2 Oracle Database Applianceのセキュリティ機能

Oracle Database Applianceは、ハードウェアおよびソフトウェア強化プロセスを使用してシステムを保護し、レイヤー化されたセキュリティ戦略のデプロイを支援します。

トピック:

• Oracle Database Applianceセキュリティ機能について
  Oracle Database Applianceのコア・コンポーネントには、強化構成とセキュリティ機能があります。
• Oracle Database Applianceおよび共通脆弱性(CVE)
  Oracle Database Applianceソフトウェアの各リリースには、必要なOracle Linux RPMのみ、つまり、潜在的な脆弱性を最小限に抑えるために、使用可能なOracle Linux RPM全体の約20%が含まれています。
• セキュリティ問題の特定とセキュリティ更新の取得
  Oracle Database Applianceは、業界をリードするセキュリティ・スキャナを使用して、スタック全体にわたって定期的に広範なセキュリティ・スキャンを実行します。
• Oracle Database Applianceセキュリティのマルチユーザー・アクセスについて
  マルチユーザー・アクセスは、Oracle Database Applianceシステムのセキュリティを強化し、ロールを分離するための効率的なメカニズムを提供します。
• システムの起動におけるバイナリの制限
  Oracle Database Appliance X10では、セキュア・ブートがデフォルトで有効になっています。
• 分離ポリシーの使用
  分離ポリシーは、よりセキュアなマルチテナント・サービスを提供します。
• データへのアクセスの制御
  データ、ワークロード、インフラストラクチャへのアクセスを制御することで、セキュリティを高めます。
• 暗号化サービスの使用
  暗号化サービスは、保存済、送信中および使用中の情報を保護するのに役立ちます。
• Oracle Database Applianceでのデータベースの監視および監査
  Oracle Database Applianceには、Oracle Database Fine Grained Auditing (FGA)、Oracle Audit VaultおよびOracle Database Firewall Remote Monitorがあり、これらにより包括的な監視および監査機能が提供されます。
• Oracle Database ApplianceでのFIPS 140-2コンプライアンスについて
  Oracle Database ApplianceでのFIPS 140-2の実装方法を理解します。
• Oracle Database ApplianceでのSTIGコンプライアンスのチェック
  Oracle Database Applianceがセキュリティ技術導入ガイドライン(STIG)に準拠しているかどうかをチェックする方法を理解します。
• Oracle Linuxセキュリティ・スクリプトSTIG auto_answerファイルについて
  STIGスクリプトの実行時に、/opt/oracle/dcs/stig/auto_answerにあるauto_answerファイルを使用して問合せへのレスポンスを格納する方法を理解します。
• Oracle Database ApplianceでのSTIGの例外について
  セキュリティ技術導入ガイドライン(STIG)例外の理由と、STIG IDを修正できない理由を理解します。
• セキュアな管理のためのOracle ILOMの使用
  Oracle Integrated Lights-Out Management (Oracle ILOM )では、帯域外の全域管理が可能となり、Oracle Database Applianceのリモート管理機能が提供されています。

Oracle Database Applianceセキュリティ機能について

Oracle Database Applianceのコア・コンポーネントには、強化構成とセキュリティ機能があります。

組織は、レイヤー化されたセキュリティ戦略の一環として、Oracle Database Applianceのセキュリティ機能を使用できます。

強化構成

Oracle Database Applianceは、次のような強化手順をお薦めします。

• インストールするパッケージを最小限に整理して、不要なパッケージをサーバーにインストールしないでください。

• Oracle Database Applianceノードでは、必要なサービスのみを有効にします。

• オペレーティング・システムのユーザーを監査します。

• chrony、SSHおよび他のサービス用に構成を保護します。

Oracle Database Applianceは、システム機能に必要な必須かつセキュアなサービスのみを有効にします。Oracle Database Applianceがインストールする一連のRPMのうち、インストール時にデフォルトで有効になっている依存サービスは、不要な場合は無効になります。Oracle Database Applianceでは、定期的にセキュリティ・スキャンを実行して不要なサービスを識別し、インストール時にそのようなサービスを停止します。たとえば、rhnsd、smartd、hwmgmtd、ibacm rpcidmapd、hmp-interconnect、hmp-ipmi、sssd、abrt-vmcoreなどのsystemdサービスです。デフォルト構成で提供されるサービスは、よりセキュアになるように変更できます。たとえば、SNMPでSNMPv1、SNMPv2およびパブリック・コミュニティを無効にする、sshdサービスの弱い暗号化を無効にする、ILOMインターコネクト・ネットワークを無効にするなどです。

セキュリティ機能

Oracle Database Applianceアーキテクチャは、コア・コンポーネントのためのセキュリティ機能を提供します。この機能は、次のカテゴリにグループ化されます。

• 分離ポリシー

• データへのアクセスの制御

• 暗号化サービス

• 監視および監査

• Oracle Integrated Lights Out Manager (ILOM)

Oracle Database Applianceおよび共通脆弱性(CVE)

Oracle Database Applianceソフトウェアの各リリースには、必要なOracle Linux RPMのみ、つまり、潜在的な脆弱性を最小限に抑えるために、使用可能なOracle Linux RPM全体の約20%が含まれています。

これらのRPMが誤って上書きされないように、Oracle Database Applianceでは、バージョン・ロックによってもRPMが保護されています。特定のCVEがOracle Database Applianceに影響するかどうか、またはCVEが修正される可能性がある時期については、Oracle Supportに連絡してください。

セキュリティ問題の特定とセキュリティ更新の取得

Oracle Database Applianceは、業界をリードするセキュリティ・スキャナを使用して、スタック全体にわたって定期的に広範なセキュリティ・スキャンを実行します。

Oracle Database Applianceでは、Oracleセキュリティ標準に準拠して、次のスキャンを実行してソフトウェア・スタックの脆弱性を検出します。

• オラクル社が所有するOpen Source Compliance Service (OSCS)スキャンと呼ばれる独自のスキャンでは、未解決の脆弱性がないか、Oracle Database Applianceソフトウェアが使用するオープン・ソース・ソフトウェアをスキャンします。このスキャンには、Oracle Database Applianceが使用するオープン・ソース・ソフトウェアでのマルウェア・スキャンも含まれます。すべてのオープンソースおよびサードパーティ・ソフトウェアは、Oracle内に内部的に構築されています。
• Tenable Nessus脆弱性スキャンは、ベア・メタル・システムおよびDBシステムで実行され、脆弱性を特定します。
• Microfocus Webinspectスキャンは、DCSソフトウェアに対して実行され、REST APIのセキュリティを確認します。
• Sonatypeスキャンは、サードパーティ・ソフトウェアに脆弱性がないか、DCSソフトウェアをスキャンするために使用されます。
• Fortifyは、静的コード分析に使用されます。

Oracle Database Applianceセキュリティのマルチユーザー・アクセスについて

マルチユーザー・アクセスは、Oracle Database Applianceシステムのセキュリティを強化し、ロールを分離するための効率的なメカニズムを提供します。

マルチユーザー・アクセスが有効でない場合は、単一のOracle Database Applianceアカウント(ユーザー名とパスワード)を使用して、Applianceへの接続、ODACLIコマンドの実行またはブラウザ・ユーザー・インタフェース(BUI)へのログインを行います。rootユーザーはOracle Database Applianceですべての管理を実行します。マルチユーザー・アクセスが有効である場合は、データベース管理者がデータベースを管理するための個別のアクセスを提供するオプションがあります。また、ブラウザ・ユーザー・インタフェース内のリソースの表示が、ユーザー・ロールごとにフィルタされます。rootアクセスはOracle Database Applianceのシステム管理者に制限されています。システム管理者はrootアクセスが必要になるシステム・ログにアクセスしたり、問題をデバッグできます。

マルチユーザー・アクセスを有効にする場合は、異なるロールを持つ複数のユーザーを作成して、他のユーザーが作成したリソースへのアクセスを制限したり、ODACLIコマンドまたはBUIを使用して実行できる操作のセットを制限できます。設定したユーザー資格情報と同じものを使用して、BUIにログインしたり、ODACLIコマンドを実行できます。また、BUIはリソースのセットへのアクセスに基づいて、リソースと情報を表示します。個別の「Multi-User Access Management」タブは、システム内のユーザーとリソースを管理するodaadminユーザーのみが使用できます。

マルチユーザー・アクセスを有効にするには、ODACLIコマンドを実行するためのパスワードを指定する必要があります。認証に成功すると、有効期間が120分のトークンが生成されます。その期間内に実行するODACLIコマンドにはパスワードが不要であり、実行が成功するたびにトークンが更新され、有効期間が延長されます。非アクティブであったためにトークンの有効期限が切れると、ODACLIコマンドの実行時にパスワードの入力を求められます。

関連項目:

ハードウェア・モデルについては、Oracle Database Applianceデプロイメントおよびユーザーズ・ガイドを参照してください。

システムの起動におけるバイナリの制限

Oracle Database Appliance X10では、セキュア・ブートがデフォルトで有効になっています。

• セキュア・ブートの理解
  セキュア・ブートは、システムをブートできるバイナリを制限するために使用する方法です。
• セキュア・ブートの有効化および無効化
  ブート・プロセス中に「Setup」を開始することで、セキュア・ブート設定を変更できます。

セキュア・ブートの理解

セキュア・ブートは、システムをブートできるバイナリを制限するために使用する方法です。

セキュア・ブートを使用すると、システムUEFIファームウェアでは、信頼できるエンティティの暗号化署名を使用するブート・ローダーを使用できます。UEFIファームウェアで実行されるプロセスはすべて、システムが信頼できると認識するキーで署名されている必要があります。サーバーを再起動するたびに、ブート・シーケンス内のすべてのコンポーネントが検証されます。これにより、マルウェアがブート・シーケンスに埋込みコードを隠すことを防止できます。

ロード可能なカーネル・モジュールは信頼できるキーで署名されている必要があり、署名がない場合はカーネルにロードできません。次の信頼できるキーは、UEFI NVRAM変数に格納されます。

• UEFI Secure Boot Database Key (DB): 既知のキーを含む署名データベースです。DBに対して確認できるバイナリのみが、BIOSによって実行されます。
• Forbidden Signature Database Key (DBX): ブロックされているキーです。DBX内のエントリと一致するキーを持つオブジェクトをロードしようとすると、拒否されます。これは、正しくないキーを示すリストです。
• Machine Owner Key (MOK): インストールするカーネル・モジュールのためにユーザーが追加したキーです。
• Platform Key (PK): ハードウェア・ベンダーによってインストールされたキーです。このキーは、ベンダーによってインストールされ、Oracle ILOMファームウェア内にあります。このキーには、ホストからはアクセスできません。
• Key Exchange Key (KEK): 署名データベースの更新に必要なキーです。UEFI構成メニューによるキーの追加、キーの変更またはセキュア・ブートの有効化および無効化には、ユーザーがシステム・コンソールに物理的にアクセスできる必要があります。Linuxを実行するほとんどのUEFI対応サーバーでは、デフォルトのブート・ローダーはgrub2です。セキュア・ブートが有効になっている場合は、さらにshimブート・ローダーが必要です。セキュア・ブート・モードで起動している場合は、最初にshimloaderが呼び出されます。それは、信頼できる署名がこれに含まれているためです。shimloaderは、次にgrub2をロードします。これはその後、オペレーティング・システム・カーネル(これも署名されている)をロードします。

関連項目:

『Oracle Linux UEFI Secure Bootの操作』(https://docs.oracle.com/en/operating-systems/oracle-linux/secure-boot/#Oracle-Linux)のセキュア・ブートの概要

セキュア・ブートの可用性の制限

現在、セキュア・ブートは、ベア・メタル・データベース・サーバーおよびKVMホスト・システムにおけるOracle Database Appliance X10ハードウェア・モデル上のOracle Database Applianceリリース19.20.0.1で使用できます。セキュア・ブートは、DBシステムおよびKVMゲスト・マシンではサポートされていません。

セキュア・ブートの有効化と無効化

ブート・プロセス中に「Setup」を開始することで、セキュア・ブート設定を変更できます。

関連項目:

『Oracle Linux UEFI Secure Bootの操作』(https://docs.oracle.com/en/operating-systems/oracle-linux/secure-boot/#Oracle-Linux)のセキュア・ブートの概要

セキュア・ブートの無効化

次のステップを実行します。

1. ブート中に、[F2]を押して設定を実行します。
2. 「Security」を選択してから、「Secure Boot」を選択します。
3. 「Attempt Secure Boot」を選択します。
4. 「Disabled」を選択します。
5. [F10]を押して保存し、終了します。

セキュア・ブートの有効化

次のステップを実行します。

1. ブート中に、[F2]を押して設定を実行します。
2. 「Security」を選択してから、「Secure Boot」を選択します。
3. 「Attempt Secure Boot」を選択します。
4. 「Enabled」を選択します。
5. [F10]を押して保存し、終了します。

セキュア・ブート・オプションのステータスの確認

セキュア・ブート・オプションのステータスを確認するには、次のコマンドを実行します。

# mokutil --sb-state
SecureBoot enabled

セキュア・ブートで使用するキーと証明書の管理

セキュア・ブートで使用されるキーおよび証明書の管理の詳細は、『Oracle Linux UEFI Secure Bootの操作』(https://docs.oracle.com/en/operating-systems/oracle-linux/secure-boot/#Oracle-Linux)のセキュア・ブートで使用するためのカーネル・イメージおよびカーネル・モジュールの署名のトピックを参照してください。

分離ポリシーの使用

分離ポリシーは、マルチテナント・サービスをよりセキュアにします。

組織がITインフラストラクチャの統合、共有サービス・アーキテクチャの実装およびセキュアなマルチテナント・サービスの実施を求める場合は、サービス、ユーザー、データ、通信およびストレージを分離する必要があります。Oracle Database Applianceは、ニーズに基づいて分離ポリシーと分離戦略を実装できる柔軟性を組織に提供します。

トピック:

• ネットワーク・トラフィックの分離
  Oracle Database Applianceは、物理ネットワーク・レベルで、クライアント・アクセスをデバイス管理とデバイス間通信から分離します。
• データベースの分離
  Oracle Database Applianceでは、すべてのOracle Databaseセキュリティ・オプションを利用できます。

ネットワーク・トラフィックの分離

Oracle Database Applianceは、物理ネットワーク・レベルで、クライアント・アクセスをデバイス管理とデバイス間通信から分離します。

Oracle Database Applianceは、クライアントと管理ネットワークのトラフィックを別々のネットワークに分離します。クライアントは冗長な10Gbpsイーサネット・ネットワークを介してサービスにアクセスするので、システム上で実行されるサービスへの信頼性のある高速アクセスが確保されます。クラスタ管理アクセスは、物理的に分離された1Gbpsイーサネット・ネットワークを介して提供されます。物理的に分離されたネットワークを提供することにより、業務用と管理用のネットワーク・トラフィックを確実に分離します。

組織は、仮想LAN (VLAN)を構成することで、クライアント・アクセスのイーサネット・ネットワーク上のトラフィックをさらに分離することも選択できます。VLANは、組織の要件に基づいてネットワーク・トラフィックを分離します。VLAN上では暗号化プロトコルを使用して、通信の機密性と整合性を保証することをお薦めします。

データベースの分離

Oracle Database Applianceでは、すべてのOracle Databaseセキュリティ・オプションを利用できます。

組織がより細分化したデータベース分離を必要とする場合は、Oracle Database Vault、Oracle Virtual Private Database、Oracle Label Securityなどのソフトウェアを使用できます。物理的に分離する最良の方法の1つは、1つの環境を丸ごと単一のアプリケーションまたはデータベース専用にすることです。ただし、サーバーを1つのアプリケーションまたはデータベース専用にすると、コストがかかります。よりコスト効率の高い分離戦略では、同じオペレーティング・システム・イメージ内で複数のデータベースを使用します。ユーザー、グループおよびリソース制御の専用の資格証明など、データベースおよびオペレーティング・システム・レベルの制御を組み合せることで、複数のデータベースを分離できます。

Oracle Database Vaultには、単一データベース内で論理レルムを使用して分離させるための必須のアクセス制御モデルが含まれています。論理レルムは、アプリケーション・データへの一時的アクセスから管理アカウントをブロックすることで、既存のアプリケーション表の周囲に保護境界を形成します。Oracle Database Vaultのコマンド・ルールは、データベースおよびアプリケーション・データにだれが、いつ、どこで、どのようにアクセスするかを制限する、ポリシーベースの制御を可能にします。これによって、アプリケーション・データへの信頼できるパスが作成されます。Oracle Database Vaultは、時間、ソースIPアドレスおよびその他の条件に基づいてアクセスを制限するためにも採用できます。

Oracle Virtual Private Databaseは、データベース表およびビューへのファイングレイン・アクセスを強制するポリシーの作成を可能にします。Oracle Virtual Private Databaseでは、ポリシーはデータベース・オブジェクトに関連付けられて、データベースへのアクセス方法によらず自動的に適用されるため、セキュリティの移植性が実現されます。Oracle Virtual Private Databaseは、データベース内の細分化した分離に使用できます。

Oracle Label Securityはデータを分類し、分類に基づいてそのデータへのアクセスを仲介します。組織は、ニーズに最適な分類戦略(階層、非結合など)を定義できます。この機能によって、様々な分類レベルで保存された情報を、単一の表領域内で行レベルで分離できるようになります。

データへのアクセスの制御

データ、ワークロード、インフラストラクチャへのアクセスを制御することで、セキュリティを高めます。

アプリケーション・データ、ワークロードおよびその実行の基礎となるインフラストラクチャを保護するため、Oracle Database Applianceは、包括的かつ柔軟性のあるアクセス制御機能を、ユーザーと管理者の両方に提供します。この制御機能には、ネットワーク・アクセスとデータベース・アクセスが含まれます。

トピック:

• ネットワーク・アクセスの制御
  ネットワーク・アクセスを構成して、ファイングレイン制御をします。
• データベース・アクセスの制御
  ロールが割り当てられたオペレーティング・システム・ユーザーおよびグループ・システム権限を使用するデータベース・アーキテクチャの各レイヤーにおいて職務を分離させ、共謀行為や不注意によるエラーのリスクを低減するのに役立ちます。
• SUDOを使用した権限とセキュリティの管理について
  SUDOポリシーは、オペレーティング・システムのスーパーユーザー(root)権限にシステム監査とアクセス制御を提供するのに役立ちます。これらの例を参考に、SUDOポリシーを実装します。
• DCSスタックのSUDOセキュリティ・ポリシーの構成
  DCSスタック(odacli)を使用するOracle Database ApplianceモデルにSUDOポリシーを実装するには、次の例を参考に使用してください。

ネットワーク・アクセスの制御

ネットワーク・アクセスを構成して、ファイングレイン制御をします。

ファイングレイン・アクセス制御ポリシーは、単純なネットワークレベルの分離を超えて、デバイス・レベルで導入できます。Oracle Database Applianceのすべてのコンポーネントには、ネットワーク分離などのアーキテクチャを利用した方法で、またはパケット・フィルタリングとアクセス制御リストを使用してコンポーネントおよびサービスへの入出力とそれらの間の通信を制御することで、サービスへのネットワーク・アクセスを制限する機能が組み込まれています。

データベース・アクセスの制御

ロールが割り当てられたオペレーティング・システム・ユーザーおよびグループ・システム権限を使用するデータベース・アーキテクチャの各レイヤーにおいて職務を分離させ、共謀行為や不注意によるエラーのリスクを低減するのに役立ちます。

たとえば、別々のオペレーティング・システム・ユーザー・アカウントを使用し、別々の物理グループを指名してOracle Database権限およびOracle Automatic Storage Management (Oracle ASM)システム権限を付与し、データベース管理者とストレージ管理者のロールを確実に分離します。Oracle Database内では、ユーザーに特定の権限およびロールを割り当てることで、そのユーザーがアクセスを認可されたデータ・オブジェクトのみにアクセスすることを保証できます。明示的に許可された場合を除き、データは共有できないようにします。

Oracle Databaseで利用できるパスワードベースの認証に加えて、Oracle Advanced Securityを使用すると、公開キーの資格証明、RADIUSまたはKerberosインフラストラクチャを使用して強力な認証を実装できます。Oracle Enterprise User Securityを使用すると、認証および認可のためにデータベースを既存のLDAPリポジトリに統合できます。これらの機能によって、データベースに接続するユーザーのIDをより強力に保証できます。

管理ユーザーおよび特権ユーザーのアクセスを管理し、アプリケーション・データにアクセスする方法、時間および場所を制御するために、Oracle Database Vaultを使用できます。Oracle Database Vaultは、盗難にあったログイン資格証明の不正使用、アプリケーション・バイパス、アプリケーションおよびデータの未許可の変更(アプリケーション・データのコピー作成を含む)に対する保護を提供します。Oracle Database Vaultは、ほとんどのアプリケーションと日常業務に対して透過的です。マルチファクタの認可ポリシーをサポートして、ビジネス処理を中断させることなく、ポリシーのセキュアな強制を可能にします。

Oracle Database Vaultは職務の分離を強制して、アカウント管理、セキュリティ管理、リソース管理およびその他の機能が、権限を付与されたユーザーにのみ許可されるようにします。

SUDOを使用した権限とセキュリティの管理について

SUDOポリシーは、システム監査とオペレーティング・システム上のスーパーユーザー(ルート)権限用のアクセス管理を行う上で役立ちます。これらの例を参考に、SUDOポリシーを実装します。

Oracle Appliance Managerコマンドライン・ユーティリティでは、ほとんどの管理アクションにrootシステム権限が必要です。rootとしてログインしていない場合は、アプライアンスでほとんどのアクションを実行できません。たとえば、rootとしてログインしていない場合は、ストレージの情報を確認できますが、ストレージを変更できません。

管理ユーザーにroot権限を付与するには、suのかわりにSUDOを使用してください。SUDOを使用すると、システム管理者は、suとは異なり、rootパスワードを必要とせずにrootとしてコマンドを実行する権限を特定のユーザー(またはユーザー・グループ)に付与できます。また、セキュリティおよびコンプライアンス・プロトコルの一環として、すべてのコマンドおよび引数がログに記録されます。

SUDOセキュリティ・ポリシーを構成するには、ファイル/etc/sudoersを使用します。sudoersファイルの中でユーザー・グループやコマンド・セットを構成すると、SUDOコマンドを使用したサーバーの管理を簡素化して監査できます。

DCSスタックのSUDOセキュリティ・ポリシーの構成

DCSスタック(odacli)を使用するOracle Database ApplianceモデルにSUDOポリシーを実装するには、次の例を参考に使用してください。

SUDOポリシーは、システム監査とオペレーティング・システム上のスーパーユーザー(ルート)権限用のアクセス管理を行う上で役立ちます。

注意:

ユーザーが任意の操作を実行できるようにSUDOを構成することは、そのユーザーにroot権限を与えることに相当します。これがセキュリティのニーズに適しているかどうかを慎重に検討してください。

例2-1 SUDOの例1: ユーザーに対する、任意のODACLI操作の実行の許可

この例では、ユーザーが任意のODACLI操作を実行できるようにSUDOを構成する方法を示します。これを行うには、/etc/sudoersファイルのコマンドのセクションに数行追加します。

## The commands section may have other options added to it.
##
Cmnd_Alias ODACLI_CMDS=/opt/oracle/oak/bin/odacli *
jdoe ALL = ODACLI_CMDS

この例では、ユーザー名は jdoeです。ファイル・パラメータ設定ALL= ODACLI_CMDSは、コマンド別名ODACLI_CMDSで定義されたすべてのodacliコマンドの実行権限をユーザーjdoeに付与します。構成後、1つのsudoersファイルを複数のホストにコピーできます。また、ホストごとに異なるルールを作成することもできます。

ノート:

データベース作成の前に、各サーバーのrootユーザーにSSHのユーザー等価性を設定する必要があります。ユーザーの等価性を設定せずサーバーごとにSSHを構成すると、データベースの作成中、各サーバーのrootパスワードを指定するよう求めるプロンプトが表示されます。

ユーザーのsudoerファイルを構成した後、ユーザーjdoeは、コマンド別名ODACLI_CMDSで構成された一連のodacliコマンドを実行できます。たとえば:

$ sudo odacli create database -db newdb

例2-2 SUDOの例2: ユーザーに対する、選択したODACLI操作のみの実行の許可

ユーザーが選択されたODACLI操作のみを実行できるようにSUDOを構成するには、/etc/sudoersファイルのコマンド・セクションに、次のように行を追加します。

## DCS commands for oracle user 
Cmnd_Alias DCSCMDS = /opt/oracle/dcs/bin/odacli describe-appliance
oracle  ALL=       DCSCMDS

$ sudo /opt/oracle/dcs/bin/odacli describe-appliance

Appliance Information
----------------------------------------------------------------
                     ID: a977bb04-6cf0-4c07-8e0c-91a8c7e7ebb8
               Platform: 
        Data Disk Count: 6
         CPU Core Count: 20
                Created: June 24, 2022 6:51:52 AM HDT

System Information
----------------------------------------------------------------
                   Name: odal001
            Domain Name: example.com
              Time Zone: America/Adak
             DB Edition: EE
            DNS Servers: 10.200.76.198 10.200.76.199 192.0.2.254
            NTP Servers: 10.200.0.1 10.200.0.2

Disk Group Information
----------------------------------------------------------------
DG Name                   Redundancy                Percentage
------------------------- ------------------------- ------------
Data                      Normal                    90
Reco                      Normal                    10

この例では、ユーザーjdoe2がsudo odacli list-databasesコマンドを実行しようとしていますが、これはそのユーザーに対して構成したコマンド・セットの中にありません。SUDOにより、jdoe2はそのコマンドを実行できません。

[jdoe2@servernode1 ~]$ sudo /opt/oracle/dcs/bin/odacli list-databases

Sorry, user jdoe2 is not allowed to execute '/opt/oracle/dcs/bin/odacli list-databases' as root on servernode1.

暗号化サービスの使用

暗号化サービスは、保存済、送信中および使用中の情報を保護するのに役立ちます。

暗号化および復号化から、デジタル・フィンガープリントおよび証明書検証まで、暗号化はIT組織で最も広く採用されているセキュリティ制御です。

Oracle Database Applianceは、可能な場合は常に、ハードウェア・プロセッサによって提供される暗号化エンジンを使用します。暗号化処理にハードウェアを使用することで、ソフトウェアで処理を実行する場合に比べてパフォーマンスが大幅に向上します。

ネットワーク暗号化サービスは、暗号によって保護されたプロトコルを使用して、通信の機密性と整合性を保護します。たとえば、セキュア・シェル(SSH)アクセスでは、システムおよびOracle Integrated Lights Out Manager (Oracle ILOM)へのセキュアな管理アクセスが提供されます。TLSは、アプリケーションと他のサービスとの間のセキュアな通信を可能にします。

Oracle Advanced Securityからデータベース暗号化サービスを使用できます。Oracle Advanced Securityは、透過的データ暗号化(TDE)機能を使用してデータベース内の情報を暗号化します。TDEはアプリケーション表領域の暗号化と、表内の個々の列の暗号化をサポートします。一時表領域に格納されたデータと、REDOログも暗号化されます。データベースがバックアップされるとき、格納先メディアでもデータは暗号化されたままです。これによって、物理的な格納場所に関係なく保存済データが保護されます。表領域レベルまたは列レベルでの、保存済データベース・コンテンツの機密性、データベース暗号化を必要とする組織は、Oracle Advanced Securityの利用を検討してください。

また、Oracle Advanced Securityは、ネイティブの暗号化またはTLSを使用してネットワーク上で送信中の情報を保護することで、Oracle Net ServicesおよびJDBCトラフィックを暗号化します。管理接続とアプリケーション接続の両方を保護して、送信中のデータを確実に保護できます。TLS実装では、X.509証明書を使用したサーバーのみの認証およびX.509を使用した相互(クライアント/サーバー)認証など、認証方法の標準セットがサポートされています。

Oracle Database Applianceでのデータベースの監視および監査

Oracle Database Applianceには、Oracle Database Fine Grained Auditing (FGA)、Oracle Audit VaultおよびOracle Database Firewall Remote Monitorがあり、これらにより包括的な監視および監査機能が提供されます。

コンプライアンス・レポートとインシデント対応のいずれについても、監視および監査は、IT環境の可視性を向上するために必要な重要な機能です。導入する監視および監査の程度は、一般的に、環境のリスクまたは重要性に基づいて決まります。Oracle Database Applianceは、サーバー、ネットワーク、データベースおよびストレージの各レイヤーで包括的な監視および監査の機能を提供し、その情報によって組織の監査およびコンプライアンスの要件をサポートできるように設計されています。

Oracle Database Fine Grained Auditing (FGA)は、監査オーバーヘッドを削減し、個別のテーブルや行のレベルで監査記録を作成するのに役立ちます。FGAによって、組織は、監査レコードが生成されるタイミングを選択的に決定するポリシーを設定できます。これは、組織が他のデータベース活動に集中し、監査アクティビティに関連するオーバーヘッドを削減するのに役立ちます。

Oracle Audit Vaultは、データベース監査設定を集中管理して、監査データのセキュアなリポジトリへの統合を自動化します。Oracle Audit Vaultには、特権ユーザーのアクティビティやデータベース構造への変更を含む、幅広いアクティビティを監視するための組込みのレポート機能があります。Oracle Audit Vaultによって生成されたレポートは、様々なアプリケーションおよび管理データベースのアクティビティへの可視性を実現し、アクションのアカウンタビリティをサポートする詳細情報を提供します。

Oracle Audit Vaultによって、不正なアクセスの試みまたはシステム権限の悪用を示している可能性のあるアクティビティのプロアクティブな検出とアラートが可能になります。アラートには、特権ユーザー・アカウントの作成、機密情報を含む表の変更など、システム定義とユーザー定義の両方のイベントおよび条件を含めることができます。

Oracle Database Firewallのリモート・モニターは、リアルタイムのデータベース・セキュリティ監視を提供できます。Oracle Database Firewallリモート・モニターはデータベース接続の問合せを実行して、アプリケーション・バイパス、認可されていないアクティビティ、SQLインジェクション、その他の脅威などの悪意のあるトラフィックを検出します。Oracle Database Firewallは、SQL構文ベースの精度の高いアプローチで、組織が不審なデータベース・アクティビティを迅速に検出できるように支援します。

Oracle Database ApplianceでのFIPS 140-2コンプライアンスについて

Oracle Database ApplianceでFIPS 140-2を実装する方法を理解します。

Oracle Database Applianceリリース19.11以降、ベア・メタルおよびKVMデータベース・システムで実行されているOracle Database Applianceで使用されるLinuxカーネルは、米国連邦情報処理規格140-2 (FIPS 140-2) レベル1に準拠しています。FIPS標準に従って、セキュア・シェル(SSH)が使用するアルゴリズムはFIPS標準で許可されているものに限定されています。FIPS 140-2は、新しくプロビジョニングされたシステムとパッチが適用されたシステムの両方でサポートされます。システムが更新されるとFIPSサポートが自動的に有効になります。ユーザーが介入する必要はありません。

Oracle Database ApplianceでのSTIGコンプライアンスのチェック

Oracle Database Applianceがセキュリティ技術導入ガイドライン(STIG)に準拠しているかどうかをチェックする方法を理解します。

国防情報システム局(DISA)は、ソフトウェア、ハードウェアおよびシステム・コンポーネントのデプロイメントと管理にセキュリティ技術導入ガイドライン(STIG)をお薦めしています(場合によっては必須)。STIG標準の詳細は、https://public.cyber.mil/stigs/downloads/を参照してください。

Oracle Database Applianceは、Oracle Linux 8用のOracle Linuxセキュリティ・スクリプト(OLSS)スクリプトをインストールして、DISA Oracle Linux 8 STIGの文書化と連携を支援します。OLSSを使用すると、STIG標準の既存の環境を検証し、DISA標準に設定されていないSTIG設定からシステムを保護できます。

Oracle Database Applianceは、STIGスクリプトをディレクトリ/opt/oracle/dcs/stig内のOracle Database Appliance製品にバンドルします。

OLSSには2つの操作モード(検証と保護)があります。OLSSを実行すると、情報が画面に表示され、ログ・ファイルにも保存されます。検証モードでは、スクリプトはシステムの現在のコンプライアンス・ステータスを確認しますが、設定は変更しません。セキュア・モードでは、スクリプトはシステムの現在のコンプライアンス・ステータスを調査し、設定またはコンプライアンスが適切でない場合にシステムを変更したり、アイテムに「手動」のフラグを付けます。これにより、管理者は変更を加えることができます。

STIGコマンドの実行

STIGスクリプトを実行するステップは、次のとおりです。

1. ルート・ユーザーとしてログインします。
2. /opt/oracle/dcs/stigディレクトリからコマンドを実行します。

   [root@oda1 stig]# ./RunSTIG

サマリーと詳細ログは、/opt/oracle/dcs/stig/logsディレクトリにあります。STIGコマンドをセキュア・モードまたは検証モードで実行すると、ログ・ファイルはそれぞれSTIG.Secure.timestampまたはSTIG.Verify.timestampになります。

STIGコマンドをセキュア・モードで実行した場合のログの例を次に示します。ログには、スクリプトの実行順序、ユーザーの入力、ルールの説明、システムで確認された内容、および実行された変更が含まれます。

The file has description of whether a rule PASSED/Manual/FAILED : file name is : Summary.Secure.08_06_2021_05:21 
===========================================================
Tests run: 252: CAT1 = 27, CAT2 = 213, CAT3 = 12
CAT1     results: Pass: 24      Fail: 0         Manual: 3
         results: Pass: 88.88%  Fail: 0%        Manual: 11.11%
CAT2     results: Pass: 182     Fail: 3         Manual: 28
         results: Pass: 85.44%  Fail: 1.40%     Manual: 13.14%
CAT3     results: Pass: 6       Fail: 0         Manual: 6
         results: Pass: 50.00%  Fail: 0%        Manual: 50.00%
Total by results: Pass: 212     Fail: 3         Manual: 37 
Weighted results: Pass: 84.12%  Fail: 1.19%     Manual: 14.68% 
==========================================================

STIGのセキュア・モードと検証モードの両方で、STIGルールの重大度は次のように分類されます。

• SEV1 - STIGルール重大度1
• SEV2 - STIGルール重大度2
• SEV3 - STIGルール重大度3

重大度に基づくSTIG準拠のルールを使用してOracle Database Applianceシステムを検証および保護するには、次のようにオプションを指定します。

• オプション1 - SEV1 (重大度1)のSTIGルールの検証用
• オプション2 - SEV2 (重大度2)のSTIGルールの検証用
• オプション3 - SEV3 (重大度3)のSTIGルールの検証用
• オプションA - すべての重大度のSTIGルールの検証用

検証モードとセキュア・モードでSTIGスクリプトを実行する例を次に示します。STIGコンプライアンスでOracle Database ApplianceシステムまたはKVM DBシステムを検証および保護するには、検証モードとセキュア・モードの両方でSTIGコマンドを実行するときに、オプション3を選択します。

例2-3 STIGスクリプトの検証モードでの実行

[root@host]# /opt/oracle/dcs/stig/RunSTIG -v

                   Oracle Linux 8 Security Scripts
The Oracle Linux Security Scripts (OLSS) are a tool designed to assist in
creation and deployment of secured Oracle Linux 8 Operating Environment systems.
The OLSS is comprised of a set of scripts and directories.

DISCLAIMER OF WARRANTIES:  THE OLSS IS OFFERED  "AS IS" AND "WITH ALL
FAULTS" AND WITHOUT WARRANTY OF ANY KIND WHATSOEVER. ORACLE DISCLAIMS,
AND USERS OF THE OLSS WAIVE, ANY AND ALL EXPRESS OR IMPLIED WARRANTIES
AND REPRESENTATIONS, INCLUDING BUT NOT LIMITED TO ANY IMPLIED WARRANTY
OF MERCHANTABILITY, FITNESS FOR A PARTICULAR PURPOSE, OR NONINFRINGEMENT.
THE OLSS IS TO BE USED AT YOUR OWN RISK.

NO LIABILITY:  IN NO EVENT SHALL ORACLE BE LIABLE FOR ANY DIRECT, INDIRECT,
PUNITIVE, SPECIAL, INCIDENTAL, OR CONSEQUENTIAL DAMAGE IN CONNECTION WITH
OR ARISING OUT OF THE USE OF THE OLSS (INCLUDING, BUT NOT LIMITED TO, LOSS
OF BUSINESS, REVENUE, PROFITS, USE, DATA, OR OTHER ECONOMIC ADVANTAGE)
HOWEVER IT ARISES, WHETHER FOR BREACH OR IN TORT, EVEN IF ORACLE HAS BEEN
PREVIOUSLY ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.

I Have read and agree with the above Warning [y n] y
Are you sure (y/n)? y


             **** Welcome to the Oracle Linux 8 STIG tool ****

This tool has two primary modes: Secure and Verify
Throughout this tool the answers in [] are the expected responses

OLSS will be running in Verify mode - via command line switch

We are running in this environment: oda

例2-4 オプションを指定しないSTIGスクリプトの実行

[root@host]# /opt/oracle/dcs/stig/RunSTIG

                   Oracle Linux 8 Security Scripts
The Oracle Linux Security Scripts (OLSS) are a tool designed to assist in
creation and deployment of secured Oracle Linux 8 Operating Environment systems.
The OLSS is comprised of a set of scripts and directories.

DISCLAIMER OF WARRANTIES:  THE OLSS IS OFFERED  "AS IS" AND "WITH ALL
FAULTS" AND WITHOUT WARRANTY OF ANY KIND WHATSOEVER. ORACLE DISCLAIMS,
AND USERS OF THE OLSS WAIVE, ANY AND ALL EXPRESS OR IMPLIED WARRANTIES
AND REPRESENTATIONS, INCLUDING BUT NOT LIMITED TO ANY IMPLIED WARRANTY
OF MERCHANTABILITY, FITNESS FOR A PARTICULAR PURPOSE, OR NONINFRINGEMENT.
THE OLSS IS TO BE USED AT YOUR OWN RISK.

NO LIABILITY:  IN NO EVENT SHALL ORACLE BE LIABLE FOR ANY DIRECT, INDIRECT,
PUNITIVE, SPECIAL, INCIDENTAL, OR CONSEQUENTIAL DAMAGE IN CONNECTION WITH
OR ARISING OUT OF THE USE OF THE OLSS (INCLUDING, BUT NOT LIMITED TO, LOSS
OF BUSINESS, REVENUE, PROFITS, USE, DATA, OR OTHER ECONOMIC ADVANTAGE)
HOWEVER IT ARISES, WHETHER FOR BREACH OR IN TORT, EVEN IF ORACLE HAS BEEN
PREVIOUSLY ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.

I Have read and agree with the above Warning [y n] y
Are you sure (y/n)? y


             **** Welcome to the Oracle Linux 8 STIG tool ****

This tool has two primary modes: Secure and Verify
Throughout this tool the answers in [] are the expected responses

Do you want to Secure or Verify? [Secure Verify] Verify
Are you sure (y/n)? 

例2-5 ログの場所

/opt/oracle/dcs/stig/ディレクトリ内のファイルのリストを次に示します。

[root@host stig]# pwd
/opt/oracle/dcs/stig

[root@scaoda10ha02c1n1 stig]# ls -l
total 88
-rw------- 1 root root 34300 Sep 13 10:27 auto_answer
-rw------- 1 root root  1794 Sep 13 10:27 LICENSE
drwx------ 2 root root  4096 Oct  3 11:31 logs
drwx------ 3 root root  4096 Sep 13 10:27 meta
-rwx------ 1 root root 25498 Sep 13 10:27 RunSTIG
drwx------ 2 root root 12288 Sep 13 10:27 scripts

例2-6 SecureおよびVerifyログのサマリー

secure、verify、および対応するサマリー・ファイル名のファイル名を次に示します。Summary.Secure.timestampファイルには、強化後のコンプライアンスのステータスが示されます。Summary.Verify.timestampファイルには、強化前のコンプライアンスのステータスが示されます。

[root@oda1 stig]# pwd
/opt/oracle/dcs/stig/04_Logs
[root@scaoda813c1n2 04_Logs]# ls -la
total 48
drwx------. 2 3878 900 4096 Aug 31 07:47 .
drwx------. 9 3878 900 4096 Aug 31 07:47 ..
-rw------- 1 root root 14716 Aug 31 07:47 STIG.Secure.08_31_2021_07:47
-rw------- 1 root root 12884 Aug 31 07:47 STIG.Verify.08_31_2021_07:46
-rw------- 1 root root 1186 Aug 31 07:47 Summary.Secure.08_31_2021_07:47
-rw------- 1 root root 1186 Aug 31 07:47 Summary.Verify.08_31_2021_07:47

Oracle Linuxセキュリティ・スクリプトSTIG auto_answerファイルについて

STIGスクリプトの実行時に、/opt/oracle/dcs/stig/auto_answerにあるauto_answerファイルを使用して問合せへのレスポンスを格納する方法を理解します。

プログラムで評価できず、値を指定する必要があるSTIGルールがいくつかあります。

Oracle Linuxセキュリティ・スクリプト(OLSS)スクリプトを検証モードまたはセキュア・モードのいずれかで実行すると、メイン・スクリプトによって、このようなSTIGルールに対するレスポンスが求められます。OLSSの実行時に発生した質問および確認に対する回答は、/opt/oracle/dcs/stig/auto_answerにあるauto_answerファイルに格納できます。このファイル内のNULL回答は、STIGが対話型であることを意味します。

たとえば、メインOLSSスクリプト(RunSTIG)を実行すると、次の2つの質問が表示され、プロセスを続行するには、各質問にyを指定する必要があります。

[root@oak0 stig]# ./RunSTIG -v


                   Oracle Linux 8 Security Scripts
The Oracle Linux Security Scripts (OLSS) are a tool designed to assist in
creation and deployment of secured Oracle Linux 8 Operating Environment systems.
The OLSS is comprised of a set of scripts and directories.

DISCLAIMER OF WARRANTIES:  THE OLSS IS OFFERED  "AS IS" AND "WITH ALL
FAULTS" AND WITHOUT WARRANTY OF ANY KIND WHATSOEVER. ORACLE DISCLAIMS,
AND USERS OF THE OLSS WAIVE, ANY AND ALL EXPRESS OR IMPLIED WARRANTIES
AND REPRESENTATIONS, INCLUDING BUT NOT LIMITED TO ANY IMPLIED WARRANTY
OF MERCHANTABILITY, FITNESS FOR A PARTICULAR PURPOSE, OR NONINFRINGEMENT.
THE OLSS IS TO BE USED AT YOUR OWN RISK.

NO LIABILITY:  IN NO EVENT SHALL ORACLE BE LIABLE FOR ANY DIRECT, INDIRECT,
PUNITIVE, SPECIAL, INCIDENTAL, OR CONSEQUENTIAL DAMAGE IN CONNECTION WITH
OR ARISING OUT OF THE USE OF THE OLSS (INCLUDING, BUT NOT LIMITED TO, LOSS
OF BUSINESS, REVENUE, PROFITS, USE, DATA, OR OTHER ECONOMIC ADVANTAGE)
HOWEVER IT ARISES, WHETHER FOR BREACH OR IN TORT, EVEN IF ORACLE HAS BEEN
PREVIOUSLY ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.

I Have read and agree with the above Warning [y n] y

Are you sure (y/n)? y

auto_answerファイルを完成させ、ファイルを変更したユーザーの名前で次のエントリを更新することもできます。

置換前:

AA_ACK="NULL" 

置換後:

AA_ACK="Jane Doe" 

OLSSスクリプトを実行すると、前述の質問は表示されません。

[root@oak0 stig]# ./RunSTIG -v


                   Oracle Linux 8 Security Scripts
The Oracle Linux Security Scripts (OLSS) are a tool designed to assist in
creation and deployment of secured Oracle Linux 8 Operating Environment systems.
The OLSS is comprised of a set of scripts and directories.

DISCLAIMER OF WARRANTIES:  THE OLSS IS OFFERED  "AS IS" AND "WITH ALL
FAULTS" AND WITHOUT WARRANTY OF ANY KIND WHATSOEVER. ORACLE DISCLAIMS,
AND USERS OF THE OLSS WAIVE, ANY AND ALL EXPRESS OR IMPLIED WARRANTIES
AND REPRESENTATIONS, INCLUDING BUT NOT LIMITED TO ANY IMPLIED WARRANTY
OF MERCHANTABILITY, FITNESS FOR A PARTICULAR PURPOSE, OR NONINFRINGEMENT.
THE OLSS IS TO BE USED AT YOUR OWN RISK.

NO LIABILITY:  IN NO EVENT SHALL ORACLE BE LIABLE FOR ANY DIRECT, INDIRECT,
PUNITIVE, SPECIAL, INCIDENTAL, OR CONSEQUENTIAL DAMAGE IN CONNECTION WITH
OR ARISING OUT OF THE USE OF THE OLSS (INCLUDING, BUT NOT LIMITED TO, LOSS
OF BUSINESS, REVENUE, PROFITS, USE, DATA, OR OTHER ECONOMIC ADVANTAGE)
HOWEVER IT ARISES, WHETHER FOR BREACH OR IN TORT, EVEN IF ORACLE HAS BEEN
PREVIOUSLY ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.

Acknowledged by Jane Doe


             **** Welcome to the Oracle Linux 8 STIG tool ****

This tool has two primary modes: Secure and Verify
Throughout this tool the answers in [] are the expected responses

OLSS will be running in Verify mode - via command line switch

We are running in this environment: oda

Oracle Database ApplianceでのSTIGの例外について

セキュリティ技術導入ガイドライン(STIG)の例外の理由と、STIG IDを修正できない理由を理解します。

このリリースでのセキュリティ技術導入ガイドライン(STIG)の例外と、特定のOracle Linux 8 STIG IDがOracle Database Applianceで修正されていない理由を次に示します:

表2-1 STIGの例外

STIG ID	重大度	適用除外の理由
OL8-00-010010	中	Oracle Database Applianceはアプライアンスであり、オラクル社はOracle Database Applianceソフトウェアに対して四半期ごとに更新をリリースします。これには、最新のセキュリティ更新が含まれます。Oracle Database Applianceが提供するサーバー・パッチにより、アプライアンスへのスムーズなパッチ適用が保証されます。RPMが追加でインストールされたり、RPMが順序どおりに更新されなかったりすると、Oracle Database Applianceのパッチ適用プロセスでエラーが発生する可能性があります。
OL8-00-010010	中	Oracle Database Applianceシステムの構成時に作成されたユーザーは、証明書ベースの認証を使用しません。これらのアカウントは、そのように構成しないでください。そのように変更すると、システムで障害が発生する可能性があります。
OL8-00-010340	中	/usr/lib64/.build-id下にあるディレクトリは、インストールされたソフトウェアの共有ライブラリへのリンクです。このルールを適用すると、Oracle Database Applianceによってインストールされたソフトウェア(MySQLなど)が失敗する可能性があります。このコンポーネントの正しい動作は、Oracle Database Applianceスタックにとって重要です。
OL8-00-010380	中	このルールを適用すると、アプライアンスで障害が発生する可能性があります。一例として、特権エスカレーションを介してコマンドを実行するOracle HAMIがあります。
OL8-00-010472	低	RPM rng-toolsパッケージは不要であるため、Oracle Database Applianceにインストールされません。RPMをインストールする場合は、Oracle Database Applianceにパッチを適用して新しいリリースにする前にアンインストールする必要があります。これは、Oracle Database Applianceのパッチ適用プロセスでエラーが発生する可能性があるためです。
OL8-00-010541	低	現在のファイル・システム・サイズを変更すると、Oracle Database Applianceで領域不足エラーが発生する可能性があります。
OL8-00-010543	中	現在のファイル・システム・サイズを変更すると、Oracle Database Applianceで領域不足エラーが発生する可能性があります。
OL8-00-010550	中	Oracle Database Applianceシステムは、rootとして直接ログインするように構成されています。これが許可されないと、システムが正しく機能しなくなる可能性があります。
OL8-00-010700	中	Oracle Database Applianceによってインストールされたソフトウェア・ディレクトリの所有権を変更すると、1つ以上のソフトウェア・コンポーネントが機能しなくなります。
OL8-00-010731	中	Oracle Database Applianceユーザーhamictl_oda_dcsは、このルールが適用される場合に失敗する可能性がありますが、無視できます。
OL8-00-010800	中	現在のファイル・システム・サイズを変更すると、Oracle Database Applianceで領域不足エラーが発生する可能性があります。
OL8-00-020320	中	システム管理者は、手動で作成されたアカウントがないかOracle Database Applianceシステムを確認する必要があります。Oracle Database Applianceシステムの設定時に作成されたアカウントはいずれも削除しないでください。
OL8-00-020351	中	このSTIGは、Oracle Database Applianceシステムでは修正しないでください。修正すると、Oracle Grid InfrastructureおよびOracle Databaseソフトウェアが正しくない権限でインストールされ、パッチ適用が失敗する可能性があります。
OL8-00-020352	中	このSTIGは、Oracle Database Applianceシステムでは修正しないでください。修正すると、Oracle Grid InfrastructureおよびOracle Databaseソフトウェアが正しくない権限でインストールされ、パッチ適用が失敗する可能性があります。
OL8-00-020353	中	このSTIGは、Oracle Database Applianceシステムでは修正しないでください。修正すると、Oracle Grid InfrastructureおよびOracle Databaseソフトウェアが正しくない権限でインストールされ、パッチ適用が失敗する可能性があります。
OL8-00-040030	中	firewalldはOracle Database Applianceにインストールされていますが、構成されていません。同様に構成すると、Oracle Database Applianceが誤動作する可能性があります。 システム管理者がこのSTIGを修正する場合は、変更内容をロールバックする準備が整っている必要があります。
OL8-00-040124	中	別のファイル・システムを作成しようとしないでください。現在のファイル・システム・サイズを変更すると、Oracle Database Applianceで領域不足エラーが発生する可能性があります。
OL8-00-040127	中	別のファイル・システムを作成しようとしないでください。現在のファイル・システム・サイズを変更すると、Oracle Database Applianceで領域不足エラーが発生する可能性があります。
OL8-00-040130	中	別のファイル・システムを作成しようとしないでください。現在のファイル・システム・サイズを変更すると、Oracle Database Applianceで領域不足エラーが発生する可能性があります。
OL8-00-040135	中	RPM fapolicyパッケージは不要であるため、Oracle Database Applianceにインストールされません。RPMをインストールする場合は、Oracle Database Applianceにパッチを適用して新しいリリースにする前にアンインストールする必要があります。
OL8-00-040370	中	システム管理者は、gssproxy RPMをアンインストールしないでください。gssproyパッケージを削除すると、Oracle Database Applianceソフトウェアの動作に必要なNFSなどの依存パッケージが削除されます。
OL8-00-010020	高	旧リリースのOracle Database Applianceソフトウェアでは、DBシステムの作成時またはパッチ適用時にOL8パラメータが設定されませんでした。 これは、Oracle Database Applianceのバグ36999977および37058085によって追跡されています。
OL8-00-010170	中	このSTIGの修正はお薦めしません。Oracle Database ApplianceシステムでSELinuxを有効にすると、システムのパフォーマンスが低下します。
OL8-00-010358	中	RPM mailxパッケージは不要であるため、Oracle Database Applianceにインストールされません。お客様がRPMをインストールする場合は、Oracle Database Applianceにパッチを適用して上位バージョンにする前にアンインストールする必要があります。
OL8-00-010410	中	RPM openscパッケージは不要であるため、Oracle Database Applianceにインストールされません。お客様がRPMをインストールする場合は、Oracle Database Applianceにパッチを適用して上位バージョンにする前にアンインストールする必要があります。
OL8-00-010450	中	このSTIGの修正はお薦めしません。Oracle Database Applianceシステムでselinuxを有効にすると、システムのパフォーマンスが低下します。
OL8-00-010540	低	別のファイル・システムを作成しようとしないでください。現在のファイル・システム・サイズを変更すると、Oracle Database Applianceで領域不足エラーが発生する可能性があります。
OL8-00-010542	低	別のファイル・システムを作成しようとしないでください。現在のファイル・システム・サイズを変更すると、Oracle Database Applianceで領域不足エラーが発生する可能性があります。
OL8-00-010544	中	別のファイル・システムを作成しようとしないでください。現在のファイル・システム・サイズを変更すると、Oracle Database Applianceで領域不足エラーが発生する可能性があります。
OL8-00-010690	中	システム上にOracle Database Applianceで作成されたユーザーには、bashプロファイル設定での設定がほとんどありません。このSTIGを修正すると、PATH変数が変更される可能性があります。コマンドを実行するには、スクリプトへのフルパスを指定する必要があります。
OL8-00-010710	中	Oracle Database Applianceによってインストールされたソフトウェア・ディレクトリの所有権を変更すると、1つ以上のソフトウェア・コンポーネントが機能しなくなります。
OL8-00-010770	中	Oracle Database Applianceユーザーhamictl_oda_dcsは、このSTIGの場合に失敗する可能性がありますが、無視できます。
OL8-00-020039	中	RPM tmuxパッケージは不要であるため、Oracle Database Applianceにインストールされません。RPMをインストールする場合は、Oracle Database Applianceにパッチを適用して新しいリリースにする前にアンインストールする必要があります。
OL8-00-040123	中	別のファイル・システムを作成しようとしないでください。現在のファイル・システム・サイズを変更すると、Oracle Database Applianceで領域不足エラーが発生する可能性があります。
OL8-00-040126	中	別のファイル・システムを作成しようとしないでください。現在のファイル・システム・サイズを変更すると、Oracle Database Applianceで領域不足エラーが発生する可能性があります。
OL8-00-040129	中	別のファイル・システムを作成しようとしないでください。現在のファイル・システム・サイズを変更すると、Oracle Database Applianceで領域不足エラーが発生する可能性があります。
OL8-00-040131	中	別のファイル・システムを作成しようとしないでください。現在のファイル・システム・サイズを変更すると、Oracle Database Applianceで領域不足エラーが発生する可能性があります。
OL8-00-040320	中	システム管理者は、グラフィカル・ディスプレイ・マネージャ・ソフトウェア/RPMをアンインストールしないでください。これは、Oracle Database Applianceが正しく機能するために必要です。
OL8-00-040400	中	システム管理者は、Oracle Database Applianceで作成されたユーザーによる特権機能の実行を妨げないでください。これは、Oracle Database Applianceが正しく機能するために必要です。

セキュアな管理のためのOracle ILOMの使用

Oracle Integrated Lights-Out Management (Oracle ILOM)では、帯域外の全域管理が可能となり、Oracle Database Applianceのリモート管理機能が提供されています。

IPMI v2.0、セキュリティ制御とセキュリティ機能のコレクションは、個々のアプリケーションおよびサービスを適切に保護するために必要です。デプロイ済のサービスおよびシステムのセキュリティを維持するために、包括的な管理機能を持つことも同様に重要です。Oracle Database Applianceは、Oracle ILOMのセキュリティ管理機能を利用します。

Oracle ILOMは、アウトオブバンド管理アクティビティを実行する多くのOracle Database Applianceコンポーネントに組み込まれているサービス・プロセッサです。Oracle ILOMには、次の機能があります。

• データベース・サーバーおよびストレージ・サーバーのセキュアなLights-Out Managementを実行するための、セキュアなアクセス。アクセスには、Transport Layer Security (TLS)で保護されたWebベースのアクセス、セキュア・シェルを使用したコマンドライン・アクセスおよびSNMPv3プロトコルが含まれます。

• ロール・ベースのアクセス制御モデルを使用した職務の分離の要件。個々のユーザーには、実行できる機能を制限するために特定のロールが割り当てられます。

• すべてのログインおよび構成変更の監査レコード。各監査ログ・エントリは、アクションを実行したユーザーとタイムスタンプをリストします。これによって、組織は、認可されていないアクティビティまたは変更を検出し、それらのアクションを起こしたユーザーを特定できます。