4.5 セキュアな環境の維持

セキュリティ措置を実装した後、それらを維持してシステムをセキュアに保つ必要があります。

ソフトウェア、ハードウェアおよびユーザー・アクセスを定期的に更新およびレビューする必要があります。たとえば、組織はOracle Exadata Database Machineにアクセスできるユーザーと管理者、およびそのデプロイされたサービスをレビューし、アクセスおよび権限のレベルが適切であるかどうかを確認する必要があります。レビューしない場合、ロールの変更やデフォルト設定の変更によって、個人に付与されたアクセス・レベルが意図せず高くなることがあります。操作および管理タスクのアクセス権をレビューして、各ユーザーのアクセス・レベルがロールおよび職責に合わせて調整されていることを確認してください。

組織で未認可の変更や構成のずれを検出するツールを活用し、セキュリティ・アップデートの準備を整えることをお薦めします。Oracle Enterprise Managerは、ハードウェア、デプロイされたアプリケーションおよびサービスの操作の問題に対処する統合されたソリューションを提供します。

• ネットワーク・セキュリティの維持
  
• システム・ログ情報の暗号化
  データベース・サーバーおよびストレージ・サーバー上の管理サーバー(MS)は、syslogconf属性をサポートします。Oracle Exadata System Softwareリリース19.3.0以降では、ログの転送を暗号化できます。
• 未認可のオペレーティング・システム・アクセスに対するガード
  AIDEは、システム上にファイルのデータベースを作成し、そのデータベースを使用してファイルの整合性を確認して、システム侵入を検出するユーティリティです。
• ソフトウェアおよびファームウェアの更新
  効果的でプロアクティブなソフトウェア管理はシステム・セキュリティの重要な部分です。
• Oracle Exadata Database Machine外部のデータ・セキュリティの確保
  Oracle Exadata Database Machineの外部に格納されているデータは、バックアップまたは取外し可能なハード・ドライブで保護することが重要です。

4.5.1 ネットワーク・セキュリティの維持

システムへのローカル・アクセスとリモート・アクセスのセキュリティを確保するために、次のガイドラインに従ってください。

• ネットワーク・スイッチの構成ファイルはオフラインで管理し、構成ファイルへのアクセスは認可された管理者のみに制限する必要があります。構成ファイルには各設定の説明がコメントとして含まれています。構成ファイルの静的コピーをソース・コード制御システムに保持することを検討してください。

  ネットワーク・スイッチの構成の詳細は、ネットワーク・スイッチのベンダーのドキュメントを参照してください。

• クライアント・アクセス・ネットワークを確認して、セキュアなホストおよびIntegrated Lights Out Manager (ILOM)設定が有効であることを確認します。設定を定期的に確認して、変更されていないことを確認します。

• 未認可アクセスを禁止することを明記したログイン・バナーを作成します。

• 必要に応じて、アクセス制御リストを使用して制限を適用します。

• 拡張セッションのタイムアウトを設定し、特権レベルを設定します。

• ネットワーク・スイッチへのローカル・アクセスとリモート・アクセスには、認証、認可、アカウンティング(AAA)機能を使用します。

• 侵入検知システム(IDS)のアクセスには、スイッチのポートのミラー化/スイッチ・ポート・アナライザ(SPAN)機能を使用します。

• MACアドレス(MAC ACL)に基づいてアクセスを制限するには、ポート・セキュリティを実装します。

• リモート構成を特定のIPアドレスに制限するときは、SSH (IP ACL)を使用します。

• Oracle Exadata Database Machineに接続されたスイッチのすべてのポートで自動トランキングを無効化します。

• 最小限のパスワードの複雑度ルールとパスワードの有効期限ポリシーを設定することによって、ユーザーに強力なパスワードを使用することを要求します。

• ロギングを有効にし、専用のセキュアなログ・ホストにログを送信します。

• NTPおよびタイムスタンプを使用して正確な時間情報を含めるようにロギングを構成します。

• 可能性があるインシデントをログで確認し、組織のセキュリティ・ポリシーに従ってそれらをアーカイブします。

• 標準のFIPS 140 (連邦情報処理標準)はセキュリティと暗号化に関連しています。FIPS 140は、米国商務省の米国標準技術局(National Institute of Standards and Technology: NIST)によって発行されている一連の標準です。FIPS 140は遷移中のデータおよび保存データを保護します。コンピューティング環境内における暗号化コンポーネントのセキュリティ標準を規定します。FIPS 140は、コンピューティング環境が公開されたセキュリティ・レベルに準拠していることを文書化する必要のある組織にとって役立ちます。多数の政府機関や金融機関でFIPS 140認定システムが使用されています。

  Oracle DatabaseレベルでFIPS 140を構成すると、Secure Sockets Layer (SSL)、透過的データ暗号化(TDE)、DBMS_CRYPTO PL/SQLパッケージおよびExadata Smart ScanでFIPS 140暗号モジュールを使用できるようになります。これは、Smart Scanオフロード操作の処理中にデータを保護します。

4.5.2 システム・ログ情報の暗号化

データベース・サーバーおよびストレージ・サーバー上の管理サーバー(MS)は、syslogconf属性をサポートします。Oracle Exadata System Softwareリリース19.3.0以降では、ログの転送を暗号化できます。

次のトピックでは、syslogとrsyslogが同じ意味で使用されます。これらはどちらもメッセージ・ロガーを参照します。

• syslogファイルの暗号化の概要
  syslog情報の暗号化を構成するには、証明書とsyslogconf属性を使用します。
• CAサーバーおよび中央rsyslogdサーバーの構成
  syslogの転送を暗号化する前に、証明書を生成し、認証局(CA)として機能するホストがそれらに署名する必要があります。この手順を実行する必要があるのは1回のみです。
• SYSLOGの暗号化のためのクライアントの構成
  サーバーIDが既知の場合にのみサーバーIDをチェックしてメッセージを送信するように、クライアントを構成します。
• syslogの暗号化が有効であることの確認
  rsyslogの暗号化の構成後、基本的なチェックを実行して暗号化が機能していることを検証できます。

4.5.2.1 syslogファイルの暗号化の概要

syslog情報の暗号化を構成するには、証明書とsyslogconf属性を使用します。

syslogconf属性によってデータベース・サーバーのsyslogルールが拡張されます。この属性を使用すると、特定のリモートsyslogdサービスに対象のsyslogメッセージが転送されるように指定できます。MSでは、MSのsyslog構成に応じて、転送されたメッセージがファイル、コンソールまたは管理アプリケーションに渡されます。これにより、セキュリティ監査、データ・マイニングなどのために、様々なサーバーからのシステム・ログを集約し、集中化されたロギング・サーバーで調べることができます。

rsyslog暗号化を有効にするために必要なステップの概要は次のとおりです。

1. 認証局(CA)を設定します。これには、certtoolコマンドがある任意のノードを使用できます。Exadata以外のサーバーを使用することをお薦めします。CAが自己署名証明書を作成します。証明書の暗号化キーは、安全な場所に格納する必要があります。この証明書は、他の証明書に署名するために使用されます。

2. 参加する各ノードの証明書を生成します。中央CAがない場合、Exadata管理者はCAで秘密キーと公開キーの両方を生成し、そのコピーを信頼できる各サーバーに配布できます。中央CAがある場合は、Exadata管理者が各サーバーの秘密キーを生成します。

3. 中央CAを使用している場合は、Exadata管理者が証明書リクエストを作成します。次に、このリクエストはCA管理者に送信され、CA管理者は証明書(公開キーを含む)を生成します。その後、CA管理者は、署名付き証明書をExadata管理者に返送します。

4. 各参加ノードに署名付き証明書をインストールします。中央CAを使用している場合は、Exadata管理者がCAによって署名された証明書をインストールします。中央CAを使用していない場合、Exadata管理者はCAで生成された秘密キーと公開キーのコピーをインストールします。

5. syslog中央サーバーを設定します。中央サーバーにはsyslog.conf設定が必要です。署名付き証明書も必要です。

6. CellCLIまたはDBMCLIを使用して、各クライアントでsyslogの暗号化を有効または無効にします。

これらのステップが完了すると、転送するsyslogが暗号化されます。

4.5.2.2 CAサーバーおよび中央rsyslogdサーバーの構成

syslogの転送を暗号化する前に、証明書を生成し、認証局(CA)として機能するホストがそれらに署名する必要があります。この手順を実行する必要があるのは1回のみです。

1. CAサーバーで、秘密キーと証明書を作成します。
   rsyslogドキュメントの「CAの設定」のステップに従います。rsyslogのドキュメントは、https://www.rsyslog.com/doc/v8-stable/tutorials/tls_cert_summary.htmlにあります。
   1. 秘密キーを生成します。

      # certtool--generate-privkey--outfile ca-key.pem --sec-param high
      Generating a 3072 bit RSA private key...

   2. 自己署名付き証明書を作成します

      プロンプトが表示されたら、証明書の組織に関する要求された情報を指定します。各証明書は指定した期間有効ですが、その後はすべての証明書を再作成する必要があります。このため、たとえば3650日(10年)のように長い期間を使用できます。

      この証明書を使用して他の証明書に署名する場合、この証明書が認証局に属しているかどうかを尋ねられたときに、Yを指定する必要があります。次の場合もYで応答します。

      • この証明書はTLS Webクライアント(またはサーバー)証明書ですか。
      • 証明書を署名(DHEおよびRSA-EXPORT暗号スイート)に使用しますか。
      • 証明書は暗号化(RSA暗号スイート)に使用されますか。
      • 証明書は他の証明書の署名に使用されますか。

      # certtool--generate-self-signed --load-privkey ca-key.pem --outfile ca.pem
      Generating a self signed certificate...
      Please enter the details of the certificate's distinguished name. Just press enter to ignore a field.
      Common name: common_name_for_CA
      UID:
      Organizational unit name: Org_unit_name
      Organization name: Org_name
      Locality name: CountyName_or_Locale
      State or province name: state_prov
      Country name (2 chars): Country_code
      Enter the subject's domain component (DC):
      This field should not be used in new certificates.
      E-mail: CA_user_email_address
      Enter the certificate's serial number in decimal (default: 6722248921586908930):
      
      Activation/Expiration time.
      The certificate will expire in (days): 3650
      Extensions.Does the certificate belong to an authority? (y/N): Y
      Path length constraint (decimal, -1 for no constraint):
      Is this a TLS web client certificate? (y/N): Y
      Will the certificate be used for IPsec IKE operations? (y/N):
      Is this a TLS web server certificate? (y/N): Y
      Enter a dnsName of the subject of the certificate: CA_hostname
      Enter a dnsName of the subject of the certificate:
      Enter a URI of the subject of the certificate:
      Enter the IP address of the subject of the certificate: CA_IP_Address
      Will the certificate be used for signing (DHE and RSA-EXPORT ciphersuites)? (Y/n):  Y
      Will the certificate be used for encryption (RSA ciphersuites)? (Y/n): Y
      Will the certificate be used to sign OCSP requests? (y/N):
      Will the certificate be used to sign code? (y/N):
      Will the certificate be used for time stamping? (y/N):
      Will the certificate be used to sign other certificates? (y/N): Y
      Will the certificate be used to sign CRLs? (y/N):
      Enter the URI of the CRL distribution point:
      X.509 Certificate Information:
              Version: 3
              Serial Number (hex): 5d4a39c736f0bf02
              Validity:
                      Not Before: Wed Aug 07 02:39:03 UTC 2019
                      Not After: Sat Aug 04 02:39:03 UTC 2029
              Subject: CN=common_name_for_CA,OU=Org_unit_name,O=Org_name,L=CountyName_or_Locale,ST=state_prov,C=Country_code,CA_user_email_address
              Subject Public Key Algorithm: RSA
              Algorithm Security Level: High (3072 bits)
                      Modulus (bits 3072):
                                     00:a5:b2:d6:5d:33:2c:79:2d:9c:79:f4:7b:0b:27:ef
                                     20:29:ff:21:0c:19:11:22:c1:17:26:fc:46:5c:bb:c0
                                     f6:9d:d0:ff:0d:4d:9e:25:18:62:53:8b:c6:4e:8b:05
      ...
                                     03:21:7d:87:af:2b:a2:0b:42:ee:45:36:d7:14:aa:e8
                                     6e:c1:25:4d:5d:66:db:fc:82:0c:92:69:66:04:70:a7
                                     5b
                      Exponent (bits 24):
                              01:00:01
              Extensions:
                      Basic Constraints (critical):
                              Certificate Authority (CA): TRUE
                      Key Purpose (not critical):
                              TLS WWW Client.
                              TLS WWW Server.
                      Subject Alternative Name (not critical):
                              DNSname: CA_host_name
                              IPAddress: CA_IP_Address
                      Key Usage (critical):
                              Digital signature.
                              Key encipherment.
                              Certificate signing.
                      Subject Key Identifier (not critical):
                                     2b3c1e34e5a0347b6e62fd893430fa0b20d2d0a3
      Other Information:
              Public Key ID:
                      2b3c1e34e5a0347b6e62fd893430fa0b20d2d0a3
              Public key's random art:
                      +--[ RSA 3072]----+
                      |                 |
                      | .               |
                      |. o o . .        |
                      | + o + +         |
                      |E . = + S        |
                      |o. . O . .       |
                      |  o o @ .        |
                      |   + = B .       |
                      |    o.o o        |
                      +-----------------+
      
      Is the above information ok? (y/N): y
      Signing certificate...
      #

   3. ca-key.pemファイルを保護します。
      ファイルを安全な場所に配置します。root以外のユーザーが、(読取り権限でも)証明書にアクセスできないことを確認します。

      # chmod 600 ca-key.pem

2. マシン証明書を生成します。

   rsyslogドキュメントの「マシン証明書の生成」のステップに従います。

   # certtool --generate-privkey --outfile machine-key.pem --sec-param high
   Generating a 3072 bit RSA private key...

   このコマンドはExadataの管理者が実行できます。出力ファイルはCAに送信されます。

   # certtool --generate-request --load-privkey machine-key.pem --outfile request.pem
   Generating a PKCS #10 certificate request...
   Common name: Trusted_server
   Organizational unit name: Org_unit_name
   Organization name: Org_name
   Locality name: CountryName_or_Locale
   State or province name: state_prov
   Country name (2 chars): Country_code
   Enter the subject's domain component (DC):
   UID:
   Enter a dnsName of the subject of the certificate: Trusted_server_hostname
   Enter a dnsName of the subject of the certificate:
   Enter a URI of the subject of the certificate:
   Enter the IP address of the subject of the certificate: Trusted_server_IP
   Enter the e-mail of the subject of the certificate:
   Enter a challenge password:
   Does the certificate belong to an authority? (y/N):
   Will the certificate be used for signing (DHE and RSA-EXPORT ciphersuites)? (Y/n): Y
   Will the certificate be used for encryption (RSA ciphersuites)? (Y/n): Y
   Will the certificate be used to sign code? (y/N):
   Will the certificate be used for time stamping? (y/N):
   Will the certificate be used for IPsec IKE operations? (y/N):
   Will the certificate be used to sign OCSP requests? (y/N):
   Is this a TLS web client certificate? (y/N): Y
   Is this a TLS web server certificate? (y/N): Y
   
   

   このコマンドは、前述のコマンドで生成されたリクエストを使用して、CA管理者が実行します。この例での各プロンプトへの応答を確認します。

   #certtool --generate-certificate --load-request request.pem --outfile machine-cert.pem 
    --load-ca-certificate ca.pem --load-ca-privkey ca-key.pem
   Generating a signed certificate...
   Enter the certificate's serial number in decimal (default: 6722252284267403216):
   
   Activation/Expiration time.
   The certificate will expire in (days): 3650
   
   Extensions.
   Do you want to honour the extensions from the request? (y/N):
   Does the certificate belong to an authority? (y/N):
   Is this a TLS web client certificate? (y/N): y
   Will the certificate be used for IPsec IKE operations? (y/N):
   Is this a TLS web server certificate? (y/N): y
   Enter a dnsName of the subject of the certificate: Trusted_server
   Enter a dnsName of the subject of the certificate:
   Enter a URI of the subject of the certificate:
   Enter the IP address of the subject of the certificate: Trusted_server_IP_addr
   Will the certificate be used for signing (DHE and RSA-EXPORT ciphersuites)? (Y/n): y
   Will the certificate be used for encryption (RSA ciphersuites)? (Y/n): y
   Will the certificate be used to sign OCSP requests? (y/N):
   Will the certificate be used to sign code? (y/N):
   Will the certificate be used for time stamping? (y/N):
   X.509 Certificate Information:
           Version: 3
           Serial Number (hex): 5d4a3cd6265117d0
           Validity:
                   Not Before: Wed Aug 07 02:52:06 UTC 2019
                   Not After: Sat Aug 04 02:52:06 UTC 2029
           Subject: OU=Org_unit_name,O=Org_name,L=CountryName_or_Locale,ST=state_prov,C=Country_code
           Subject Public Key Algorithm: RSA
           Algorithm Security Level: High (3072 bits)
                   Modulus (bits 3072):
                                  00:cf:f6:44:d4:e0:a8:b5:e6:48:8b:26:cb:59:c4:47
                                  c5:f7:03:5f:99:88:ac:ed:94:d4:90:92:e4:61:75:4c
                                  67:c4:16:c2:bf:31:40:f4:92:1e:94:73:08:d1:d5:3a
   ...
                                  14:2f:08:02:74:f2:43:40:37:29:bd:6e:92:a6:07:6e
                                  99:1e:e5:67:b8:0c:eb:a7:3d:9b:a5:35:46:8c:d3:e4
                                  f7
                   Exponent (bits 24):
                           01:00:01
           Extensions:
                   Basic Constraints (critical):
                           Certificate Authority (CA): FALSE
                   Key Purpose (not critical):
                           TLS WWW Client.
                           TLS WWW Server.
                   Subject Alternative Name (not critical):
                           DNSname: Trusted_server
                           IPAddress: Trusted_server_IP_addr
                   Key Usage (critical):
                           Digital signature.
                           Key encipherment.
                   Subject Key Identifier (not critical):
                                  7c343773a33cdbc6113fd05b3418ad129e9c4a64
                   Authority Key Identifier (not critical):
                                  2b3c1e34e5a0347b6e62fd893430fa0b20d2d0a3
   Other Information:
           Public Key ID:
                   7c343773a33cdbc6113fd05b3418ad129e9c4a64
           Public key's random art:
                   +--[ RSA 3072]----+
                   |             .+..|
                   |         E . ..o.|
                   |        o = B.=..|
                   |       . o X *.+o|
                   |        S o = .o.|
                   |         o   = ..|
                   |            . +  |
                   |             .   |
                   |                 |
                   +-----------------+
   
   Is the above information ok? (y/N): y
   Signing certificate...

3. rsyslogdサーバーを構成します。

   指定されたrsyslogdサーバーに証明書をインストールします。サーバーには、machine-cert.pem、machine-key.pemおよびca.pemのコピーが必要です。これらの証明書を/etc/pki/rsyslog/rsyslog.confファイルに追加します。

   root以外のユーザーが、(読取り権限でも)証明書にアクセスできないことを確認します。

   # chmod 600 cert_name.pem

   CAからの証明書を持つドメインのすべてのマシンからのメッセージを受け入れるように、サーバーを構成します。この設定では、ワイルドカードを使用して、新しいシステムを簡単に追加できます。ワイルドカードを使用すると、*.domainと一致する名前を持つシステムからのメッセージをサーバーが受け入れることができます。たとえば、ドメインがexample.netの場合、異なるドメイン・ツリーの許可されたピアを受け入れるには、次の構成を使用します。

   $InputTCPServerStreamDriverPermittedPeer "*.example.net","*.example.com"

   次の例は、rsyslogd中央サーバーのサンプルの/etc/pki/rsyslog/rsyslog.confファイルを示しています。この例では、rsyslogdサーバーを構成して、任意のサーバーからのメッセージをポート10514で受け入れます。

   $ModLoad imtcp
   # make gtls driver the default and set certificate files
   $DefaultNetstreamDriver="gtls"
   $DefaultNetstreamDriverCAFile="/etc/pki/rsyslog/ca.pem"
   $DefaultNetstreamDriverCertFile="/etc/pki/rsyslog/machine-cert.pem"
   $DefaultNetstreamDriverKeyFile="/etc/pki/rsyslog/machine-key.pem")
   
   $InputTCPServerStreamDriverAuthMode x509/name 
   $InputTCPServerStreamDriverPermittedPeer * 
   $InputTCPServerStreamDriverMode 1 # run driver in TLS-only mode 
   $InputTCPServerRun 10514 # start up listener at port 10514

4. rsyslogdプロセスを再開します。

   #service rsyslog stop
   
   #service rsyslog start

4.5.2.3 SYSLOG暗号化のためのクライアントの構成

サーバーIDが既知の場合にのみサーバーIDをチェックしてメッセージを送信するように、クライアントを構成します。

この構成により、悪意のある実行者がsyslogデータにアクセスできなくなります。これらのステップは、syslogクライアントを実行している各サーバーで実行する必要があります。

このタスクを開始する前に、CAサーバーおよび中央rsyslogdサーバーの構成のステップを完了しておく必要があります。この手順では、rsyslogd中央サーバーのIPアドレスとポート番号が必要になります。

1. ca.pem、machine-key.pemおよびmachine-cert.pem証明書を中央rsyslogdサーバーからクライアント・サーバーの/etc/pki/rsyslog/ディレクトリにコピーします。
2. CellCLIまたはDBMCLIを使用して、クライアント・サーバーのsyslogconf属性を変更します。
   CellCLIまたはDBMCLIコマンドは、syslogconfに指定した値をrsyslog.confファイルに追加し、syslogdプロセスを再起動します。

   ストレージ・サーバー・クライアントの場合は、次のようなコマンドを使用します。

   ALTER CELL syslogconf=('$DefaultNetstreamDrivergtls',\
   '$DefaultNetstreamDriverCAFile /etc/pki/rsyslog/ca.pem',\
   '$DefaultNetstreamDriverCertFile /etc/pki/rsyslog/machine-cert.pem',\
   '$DefaultNetstreamDriverKeyFile /etc/pki/rsyslog/machine-key.pem',\
   '$ActionSendStreamDriverAuthMode x509/name',\
   '$ActionSendStreamDriverPermittedPeer *',\
   '$ActionSendStreamDriverMode 1','user.* @@rsyslogd_server_IP_address:port')

   データベース・サーバーにsyslog暗号化を構成する場合は、DBMCLIを使用し、前述のコマンドのALTER CELLをALTER DBSERVERに置き換えます。

3. syslogconf属性が正しく更新されたことを確認します。

   CellCLI> LIST CELL ATTRIBUTES syslogconf
         $DefaultNetstreamDriver               gtls
         $DefaultNetstreamDriverCAFile         /etc/pki/rsyslog/ca.pem
         $DefaultNetstreamDriverCertFile       /etc/pki/rsyslog/machine-cert.pem
         $DefaultNetstreamDriverKeyFile        /etc/pki/rsyslog/machine-key.pem
         $ActionSendStreamDriverAuthMode       x509/name
         $ActionSendStreamDriverPermittedPeer  * 
         $ActionSendStreamDriverMode           1  
         user.*                                @@rsyslogd_server_IP_address:port

   データベース・サーバーにsyslog暗号化を構成する場合は、DBMCLIを使用し、前述のコマンドのLIST CELLをLIST DBSERVERに置き換えます。

4. syslog情報を暗号化する必要がある各クライアント・サーバーで、これらのステップを繰り返します。

4.5.2.4 syslogの暗号化が有効であることの確認

rsyslogの暗号化の構成後、基本的なチェックを実行して暗号化が機能していることを検証できます。

1. Syslog構成を検証します。

   データベース・サーバーでは、次のコマンドを使用します。

   DBMCLI> ALTER DBSERVER VALIDATE SYSLOGCONF 'kern.info'

   ストレージ・サーバーでは、次のコマンドを使用します。

   CellCLI> ALTER CELL VALIDATE SYSLOGCONF 'kern.info'

2. /var/log/messagesでメッセージを確認します。
3. /var/log/messagesでrsyslogのエラー・メッセージを確認します。
4. メッセージが暗号化された形式で送信されることを検証するには、tcpdumpユーティリティを使用します。

   ターゲット・サーバーで次のコマンドを使用します。

   % tcpdump -A src source-server-IP-address 

   tcpdumpコマンドからの出力は、読取り可能なテキストではない必要があります。

4.5.3 未認可のオペレーティング・システム・アクセスに対するガード

AIDEは、システム上にファイルのデータベースを作成し、そのデータベースを使用してファイルの整合性を確認して、システム侵入を検出するユーティリティです。

• Advanced Intrusion Detection Environment (AIDE)について
  AIDEは、システムが侵害された場合に影響を受けるファイルを追跡するのに役立ちます。
• AIDEコンポーネントの管理
  AIDEを管理するには、exadataAIDEユーティリティを使用できます。
• カスタムAIDEルールの追加
  AIDEのメタデータの初期化ステップおよび日次cronチェック中に特定のディレクトリの変更をチェックしないように、AIDEに指示できます。
• Exadataソフトウェア更新時のAIDEアラートの管理
  ソフトウェアおよびハードウェアの更新とインストールは、オペレーティング・システム・ファイルのサイズおよび性質を変更する傾向があります。したがって、変更後にはAIDEデータベースを再生成する必要があります。

4.5.3.1 Advanced Intrusion Detection Environment (AIDE)について

AIDEは、システムが侵害された場合に影響を受けるファイルを追跡するのに役立ちます。

AIDEは、特定のディレクトリのファイルに対する変更についてシステムをモニターするdaily cronジョブを実行します。構成ファイルで指定されたルールによって定義されているシステム内のすべてのファイルのスナップショットを取得します。AIDEは、現在のファイルと、以前に取得されたファイルのスナップショットを比較します。スナップショット・ファイルのコンテンツが変更されると、AIDEは自動的にCRITICALソフトウェア・アラートを生成します。AIDEでは、デフォルトのアラート宛先電子メールが使用され、構成されたSMTP電子メール・アドレスにアラート電子メールが送信されます。日次のAIDEスキャンの結果は、/var/log/aide/aide.logに書き込まれます。

AIDEで作成されたファイル・スナップショット・データベースは、/var/lib/aide/aide.db.gzに格納されます。特定のシステムで行われる処理を毎日監査する場合は、このファイルを毎日バックアップできます。

4.5.3.2 AIDEコンポーネントの管理

AIDEを管理するには、exadataAIDEユーティリティを使用できます。

AIDEは、Exadata System Softwareリリース19.1では事前構成されています。この機能を使用するのに、設定タスクを実行する必要はありません。

exadataAIDEの構文

このユーティリティは/opt/oracle.SupportTools/exadataAIDEにあります。

exadataAIDE [-s|-status] [-e|enable] [-d|disable] [-u|-update] [-h|help]

構文オプションの説明:

• -s[tatus]: AIDE daily cronジョブの現在のステータスを出力します
• -e[nable]: AIDE daily cronジョブを有効にします
• -d[isable]: AIDE daily cronジョブを無効にします
• -u[pdate]: AIDEデータベース・メタデータを更新し、日次スキャンを実行します
• -h[elp]: コマンド構文とヘルプ情報を出力します

• aide cronジョブの現在のステータスを取得します。

  exadataAIDE –status

• 日次AIDEスキャンを無効にします。

  exadataAIDE –disable

• 日次AIDEスキャンを有効にします。

  exadataAIDE –enable

• システムの変更後にAIDEデータベースを更新します。

  exadataAIDE –update

4.5.3.3 カスタムAIDEルールの追加

AIDEのメタデータの初期化ステップおよび日次cronチェック中に特定のディレクトリの変更をチェックしないように、AIDEに指示できます。

1. サーバーまたは仮想マシンにrootユーザーとしてログインします。
2. ファイル/etc/aide.confを編集します。
   AIDEがスキャン中にスキップするディレクトリを追加します。ディレクトリ・パスに感嘆符で接頭辞を付けます。

   # Ignore /opt/myapp directory content
   !/opt/myapp

3. AIDEデータベース・メタデータを更新します。

   # /opt/oracle.SupportTools/exadataAIDE -u

AIDEでは、先行する/opt/myappディレクトリの内容の変更に関するアラートは発生しません。

4.5.3.4 Exadataソフトウェア更新時のAIDEアラートの管理

ソフトウェアおよびハードウェアの更新とインストールは、オペレーティング・システム・ファイルのサイズおよび性質を変更する傾向があります。したがって、変更後にはAIDEデータベースを再生成する必要があります。

ソフトウェアの更新時に偽のアラームを削減するには、次のステップを実行します。

ノート:

Oracle Exadata Deployment Assistant(OEDA)には、ソフトウェアのインストールまたは更新時に誤ったアラートを回避するためのインテリジェンスが組み込まれています。

1. AIDEモニタリングを無効にします。

   exadataAIDE –disable

2. システム上のソフトウェアを更新します。
3. AIDEモニタリングを再度有効にします。

   exadataAIDE –enable

4. 最近のファイル変更でAIDEデータベースを更新します。

   exadataAIDE –update

4.5.4 ソフトウェアおよびファームウェアの更新

効果的でプロアクティブなソフトウェア管理はシステム・セキュリティの重要な部分です。

新しいリリースとソフトウェア・アップデートを介して、セキュリティの強化が導入されます。ソフトウェアの最新のリリース、およびすべての必要なセキュリティ・アップデートを装置にインストールすることをお薦めします。Oracle推奨パッチおよびセキュリティ・アップデートを適用することは、ベースライン・セキュリティを確立するためのベスト・プラクティスです。

Oracle Exadataデータベース・サーバーおよびストレージ・サーバーのオペレーティング・システムとカーネルの更新は、Oracle Exadata System Softwareの更新で配信されます。配電ユニット(PDU)ファームウェアの更新は、ソフトウェアおよび他のファームウェアの更新とは別に処理されます。PDUでOracle Exadataの最新の承認済ファームウェアが動作していることを確認してください。PDUファームウェアの更新は頻繁には発行されないため、通常は、Oracle Exadata System Softwareのアップグレード時にPDUファームウェア・リリースをチェックすれば十分です。

ノート:

ネットワーク・スイッチなどのデバイスに搭載されたファームウェアには、パッチやファームウェア更新が必要なものもあります。

• ILOMバージョン5のSSHキーの再生成
  ILOMバージョン5を含むシステムでは、キー・サイズが3072ビットのSSHキーを作成できます。

4.5.4.1 ILOMバージョン5のSSHキーの再生成

ILOMバージョン5を搭載したシステムでは、キー・サイズが3072ビットSSHキーを作成できます。

以前のバージョンのIntegrated Lights Out Manager (ILOM)は1024ビットのSSHキーをサポートしていますが、ILOMバージョン5は3072ビットのSSHキーをサポートしています。

既存のExadataシステムをILOMバージョン5にアップグレードする場合、アップグレードされたシステムでは元の1024ビットSSHキーが保持されます。3072ビットSSHキーを使用するには、次のコマンドを使用して、ILOMサービス・プロセッサでSSHキーを手動で再生成する必要があります。

-> set /SP/services/ssh generate_new_key_type=rsa generate_new_key_action=true

SSHキーを再生成した後、ILOMに問い合せて公開キーの値を報告できます。

-> show /SP/services/ssh/keys/rsa

/SP/services/ssh/keys/rsa 
          Targets: 
 
          Properties:     
            fingerprint = hex-id     
            fingerprint_algorithm = SHA1     
            length = 3072     
            privatekey = (Cannot show property)
            publickey = public-key-value

ノート:

ILOMバージョン5で最初にデプロイされたシステムは、デフォルトで3072ビット・キーを使用します。

4.5.5 Oracle Exadata Database Machine外部のデータ・セキュリティの確保

Oracle Exadata Database Machineの外部に格納されているデータは、バックアップまたは取外し可能なハード・ドライブで保護することが重要です。

Oracle Exadata Database Machineの外部にあるデータは、重要なデータをバックアップすることによって保護できます。その後、データをオフサイトの安全な場所に保管する必要があります。組織のポリシーおよび要件に従ってバックアップを保持します。

古いハード・ドライブを廃棄するときは、ドライブを物理的に破壊するか、ドライブ上のすべてのデータを完全に消去してください。ファイルを削除したり、ドライブを再フォーマットしても、ドライブ上のアドレス・テーブルのみが削除されます。ファイルが削除されたり、ドライブが再フォーマットされた後でも、情報はドライブから回復できます。Oracle Exadata Database Machineのディスク保存サポート・オプションを使用すると、置き換えたすべてのハード・ドライブとフラッシュ・ドライブをオラクル社に返却しないで保存できます。

CellCLIのDROP CELLDISKコマンドには、データを上書きすることによってデータをセキュアに消去するオプションが含まれています。Oracle Exadata Storage Serverドライブに再デプロイメントまたは別の目的で消去する必要がある機密データが含まれている場合は、ストレージ・セルでセキュアな消去機能を使用する必要があります。ERASEオプションによって、すべてのデータがランダム・データで上書きされ、最大7回消去されます。これにより、確実にデータが回復できなくなり、データは完全に消去されます。

Oracle Exadata System Softwareリリース19.1.0以降では、DROP CELLDISKを使用し、1パス、3パスまたは7パス方式を使用してディスクを消去する場合、基礎となるハードウェアでサポートされていれば、Oracle Exadata System Softwareが、より適切で高速なSecure Eraserを使用します。