機械翻訳について
  1. セキュリティ・ガイド
  2. セキュアなデプロイメントのチェックリスト
  3. アカウントおよびパスワードのセキュリティ・チェックリスト

アカウントおよびパスワードのセキュリティ・チェックリスト

Oracle Private Cloud Applianceシステムの電源を初めて投入する場合は、システムを初期設定するために様々なタスクを実行する必要があります。 アカウントとパスワードは、予期しない変更が行われないように確認する必要があります。

インフラストラクチャ・アカウントとパスワードのセキュリティ・チェックリスト

ラックのインストールと構成が成功したら、すぐにデフォルトのパスワードを変更します。

更新するパスワードは次のとおりです:

  • コンピュート・ノードのパスワード

  • コンピュート・ノードのOracle Integrated Lights Out Manager (ILOM)パスワード

  • 管理ノードのパスワード

  • 管理ノードのILOMパスワード

  • リーフ・スイッチのパスワード

  • 管理スイッチ・パスワード

  • スパイン・スイッチ・パスワード

  • Oracle ZFS Storage Applianceパスワード

  • Oracle ZFS Storage Appliance ILOMパスワード

管理ノードには、インフラストラクチャのデフォルト・パスワードを変更する必要があるかどうかを確認するためのツールがあります。 これを実行するには:

  1. インストール・チームから提供されたデフォルトの管理ユーザーおよびパスワードを使用して、管理ノードにログインします。

  2. 次のコマンドを実行: /var/lib/pca-foundation/scripts/healthcheck.py.

ツールの出力には、出荷時のデフォルトから変更するパスワードが表示されます。

「サービス・エンクレーブ」アカウントおよびパスワードのセキュリティ・チェックリスト

インストール時および構成時に、SuperAdmin認可グループとパスワードを持つ初期ユーザーが「サービス・エンクレーブ」に設定されています。「Oracle Private Cloud Applianceインストレーション・ガイド」を参照してください。

「サービス・エンクレーブ」は、ユーザーが資格証明を共有しないマルチユーザー環境です。 「サービス・エンクレーブ」内のアクションはアプライアンス上のすべてのテナンシに影響するため、この領域に必要なユーザーはほとんどありません。 一般的なセキュリティ・ガイドラインは次のとおりです:

  • 資格証明を共有しません。

  • 「サービス・エンクレーブ」管理ツールへのアクセスが必要なユーザーごとにユーザーを作成します。 この演習では、より適切な監査トラッキングと個々のニーズの管理を可能にします。

  • 最小特権の規則を適用するには、その個人に最適な承認グループを選択します。

  • 新しいユーザーを作成するときは、共通パスワードを使用せず、新しいユーザーにはデフォルトの初期パスワードを使用しないでください。

  • パスワードを定期的に変更します。 「サービス・エンクレーブ」には、プロアクティブなパスワード変更またはタイムアウト通知はありません。

「サービス・エンクレーブ」では、認可グループのリストは静的です。 承認を変更するために既存のグループを変更することはできず、別の承認で新しいグループを作成することはできません。

サービス顧客アカウントとパスワードのセキュリティ・チェックリスト

「Oracle Private Cloud Applianceインストレーション・ガイド」のインストールおよび構成の直後に、デフォルトのCustomer Enclaveユーザーまたはテナンシはありません。

「サービス・エンクレーブ」管理者がテナンシを作成すると、初期ユーザーが作成され、パスワードが割り当てられます。

新しいテナンシ管理者がアカウントにログインし、「コンピュート・エンクレーブ」コンソール(https://adminconsole.<domain>)を使用してパスワードを変更します。

ログインしたら、ユーザー名が表示されるコンソールの右上にあるパスワードの変更ドロップダウンを使用します。 テナンシ管理者は、どのユーザー(自身を含む)でもリセットできない唯一のユーザー・アカウントです。 「サービス・エンクレーブ」 SuperAdminによって作成されたプライマリ・テナンシ管理者が使用できるオプションは、パスワードを安全に格納し、ログインの成功後にユーザー・インタフェースでパスワードの変更アクションを使用することです。

「コンピュート・エンクレーブ」のパスワード・ポリシーは次のとおりです:

  • パスワードの最小文字数は12文字です

  • パスワードに1つ以上の大文字が含まれています

  • パスワードに1つ以上の小文字が含まれています

  • パスワードに少なくとも1つの記号(@$!#%*?&)が含まれています

  • パスワードに1つ以上の数字が含まれています

パスワード・ポリシーは変更できません。

アカウントおよびパスワードのセキュリティ・チェックリストのモニタリングおよびロギング

Oracle Private Cloud Applianceのモニタリングおよびロギング機能には、次のコンソールからアクセスします:

  • Grafana: https://grafana.<domain>

  • Prometheus: https://prometheus.<domain>

Oracle Private Cloud Applianceでは、この層は両方のプラットフォーム(admin)に対して単一のユーザーを持ち、デフォルトのパスワードとともに提供されます。 インストールおよび構成後にこのパスワードを変更します。 パスワードを変更するには、rootおよび「インフラストラクチャ・レイヤーのパスワード・メンテナンス」で更新されたパスワードを使用して、インフラストラクチャ・レイヤーのいずれかの管理ノードにログインします。

ログインしたら、Python 3ランタイムおよびこのプログラムを使用してパスワードを更新します:

python3 /lib/python3.6/site-packages/pca_foundation/secret_service/scripts/sauron_credential_update.py -username <username> -password <password>

パスワード・ポリシーでは、次のパスワードが必要です:

  • 12-20文字の長さにする必要があります

  • 大文字、小文字および数字をそれぞれ1つ以上含める必要があります

  • 記号 -_+=を含めることができます

Oracle Private Cloud Applianceのモニタリングおよびロギング・ツールには、次の制限があります

  • ユーザーを追加できません

  • 資格証明更新ツールでは、リクエストの成功または失敗に関するパスワードまたは戻り情報は確認されません

  • GrafanaおよびPrometheus画面は、無効な試行後にユーザーをロックアウトしません