3 Oracle Exadataのユーザー・セキュリティ
データおよびシステムのセキュリティを強化するには、ユーザー・アクセスを制限し、強力なパスワード・セキュリティ・ポリシーを作成します。
- Oracle Exadataのデフォルト・ユーザー・アカウント
Oracle Exadataのコンポーネントは、複数のユーザー・アカウントで定期的に管理されます。 - デフォルトのパスワード要件
Oracle Exadata Deployment Assistant (OEDA)は、Oracle Exadata Database Machineにデフォルトのパスワード・ポリシーを実装します。 - OEDAによって実装されるデフォルト・セキュリティ設定
Oracle Exadata Deployment Assistant (OEDA)には、Oracle Exadataのデフォルトのセキュリティ設定を実装するためのステップが含まれています。 - パスワードおよび認証ポリシーの管理
- Oracle Exadata System Softwareのユーザーおよびロールの作成
ロールに権限を付与し、ユーザーにロールを付与することで、ユーザーが実行できるOracle Exadata System Softwareコマンドを制御できます。 - Oracle Exadata Storage Serverのオペレーティング・システム・ユーザーのセキュリティ・ポリシー
オペレーティング・システムへのユーザー・アクセスは、セキュアで堅固なパスワードを使用することによって保護できます。
3.1 Oracle Exadataのデフォルト・ユーザー・アカウント
Oracle Exadataのコンポーネントは、複数のユーザー・アカウントで定期的に管理されます。
root
ユーザーに加えて、Oracle Exadata Storage Serverには2種類のユーザー、celladmin
とcellmonitor
があります。celladmin
ユーザーは、セルですべてのサービスを実行するために使用されます。cellmonitor
ユーザーは、監視のために使用されます。cellmonitor
ユーザーはセルでサービスを実行できません。その他のOracle Exadataコンポーネントには、そのコンポーネントの管理用のユーザーがあります。
ノート:
Oracle Exadataがデプロイされた後、システムのセキュリティ手段として、インストール・プロセスによってすべてのroot SSHキーが無効化され、すべてのユーザー・パスワードが失効します。SSHキーが無効化されたり、パスワードが失効しないようにするには、デプロイメントの前にインストール・エンジニアに依頼してください。Oracle Exadata System Softwareリリース19.1.0以降では、特定のアクションのセキュリティを向上させるために、2つの新規ユーザーが作成されます。cellofl
ユーザーは、非root
ユーザーとしてストレージ・サーバーで問合せオフロード・プロセスを実行します。exawatch
ユーザーは、データベース・サーバーとストレージ・サーバーの両方でシステム統計を収集およびアーカイブします。
次の表に、Oracle Exadataコンポーネントのデフォルトのユーザーとパスワードを示します。Oracle Exadataのインストール後、すべてのデフォルト・パスワードを変更する必要があります。デフォルトのユーザー・アカウント・パスワードの変更の詳細は、My Oracle Supportノート1291766.1を参照してください。
表3-1 デフォルトのOracle Exadataユーザーおよびパスワード
アカウント | デフォルトのパスワード | アカウント・タイプ | コンポーネント |
---|---|---|---|
|
|
オペレーティング・システムのユーザー |
Oracle Exadata Database Server Oracle Exadata Storage Server RDMAネットワーク・ファブリックのスイッチ データベース・サーバーILOM Oracle Exadata Storage Server ILOM RDMA Network Fabric ILOM |
|
|
オペレーティング・システムのユーザー |
Oracle Exadata Database Server |
ノート: このアカウントは、デプロイ中にロールの分離を選択した場合にのみ存在します。 |
|
オペレーティング・システムのユーザー |
Oracle Exadata Database Server |
|
ノート: Oracle Exadata Deployment Assistant (OEDA) November 2019リリース以降では、デプロイ中に |
オペレーティング・システムのユーザー |
Oracle Exadata Storage Server |
|
ノート: |
Oracle Exadata System Softwareユーザー |
Oracle Exadata Storage Server |
|
ノート: OEDA November 2019リリース以降では、デプロイ中に |
オペレーティング・システムのユーザー |
Oracle Exadata Storage Server |
ノート: このアカウントは、ログイン権限がなく、リリース19.1.0以降にのみ存在します。 |
オペレーティング・システムのユーザー |
Oracle Exadata Storage Server |
|
|
ノート: OEDA November 2019リリース以降では、デプロイ中に |
オペレーティング・システムのユーザー |
Oracle Exadata Database Server |
|
ノート: OEDA November 2019リリース以降では、デプロイ中に |
オペレーティング・システムのユーザー |
Oracle Exadata Database Server |
ノート: このアカウントは、ログイン権限がなく、リリース12.1.2.1.0以降にのみ存在します。 |
オペレーティング・システムのユーザー |
Oracle Exadata Database Server |
|
ノート: このアカウントは、ログイン権限がなく、リリース19.1.0以降にのみ存在します。 |
オペレーティング・システムのユーザー |
Oracle Exadata Database Server Oracle Exadata Storage Server |
|
|
|
Oracle Databaseユーザー |
Oracle Exadata Database Server |
|
|
Oracle Databaseユーザー |
Oracle Exadata Database Server |
Grubブート・ローダー |
|
オペレーティング・システムのユーザー |
Oracle Exadata Database Server Oracle Exadata Storage Server |
|
|
ファームウェア・ユーザー |
InfiniBand Network Fabricスイッチ |
|
|
ILOMユーザー |
InfiniBand Network Fabricスイッチ |
|
|
ILOMユーザー |
InfiniBand Network Fabricスイッチ |
|
|
ファームウェア/スイッチ管理者 |
RoCE Network Fabricスイッチ |
|
ノート: |
ファームウェア・ユーザー |
Ethernetスイッチ |
|
ノート: PDUを出荷時のデフォルト設定にリセットした場合、 |
ファームウェア・ユーザー |
配電ユニット(PDU) キーボード、ビデオ、マウス(KVM) |
ノート: 管理サーバー(MS)は、このアカウントを使用して、応答が停止した場合にILOMインタフェースをリセットします。 このアカウントは変更しないでください。このアカウントを使用できるのはMSのみです。 |
|
ILOMユーザー |
データベース・サーバーILOM Oracle Exadata Storage Server ILOM |
ノート: 管理サーバー(MS)は、自動ILOM SNMP通知ルールを使用したハードウェアのモニタリングと障害処理にこのアカウントを使用します。 このアカウントまたは関連するILOM SNMP通知ルールは変更しないでください。このアカウントを使用できるのはMSのみです。 |
|
ILOM SNMPバージョン3ユーザー |
データベース・サーバーILOM Oracle Exadata Storage Server ILOM |
ノート: デフォルトでは、このアカウントは無効になっており、RoCE Network Fabricスイッチへのログインには使用できません。 このアカウントを削除しないでください。そうしないと、スイッチ構成の検証は失敗します。 |
RoCE Network Fabricスイッチ・ユーザー |
RoCE Network Fabricスイッチ |
3.2 デフォルトのパスワード要件
Oracle Exadata Deployment Assistant (OEDA)は、Oracle Exadata Database Machineにデフォルトのパスワード・ポリシーを実装します。
OEDAの最後のステップ、Oracle Exadata Database Machineの保護では、次のパスワード要件が実装されます。
- 辞書の単語が無効、または受け入れられません。
- パスワードの文字クラスとは、大文字、小文字、数字、特殊文字です。
- パスワードには、4つの文字クラスすべての文字を含める必要があります。1つ、2つまたは3つの文字クラスしか使用しないパスワードは使用できません。
- パスワードの最小長は8文字です。
- パスフレーズを使用できます。パスフレーズの条件は、少なくとも3つの単語が含まれていること、16文字から40文字までの長さであること、および異なる文字クラスが含まれていることです。
- 新しいパスワードは古いパスワードに類似したものにすることはできません。新パスワードには、旧パスワードで使用されていない文字が8文字以上が必要です。
- パスワードでは、同じ文字を最大3連続まで使用できます。
- パスワードでは、同じ文字クラスの文字を最大4連続まで使用できます。たとえば
abcde1#6B
は、連続して5つの小文字を使用しているためパスワードとして使用できません。
親トピック: Oracle Exadataのユーザー・セキュリティ
3.3 OEDAによって実装されるデフォルト・セキュリティ設定
Oracle Exadata Deployment Assistant (OEDA)には、Oracle Exadataにデフォルトのセキュリティ設定を実装するためのステップが含まれています。
OEDAの最後の構成ステップ、Oracle Exadata Database Machineの保護
では、次のセキュリティ設定が実装されます:
-
データベース・サーバーおよびストレージ・サーバー上のすべてのオペレーティング・システム・ユーザーには、デフォルトで次のパスワード・ルールが適用されます:
-
root以外のユーザーは、初回ログイン時にパスワードを変更する必要があります。
-
パスワードの複雑度のルールは、使用中のOracle Linuxのバージョンによって異なります。
Oracle Linux 7以降のシステムの場合:
-
パスワードの最小の長さは8文字です。
-
パスワードには、少なくとも1つの数字、1つの大文字、1つの小文字および他の1つの文字を含める必要があります。
-
パスワードに3回を超えて同じ文字を連続して使用することはできません。
-
パスワードには、同じクラス(数字、小文字、大文字またはその他の文字)から連続する4文字を超える文字を含めることはできません。
-
パスワードを変更するには、新しいパスワードに最低8文字の変更を含める必要があります。
Oracle Linux 6以前のシステムの場合、パスワードの最小の長さは5文字で、これ以上の複雑度の要件はありません。
-
-
最大パスワード期間は60日です。
-
パスワード変更の最小間隔は1日です。
-
警告アラートは、パスワードの有効期限の7日前に生成されます。
-
ユーザー・パスワードを変更する場合、新しいパスワードは以前の10個のパスワードのいずれにも一致することはできません。
-
-
オペレーティング・システムのユーザー・アカウントは、15分以内に3回のログイン試行が失敗した後、15分間ロックされます。
-
ログイン・セッションは、14400秒間入力がなければ自動的に終了します。
-
SSHセッションは、600秒間、非アクティブ状態になると自動的に終了します。
-
root
ユーザーの場合、すべてのデータベース・サーバーとストレージ・サーバーでSSH等価が削除されます。
親トピック: Oracle Exadataのユーザー・セキュリティ
3.4 パスワードおよび認証ポリシーの管理
各Oracle Exadataサーバーには、パスワードおよび認証ポリシーを表示および変更するための単純なインタフェースを提供するhost_access_control
ユーティリティ(/opt/oracle.cellos/host_access_control
)が含まれています。
Oracleでは、host_access_control
ユーティリティを使用して、パスワードおよび認証ポリシーを表示および変更することをお薦めします。独自のコストとリスクでhost_access_control
ユーティリティの範囲外でカスタマイズを実行できます。
-
新しいアカウント作成用のパスワード・エージング・ポリシー設定を管理するには、
password-policy
オプションを指定してhost_access_control
コマンドを使用します。-
使用可能なオプションおよび設定の詳細は、次を使用します:
# /opt/oracle.cellos/host_access_control password-policy --help
-
現在のポリシー設定を表示するには、次を使用します:
# /opt/oracle.cellos/host_access_control password-policy --status
-
ポリシーを出荷時のデフォルト設定にリセットするには、次を使用します:
# /opt/oracle.cellos/host_access_control password-policy --defaults
出荷時のデフォルトのパスワード・エージング・ポリシーでは、次のようになります:
-
最大パスワード期間は60日です。
-
パスワードの変更間で許可される最小期間は1日です。
-
パスワードの最小の長さは8文字です。
-
パスワード失効警告期間は7日です。
-
-
特定のポリシー設定を変更するには、次のうち1つ以上を指定します:
-
--PASS_MAX_DAYS
: パスワード最大経過時間(日数)を指定します。 -
--PASS_MIN_DAYS
: パスワード変更の間隔として許可される最小日数を指定します。 -
--PASS_MIN_LEN
: パスワードの最小の長さを指定します。 -
--PASS_WARN_AGE
: パスワード失効警告期間(日数)を指定します。
たとえば、次のコマンドを使用して、パスワードの最大経過時間を100日、パスワードの最小の長さを12文字に設定します:
# /opt/oracle.cellos/host_access_control password-policy --PASS_MAX_DAYS 100 --PASS_MIN_LEN 12
-
-
-
既存の対話型ユーザー・アカウントのパスワード・エージング・ポリシーを管理するには、
password-aging
オプションを指定してhost_access_control
コマンドを使用します。-
使用可能なオプションおよび設定の詳細は、次を使用します:
# /opt/oracle.cellos/host_access_control password-aging --help
-
現在のポリシー設定を表示するには、次を使用します:
# /opt/oracle.cellos/host_access_control password-aging --status
-
パスワード・エージング・ポリシーを出荷時のデフォルト設定にリセットするには、次を使用します:
# /opt/oracle.cellos/host_access_control password-aging --defaults
出荷時のデフォルトのパスワード・エージング・ポリシーでは、次のようになります:
-
最大パスワード期間は60日です。
-
パスワードの変更間で許可される最小期間は1日です。
-
パスワードの最小の長さは8文字です。
-
パスワード失効警告期間は7日です。
-
-
パスワード・エージング・ポリシーをExadataセキュア・デフォルト設定にリセットするには、次を使用します:
# /opt/oracle.cellos/host_access_control password-aging --secdefaults
Exadataのセキュアなデフォルト設定では、パスワードの最小の長さは15文字です。その他の設定は、出荷時のデフォルト・ポリシーに一致します。
-
既存のユーザーを変更して、新しいアカウント作成のポリシー設定(
host_access_control
をpassword-policy
オプションとともに使用して定義された設定)を使用するには、次を使用します:# /opt/oracle.cellos/host_access_control password-aging --policy
-
ユーザーの特定のポリシー設定を変更するには、ユーザーと次の属性の1つ以上を指定します:
-
--maxdays
: パスワード最大経過時間(日数)を指定します。 -
--mindays
: パスワード変更の間隔として許可される最小日数を指定します。 -
--warndays
: パスワード失効警告期間(日数)を指定します。
たとえば、次のコマンドを使用して、
oracle
OSユーザーのパスワードの最大経過時間を80日に設定します:# /opt/oracle.cellos/host_access_control password-aging --maxdays 80 --user oracle
-
-
-
システム認証ポリシー設定を管理するには、
pam-auth
オプションを指定してhost_access_control
コマンドを使用します。システム認証設定には、すべてのユーザーに適用されるパスワード複雑度とパスワード履歴ルールが含まれています。Oracle Exadata System Software 23.1.0およびOracle Linux 8以降、
pam-auth
オプションで管理されるセキュリティ設定は、Linuxauthselect
ユーティリティを使用してカスタムExadataセキュリティ・プロファイルにカプセル化されます。-
使用可能なオプションおよび設定の詳細は、次を使用します:
# /opt/oracle.cellos/host_access_control pam-auth --help
-
現在の認証設定を表示するには、次を使用します:
# /opt/oracle.cellos/host_access_control pam-auth --status
-
認証設定を出荷時のデフォルト設定にリセットするには、次を使用します:
# /opt/oracle.cellos/host_access_control pam-auth --defaults
出荷時のデフォルトの認証設定では、次のようになります:
-
ユーザー・アカウントは、15分以内に3回のログイン試行が失敗した後、15分間ロックされます。
-
ユーザー・パスワードを変更する場合、新しいパスワードは以前の10個のパスワードのいずれにも一致することはできません。
-
パスワードの複雑度のルールは、使用中のOracle Linuxのバージョンによって異なります。
Oracle Linux 7以降のシステムの場合:
-
パスワードの最小の長さは8文字です。
-
パスワードには、少なくとも1つの数字、1つの大文字、1つの小文字および他の1つの文字を含める必要があります。
-
パスワードに3回を超えて同じ文字を連続して使用することはできません。
-
パスワードには、同じクラス(数字、小文字、大文字またはその他の文字)から連続する4文字を超える文字を含めることはできません。
-
パスワードを変更するには、新しいパスワードに最低8文字の変更を含める必要があります。
Oracle Linux 6以前のシステムの場合、パスワードの最小の長さは5文字で、これ以上の複雑度の要件はありません。
-
-
-
認証設定をExadataセキュア・デフォルト設定にリセットするには、次を使用します:
# /opt/oracle.cellos/host_access_control pam-auth --secdefaults
Exadataセキュア・デフォルト設定では、次のようになります:
-
ユーザー・アカウントは、15分以内に3回のログイン試行が失敗した後、15分間ロックされます。
-
ユーザー・パスワードを変更する場合、新しいパスワードは以前の10個のパスワードのいずれにも一致することはできません。
-
パスワードの複雑度のルールは、使用中のOracle Linuxのバージョンによって異なります。
Oracle Linux 7以降のシステムの場合:
-
パスワードの最小の長さは15文字です。
-
パスワードには、少なくとも1つの数字、1つの大文字、1つの小文字および他の1つの文字を含める必要があります。
-
パスワードに3回を超えて同じ文字を連続して使用することはできません。
-
パスワードには、同じクラス(数字、小文字、大文字またはその他の文字)から連続する4文字を超える文字を含めることはできません。
-
パスワードを変更するには、新しいパスワードに最低8文字の変更を含める必要があります。
Oracle Linuxのバージョンが以前のシステムの場合、パスワードの最小の長さは8文字で、パスワードには少なくとも1つの数字、1つの大文字、1つの小文字、他の1つの文字が含まれている必要があります。または、文字の4つのクラス(数字、小文字、大文字またはその他の文字)のうち少なくとも3つを含む12文字以上のパスワードを使用できます。
-
-
-
特定の認証設定を変更するには、次のうち1つ以上を指定します:
-
--deny
: アカウント・ロックアウトをトリガーする間隔(--interval
で指定)内の必要な連続ログイン試行失敗回数を指定します。 -
--interval
: アカウント・ロックアウトをトリガーするために連続ログイン試行失敗が発生する秒数を指定します。 -
--lock
: アカウント・ロックアウトの期間(秒)を指定します。 -
--passwdqc
: この設定は、Oracle Linux 6以前のシステムにのみ適用されます。値は、様々なタイプのパスワードまたはパスフレーズに許可される最小長を定義するカンマ区切りリストです。この設定の詳細は、pam_passwdqc
Linuxのマニュアル・ページを参照してください。 -
--pwquality
: この設定は、Oracle Linux 7以降のシステムにのみ適用されます。値は、パスワードの最小の長さを定義する整数か、minlen
、dcredit
、ucredit
、lcredit
、ocredit
、difok
、maxrepeat
、maxclassrepeat
、minclass
、maxsequence
およびgecoscheck
属性を使用してパスワード複雑性ルールを定義するカンマ区切りリストです。パスワードの複雑度属性の詳細は、pam_pwquality
Linuxのマニュアル・ページを参照してください。 -
--remember
: 各ユーザーのパスワード履歴リストのサイズを指定します。パスワード変更の場合、新しいパスワードは、パスワード履歴リストにある以前のパスワードと一致することはできません。
たとえば、次のコマンドを使用して、10分以内に2回のログイン試行が失敗した後のロックアウト期間を20分に設定します:
# /opt/oracle.cellos/host_access_control pam-auth --lock 1200 --deny 2 --interval 600
-
-
3.5 Oracle Exadata System Softwareのユーザーとロールの作成
ロールに権限を付与し、ユーザーにロールを付与することで、ユーザーが実行できるOracle Exadata System Softwareコマンドを制御できます。
たとえば、ユーザーにLIST GRIDDISK
コマンドを実行可能にしALTER GRIDDISK
を実行不可にするよう指定できます。このレベルの制御は、システムへの完全なアクセスをごく少数のユーザーにのみ許可するOracle Cloud環境で役立ちます。
- Exadata System Softwareのユーザーの作成の概要
- ロールの作成およびロールに関する情報の取得
Oracle Exadata System Softwareユーザーのロールを作成するには、CREATE ROLE
コマンドを使用します。 - 権限の付与および取消し
GRANT PRIVILEGE
コマンドを使用して、Oracle Exadata System Softwareユーザーのロールに権限を付与します。 - ユーザーの作成
CREATE USER
コマンドを使用して、Oracle Exadata System Softwareユーザーを作成します。 - サーバーにリモートからアクセスするユーザーのパスワード有効期限の構成
CELL
属性を構成して、ユーザー・パスワードを期限切れにできます。 - ロールの付与および取消し
GRANT ROLE
コマンドを使用して、Oracle Exadata System Softwareユーザーにロールを作成します。
関連項目
親トピック: Oracle Exadataのユーザー・セキュリティ
3.5.1 Exadata System Softwareのユーザーの作成の概要
Oracle Exadata System Softwareユーザーは、オンプレミスまたはOracle Cloud環境でExaCLIを実行する場合に必要です。ExaCLIでは、計算ノードからリモートでセルを管理できます。計算ノード上でExaCLIを実行するときに、セル・ノードへの接続に使用するユーザー名を指定する必要があります。管理サーバー(MS)により、ユーザーの資格証明が認証され、そのユーザーによって発行されるコマンドの許可チェックが実行されます。そのユーザーがコマンドを実行する適切な権限を持っていない場合、MSによりエラーが返されます。
パスワードのセキュリティ・キーは、HMAC-SHA1とパスワード・ベース・キー導出関数2 (PBKDF2)を使用して暗号化されています。
Oracle Exadata System Softwareで使用するユーザーおよびロールを作成するステップの概要を次に示します。
- CREATE ROLEコマンドを使用してロールを作成します。
- GRANT PRIVILEGEコマンドを使用してロールに権限を付与します。
- CREATE USERコマンドを使用してユーザーを作成します。
- GRANT ROLEコマンドを使用してユーザーにロールを付与します。
REVOKE PRIVILEGEコマンドを使用して、ロールから権限を取り消すこともできます。ユーザーからロールを取り消すには、REVOKE ROLEコマンドを使用します。
3.5.2 ロールの作成およびロールに関する情報の取得
CREATE ROLE
コマンドを使用して、Oracle Exadata System Softwareユーザーのロールを作成します。
たとえば、管理者のロールを作成するには、次のコマンドを使用します。
CellCLI> CREATE ROLE admin
ロールを作成した後、GRANT PRIVILEGE
コマンドを使用してロールに権限を付与できます。ロールをユーザーに付与することもできます。たとえば:
CellCLI> GRANT PRIVILEGE ALL ACTIONS ON ALL OBJECTS TO ROLE admin
CellCLI> GRANT ROLE admin TO USER username
ロールに関する詳細情報を取得するには、LIST ROLE
コマンドを使用します。次のコマンドはadmin
ロールのすべての属性を返します。
CellCLI> LIST ROLE admin DETAIL
name: admin
privileges: object=all objects, verb=all actions,
attributes=all attributes, options=all options
3.5.4 ユーザーの作成
CREATE USER
コマンドを使用して、Oracle Exadata System Softwareユーザーを作成します。
新しく作成したユーザーは、何も権限を持っていません。Oracle Exadata System Software ユーザーには、ユーザーに付与されたロールを介して権限が付与されます。
3.5.5 サーバーにリモートにアクセスするユーザーのパスワードの有効期限の構成
CELL
属性を構成して、ユーザー・パスワードを期限切れにできます。
Oracle Exadata System Softwareリリース19.1.0では、REST APIまたはExaCLIなど、リモートでOracle Exadata System Softwareサーバーにアクセスするユーザーにパスワード・セキュリティを構成するための新しいCELL
属性があります。これらの属性によって、ユーザーがリモートでパスワードを変更できるかどうか、ユーザー・パスワードが期限切れになるまでの時間、およびパスワード有効期限の前にユーザーが警告メッセージを受け取る日数が決まります。デフォルトの構成では、ユーザー・パスワードは期限切れになりません。
ノート:
パスワードの有効期限用のCELL属性は、Oracle Exadata System Softwareで作成されたユーザーにのみ適用されます。パスワードの有効期限は、LIST USER
コマンドで表示されるユーザーにのみ適用され、celladmin
やoracle
などのオペレーティング・システム・ユーザーには適用されません。
3.6 Oracle Exadata Storage Serverのオペレーティング・システム・ユーザーのセキュリティ・ポリシー
オペレーティング・システムへのユーザー・アクセスは、安全で固定化されたパスワードの使用により安全を保証できます。
Oracle Exadata System Softwareを管理するオペレーティング・システム・ユーザーのパスワードは、Oracle Exadata Deployment Assistant (OEDA)によって実施されるセキュリティ・ガイドラインに準拠しています。詳細は、OEDAで実施されるデフォルト・セキュリティ設定に関する項を参照してください。
- パスワードの変更
ユーザーのパスワードを変更するには、オペレーティング・システムのpasswd
コマンドを使用します。 - オペレーティング・システム・ユーザーのセキュリティ・ポリシーの有効化
/opt/oracle.cellos/RESECURED_NODE
ファイルによって、セキュリティ・ポリシーが有効になります。 - 失敗したオペレーティング・システム・パスワードの試行の表示
- ロックされたオペレーティング・システム・ユーザー・アカウントのリセット
親トピック: Oracle Exadataのユーザー・セキュリティ
3.6.1 パスワードの変更
オペレーティング・システムのpasswd
コマンドを使用して、ユーザーのパスワードを変更します。
パスワードの期限が切れる7日前に、オペレーティング・システムのユーザーにはパスワードを変更する必要があることが通知されます。
3.6.2 オペレーティング・システム・ユーザーのセキュリティ・ポリシーの有効化
/opt/oracle.cellos/RESECURED_NODE
ファイルによって、セキュリティ・ポリシーが有効化されます。
ファイルが存在しない場合は、次のステップを実行してすべてのオペレーティング・システム・ユーザーのセキュリティ・ポリシーをリセットできます。
3.6.3 失敗したオペレーティング・システム・パスワードの試行の表示
faillock
オペレーティング・システム・ユーティリティを使用して、失敗したログイン試行を表示します。
たとえば、celladmin
ユーザーの失敗したログイン試行を表示するには:
# faillock --user celladmin
celladmin:
When Type Source Valid
2022-11-06 18:23:18 RHOST xxx.xxx.xxx.xxx V
2022-11-06 18:23:23 RHOST xxx.xxx.xxx.xxx V
2022-11-06 18:23:27 RHOST xxx.xxx.xxx.xxx V
出力例のxxx.xxx.xxx.xxxは、ログイン失敗の原因であるIPアドレスを表します。