ソフトウェア・フットプリントの最小化と保護

攻撃ベクトルを最小限にするには、Oracle Linuxシステムの目的、デプロイメント構成およびソフトウェア要件を事前に計画する必要があります。デプロイメントの設計フェーズでは、周辺機能やコンポーネントなど、特定の構成またはデプロイメント・シナリオで不要または使用されていないコンポーネントやサービスをアンインストールまたは無効化できます。デプロイメント要件は時間の経過とともに変化する可能性があるため、特定の構成またはデプロイメント・シナリオで不要または使用されていない機能をアンインストールおよび無効化するためのプロセスも必要です。また、OSの基本コンポーネントのみをデフォルトでインストールする最小インストール・ベース環境の使用を検討することもできます。キックスタート構成ファイルを使用してOracle Linuxをインストールする場合、最小インストールには@baseおよび@coreパッケージが含まれます。

これらのインストール・オプションの詳細は、Oracle Linux 9: Oracle Linuxのインストールを参照してください。

dnf group list -v コマンドを実行することで、使用可能な様々なベース環境の詳細を確認します。このコマンドでは、Oracle Linux GUIインストーラのソフトウェア選択画面にあるベース環境のリストと同じリストが表示されます。次に例を示します:

dnf group list -v 
Last metadata expiration check: 0:55:03 ago on Tue 18 Jul 2023 12:19:06 PM GMT.
Available Environment Groups:
   Server with GUI (graphical-server-environment)
   Server (server-product-environment)
   Minimal Install (minimal-environment)
...
Installed Environment Groups:
   Server with GUI (graphical-server-environment)
Installed Groups:
   Container Management (container-management)
...
Available Groups:
   Legacy UNIX Compatibility (legacy-unix)
...

最小環境グループに含まれている内容を確認するには、dnf group infoコマンドを実行します。次に例を示します:

dnf group info minimal-environment
Last metadata expiration check: 0:04:29 ago on Tue 18 Jul 2023 12:55:49 PM GMT.
Environment Group: Minimal Install
 Description: Basic functionality.
 Mandatory Groups:
   Core
 Optional Groups:
   Guest Agents
   Standard

同じコマンドを使用して、コア・グループに含まれているパッケージを確認します。次に例を示します:

dnf info core
Last metadata expiration check: 0:04:39 ago on Tue 18 Jul 2023 12:19:06 PM GMT.
Group: Core
 Description: Minimal host installation
 Mandatory Packages:
  audit
  basesystem
  bash
...
Default Packages:
NetworkManager-team
NetworkManager-tui
...
Optional Packages:
dracut-config-generic
...

個々のパッケージの詳細を確認するには、そのパッケージに対してdnf infoコマンドを実行してください。次に例を示します:

dnf info bash
Last metadata expiration check: 0:47:06 ago on Tue 18 Jul 2023 12:19:06 PM GMT.
Installed Packages
Name         : bash
Version      : 5.1.8
Release      : 6.el9_1
Architecture : x86_64
Size         : 7.4 M
Source       : bash-5.1.8-6.el9_1.src.rpm
Repository   : @System
From repo    : anaconda
Summary      : The GNU Bourne Again shell
URL          : https://www.gnu.org/software/bash
License      : GPLv3+
Description  : The GNU Bourne Again shell (Bash) is a shell or command language
             : interpreter that is compatible with the Bourne shell (sh). Bash
             : incorporates useful features from the Korn shell (ksh) and the C shell
             : (csh). Most sh scripts can be run by bash without modification.

Oracle Linuxシステムを安全にするためのもう1つの重要な方法は、必要な機能を実行するために不可欠なソフトウェア・パッケージのみをインストールすることです。追加の機能およびコンポーネントは、セキュリティ・リスクを増大させる可能性があるため、必要に応じて削除またはアンインストールできます。

セキュア、既知、および信頼できるソースからソフトウェアをインストールすることは、適切なセキュリティ対策とみなされます。Oracleは、管理者がソフトウェア・パッケージの来歴と信頼性を確認できるように、GPGキーを使用してパッケージに署名します。また、Oracleでは、TLSを使用して、Oracle Linuxに付属するソフトウェア・インストールおよび更新ツールのネットワーク・アクションを保護します。