? [Secure|Verify]: Secure
Responded: Secure

Is "Secure" correct? (y/n): y
******** WARNING    WARNING    WARNING    WARNING    WARNING *********

   When running this tool to Secure the system, the tool will modify
   the running system - BE SURE to quiet the system during this time
   by shutting down all apps (web servers, databases, etc) first.

   If required, exit this program with a Control-c

   Reversing any of the changes made by the tool is completed manually
   by reading the contents of the log files that should show exactly
   what was changed and undoing the change.

******** WARNING    WARNING    WARNING    WARNING    WARNING *********


Oracle Linux 7 Security Scripts have 4 flavors:

1) SCAP             - The 177 DISA SCAP checks

2) Exadata or ZDLRA - The 177 DISA SCAP checks with the special
                       host_access_control command for them

3) ODA - All 252 STIG checks with ODA exceptions

4) Full - All 252 STIG checks

Did you want to run checks against [1|2|3|4]: 3
Responded: 3

Is "3" correct? (y/n): y
Responded: y
ODA set of STIG checks  will be run

Did you want to run checks against [1|2|3|4]: 3
Responded: 3

Is "3" correct? (y/n): y
Responded: y
ODA set of STIG checks  will be run

Did you want to run checks against SEV1, SEV2, SEV3, All [1|2|3|A]: A
Responded: A

Is "A" correct? (y/n): y
Responded: y

   **** Beginning: Secure testing;  ****

例2-5 ログのロケーション

/opt/oracle/dcs/stig/ディレクトリ内のファイルのリストは、次のとおりです: 

[root@oda1 stig]# ls -la
total 128
drwx------.  8 3878  900  4096 Aug  4 11:55 .
drwxr-xr-x. 22 root root  4096 Aug  4 20:00 ..
drwx------.  2 3878  900  4096 Jul 27 13:24 01_Sev1 
drwx------.  2 3878  900 12288 Jul 27 13:24 02_Sev2 
drwx------.  2 3878  900  4096 Jul 27 13:24 03_Sev3 
drwx------.  2 3878  900  4096 Aug  3 10:25 04_Logs 
-rwx------.  1 3878  900 19716 Jul 27 13:24 .auto_answer 
-rwx------.  1 3878  900  9288 Jul 27 13:24 .Change_log 
-rwx------.  1 3878  900 16745 Jul 27 13:24 .control_01 
drwx------.  2 3878  900  4096 Jul 27 13:24 .files 
drwx------.  2 3878  900  4096 Jul 27 13:24 .messages 
-rwx------.  1 3878  900 13169 Jul 27 13:24 README 
-rwx------.  1 3878  900 19871 Jul 27 13:24 RunSTIG

例2-6 ログ・サマリーの保護および検証

セキュア、検証、および対応するサマリー・ファイル名のファイル名は次のとおりです。 Summary.Secure.timestampファイルは、強化後のコンプライアンスのステータスを提供します。 Summary.Verify.timestampファイルは、強化前のコンプライアンスのステータスを提供します。 

[root@oda1 stig]# pwd
/opt/oracle/dcs/stig/04_Logs
[root@scaoda813c1n2 04_Logs]# ls -la
total 48
drwx------. 2 3878 900 4096 Aug 31 07:47 .
drwx------. 9 3878 900 4096 Aug 31 07:47 ..
-rw------- 1 root root 14716 Aug 31 07:47 STIG.Secure.08_31_2021_07:47
-rw------- 1 root root 12884 Aug 31 07:47 STIG.Verify.08_31_2021_07:46
-rw------- 1 root root 1186 Aug 31 07:47 Summary.Secure.08_31_2021_07:47
-rw------- 1 root root 1186 Aug 31 07:47 Summary.Verify.08_31_2021_07:47

親トピック: Oracle Database Applianceのセキュリティ機能

Oracle Database ApplianceでのCISベンチマークの有効化について

Oracle Database Applianceに対するCenter for Internet Security (CIS)ベンチマークについて理解します。

CIS (Center for Internet Security)ベンチマークは、ターゲット・システムのセキュアな構成に対するベスト・プラクティスです。 これらは、政府、企業、業界および学界によって開発され、受け入れられているコンセンサスベースのベスト・プラクティスのセキュリティ構成ガイドです。 CISベンチマークは、https://learn.cisecurity.org/benchmarksからダウンロードできます。

Center for Internet Security (CIS)ベンチマークのサポートは、以前のOracle Database Applianceリリースで提供されていましたが、Oracle Database Applianceリリース19.12では現在、Center for Internet Security (CIS)ベンチマークをサポートしていません。

親トピック: Oracle Database Applianceのセキュリティ機能

セキュアな管理のためのOracle ILOMの使用

Oracle Integrated Lights-Out Management (Oracle ILOM)では、帯域外の全域管理が可能となり、Oracle Database Applianceのリモート管理機能が提供されています。

IPMI v2.0、セキュリティ制御とセキュリティ機能のコレクションは、個々のアプリケーションおよびサービスを適切に保護するために必要です。 デプロイ済のサービスおよびシステムのセキュリティを維持するために、包括的な管理機能を持つことも同様に重要です。 Oracle Database Applianceは、Oracle ILOMのセキュリティ管理機能を利用します。

Oracle ILOMは、アウトオブバンド管理アクティビティを実行する多くのOracle Database Applianceコンポーネントに組み込まれているサービス・プロセッサです。 Oracle ILOMには、次の機能があります。

  • データベース・サーバーおよびストレージ・サーバーのセキュアなLights-Out Managementを実行するための、セキュアなアクセス。 アクセスには、Transport Layer Security (TLS)で保護されたWebベースのアクセス、セキュア・シェルを使用したコマンドライン・アクセスおよびSNMPv3プロトコルが含まれます。

  • ロール・ベースのアクセス制御モデルを使用した職務の分離の要件。 個々のユーザーには、実行できる機能を制限するために特定のロールが割り当てられます。

  • すべてのログインおよび構成変更の監査レコード。 各監査ログ・エントリは、アクションを実行したユーザーとタイムスタンプをリストします。 これによって、組織は、認可されていないアクティビティまたは変更を検出し、それらのアクションを起こしたユーザーを特定できます。

親トピック: Oracle Database Applianceのセキュリティ機能