2.1 Security-Enhanced Linuxの使用
Oracle Exadata System Softwareリリース21.2.0では、Oracle ExadataでのSecurity-Enhanced Linux (SELinux)のサポートが導入されています。
SELinuxは、必須アクセス制御(MAC)を含むアクセス制御セキュリティ・ポリシーをサポートするメカニズムを提供するLinuxカーネル・セキュリティ・モジュールです。
Oracle Exadata System Softwareリリース21.2.0以降、Oracle Exadata上のすべてのLinuxインストールには、Exadataユーザー、プログラム、プロセス、ファイルおよびデバイスに対してきめ細かい権限を実装する事前定義済のSELinuxポリシーが装備されています。各サーバーには、Oracle Exadata上のSELinuxに対して単純な管理および監視機能を提供するhost_access_controlユーティリティ(/opt/oracle.cellos/host_access_control)も含まれています。
デフォルトでは、すべてのストレージ・サーバー、物理データベース・サーバー、仮想マシン(VM)ホストまたはVMデータベース・サーバーに、事前定義済のExadataセキュリティ・ポリシーが含まれています。ただし、SELinuxはデフォルトで無効になっています。
SELinuxを許可モードまたは強制モードで有効にすることを選択できます。許可モードでは、SELinuxはシステムをアクティブに監視し、監査ログにポリシー違反を記録します。ただし、許可モードではブロックされるアクションはありません。強制モードが有効になっている場合、SELinuxはポリシー違反をアクティブにブロックし、監査ログに操作を記録します。
Oracle ExadataのSELinuxに関して、次の点に注意してください:
-
SELinuxを有効にする場合、事前定義済のExadataセキュリティ・ポリシーがサイトのすべてのアプリケーションおよびプロシージャと組み合せて動作するように、最初は許可モードをしばらく使用することをお薦めします。また、本番システムで許可モードを使用する前に、同等のテスト・システムでSELinuxを許可モードでテストする必要があります。
システムが許可モードの間、
ausearchなどの標準のSELinuxコマンドを使用してポリシー違反を監視する必要があります。許可モードでの完全なシステム操作でポリシー違反が発生しない場合、強制モードに簡単に移行できます。 -
事前定義されたExadataセキュリティ・ポリシーのソース・ファイルは、
/opt/oracle.SupportTools/selinuxにあります。ファイル・コンテキスト定義は/opt/oracle.SupportTools/selinux/Exadata.fcに含まれ、タイプ強制定義は/opt/oracle.SupportTools/selinux/Exadata.teに含まれています。これらのファイルを表示すると、Exadataセキュリティ・ポリシーを確認できます。 -
事前定義済Exadataセキュリティ・ポリシーの変更はサポートされていません。また、サポートされていない変更は、次回Oracle Exadata System Softwareをアップグレードしたときに上書きされます。
-
追加のセキュリティ・ポリシーを自由に実装できます。たとえば、標準のSELinuxオペレーティング・システム・コマンドを使用して追加のポリシーを手動で作成したり、
audit2allowコマンドを使用して、監査ログに記録されたポリシー違反に対処するポリシー定義を生成できます。
Oracle ExadataでSELinuxを管理するには、次の手順を使用します: