Guide de sécurité pour le service Oracle Exadata Database Service on Cloud@Customer
Ce guide décrit la sécurité d'un service Oracle Exadata Database Service on Cloud@Customer. Il contient des informations sur les meilleures pratiques pour sécuriser le système Oracle Exadata Database Service on Cloud@Customer.
Configurations de sécurité et fonctions activées par défaut
- Responsabilités
- Principes directeurs adoptés pour les valeurs par défaut de la configuration de la sécurité
- Fonctions de sécurité
- Utilisateurs fixes par défaut pour la MV invitée
- Groupes fixes par défaut pour la MV invitée
- Paramètres de sécurité par défaut pour la MV invitée
- Processus par défaut pour la MV invitée
- Sécurité du réseau pour la MV invitée
Responsabilités
- Services accessibles aux clients :
Composants auxquels le client peut accéder dans le cadre de son abonnement à Exadata Cloud@Customer :
- Machines virtuelles (MV) accessibles aux clients
- Services de base de données accessibles aux clients
- Infrastructure gérée par Oracle :
- Unités de distribution d'alimentation (PDU)
- Commutateurs de gestion hors bande (OOB) » commutateurs InfiniBand
- Serveurs de stockage Exadata
- Serveurs de base de données Exadata physiques
Les clients contrôlent et surveillent l'accès à leurs services, y compris l'accès réseau à leurs machines virtuelles (au moyen des réseaux VLAN de couche 2 et des pare-feu mis en oeuvre dans la MV du client), l'authentification pour accéder à la MV et l'authentification pour accéder aux bases de données s'exécutant dans les MV. Oracle contrôle et surveille l'accès aux composants d'infrastructure gérés par Oracle. Le personnel d'Oracle n'est pas autorisé à accéder aux services du client, y compris les MV et les bases de données du client.
Les clients accèdent aux bases de données Oracle exécutées sur Exadata Cloud@Customer au moyen d'une connexion (marquée VLAN) de couche 2 depuis leur équipement jusqu'aux bases de données s'exécutant dans la MV du client à l'aide de méthodes de connexion Oracle Database standard, telles qu'Oracle Net sur le port 1521. Les clients accèdent à la MV exécutant les bases de données Oracle au moyen de méthodes Oracle Linux standard, telles que SSH basée sur un jeton sur le port 22.
Rubrique parent : Configurations de sécurité et fonctions activées par défaut
Principes directeurs adoptés pour les valeurs par défaut de la configuration de la sécurité
- Défense en profondeur
Exadata Cloud@Customer offre un certain nombre de contrôles pour assurer la confidentialité, l'intégrité et la responsabilisation tout au long du service.
Tout d'abord, Exadata Cloud@Customer est construit à partir de l'image de système d'exploitation renforcée fournie par Exadata Database Machine. Pour plus d'informations, voir Aperçu de la sécurité d'Oracle Exadata Database Machine. Cela sécurise l'environnement d'exploitation de base en limitant l'image d'installation aux seuls ensembles logiciels requis, en désactivant les services inutiles et en mettant en oeuvre des paramètres de configuration sécurisés dans tout le système.
En plus d'hériter de toute la puissance de la plate-forme mature d'Exadata Database Machine, car Exadata Cloud@Customer fournit des systèmes pour les clients, d'autres choix de configuration par défaut sécurisés sont implémentés dans les instances de service. Par exemple, tous les espaces-table de base de données nécessitent un chiffrement transparent des données (TDE), une application rigoureuse des mots de passe pour les utilisateurs et les superutilisateurs initiaux de la base de données et une amélioration des règles de vérification et d'événement.
Exadata Cloud@Customer constitue également un déploiement et un service complets, de sorte qu'il est soumis à des vérifications externes de normes telles que PCI, HIPPA et ISO27001. Ces exigences de vérification externe imposent des fonctions de service à valeur ajoutée supplémentaires telles que le balayage antivirus, l'alerte automatisée pour les modifications inattendues du système et les balayages de vulnérabilités quotidiens pour tous les systèmes d'infrastructure gérés par Oracle dans le parc.
- Moindre privilège
Pour garantir que les processus n'ont accès qu'aux privilèges dont ils ont besoin, les normes de programmation sécurisée d'Oracle (Oracle Secure Coding Standards) exigent le paradigme du moindre privilège.
Chaque processus et démon doit être exécuté en tant qu'utilisateur normal sans privilège, sauf si l'utilisateur peut prouver qu'il a besoin d'un niveau de privilège plus élevé. Cela permet de limiter les problèmes ou les vulnérabilités imprévus à l'espace des utilisateurs sans privilège et de ne pas compromettre un système entier.
Ce principe s'applique également aux membres de l'équipe des opérations Oracle qui utilisent des comptes nommés individuels pour accéder à l'infrastructure Oracle Exadata Cloud@Customer pour la maintenance ou le dépannage. Ce n'est qu'en cas de nécessité qu'ils utiliseront l'accès vérifié à des niveaux de privilège plus élevés pour résoudre un problème. La plupart des problèmes étant résolus par l'automatisation, nous utilisons également le principe du moindre privilège en n'autorisant pas les opérateurs humains à accéder à un système, sauf si l'automatisation est incapable de résoudre le problème.
- Vérification et responsabilisation
Lorsque cela est nécessaire, l'accès au système est autorisé, mais tous les accès et toutes les actions sont consignés et suivis à des fins de responsabilisation.
Cela permet à Oracle et aux clients de savoir ce qui a été fait sur le système et quand cela s'est produit. Ces faits nous permettent non seulement de rester en conformité avec les besoins en matière de rapports pour les vérifications externes, mais aussi de faire correspondre une modification avec un changement de comportement perçu dans l'application.
Toutes les composantes de l'infrastructure disposent de capacités de vérification pour s'assurer que toutes les actions sont prises en compte. Les clients ont également la possibilité de configurer la vérification de leur base de données et de la configuration des MV invitées et peuvent choisir de les intégrer à d'autres systèmes de vérification d'entreprise.
- Automatisation des opérations en nuage
En éliminant les opérations manuelles requises pour effectuer le provisionnement, l'application de correctifs, la maintenance, le dépannage et la configuration des systèmes, la probabilité d'erreur est réduite et une configuration sécurisée est assurée.
Le service est conçu pour être sécurisé et en automatisant toutes les tâches de provisionnement, de configuration et la plupart des autres tâches opérationnelles, il est possible d'éviter les configurations manquées et de s'assurer que tous les chemins nécessaires dans le système sont bien fermés.
Rubriques connexes
Rubrique parent : Configurations de sécurité et fonctions activées par défaut
Fonctions de sécurité
- Image de système d'exploitation renforcée
- Installation de programmes minimaux :
Seuls les programmes nécessaires au fonctionnement d'un système efficace sont installés. Grâce à l'installation d'un ensemble plus restreint de programmes, la surface d'attaque du système d'exploitation est réduite et le système reste plus sûr.
- Sécuriser la configuration :
De nombreux paramètres de configuration non par défaut sont définis lors de l'installation afin de renforcer la sécurité du système et de son contenu. Par exemple, SSH est configuré pour n'écouter que sur certaines interfaces réseau, sendmail est configuré pour n'accepter que les connexions localhost, et de nombreuses autres restrictions similaires sont mises en place lors de l'installation.
- Exécuter uniquement les services nécessaires :
Tous les services qui peuvent être installés sur le système, mais qui ne sont pas requis pour un fonctionnement normal, sont désactivés par défaut. Par exemple, alors que NFS est un service souvent configuré par les clients à diverses fins d'application, il est désactivé par défaut car il n'est pas nécessaire pour les opérations normales de base de données. Les clients peuvent choisir de configurer les services en fonction de leurs besoins.
- Installation de programmes minimaux :
- Surface d'attaque minimisée
Dans le cadre de l'image renforcée, la surface d'attaque est réduite par la désactivation des services.
- Fonctions de sécurité supplémentaires activées (mots de passe grub, démarrage sécurisé)
- Tirant parti des capacités d'image Exadata, Exadata Cloud@Customer bénéficie de fonctionnalités intégrées à l'image de base telles que les mots de passe grub et le démarrage sécurisé, et de beaucoup d'autres.
- Au moyen de la personnalisation, les clients peuvent souhaiter renforcer la sécurité de leur système avec des configurations supplémentaires détaillées plus loin dans ce chapitre.
- Méthodes d'accès sécurisé
- Accès aux serveurs de bases de données par SSH à l'aide de codes de chiffrement forts. Les chiffrements faibles sont désactivés par défaut.
- Accès aux bases de données par le biais de connexions Oracle Net chiffrées. Par défaut, nos services sont disponibles à l'aide de canaux chiffrés et un client Oracle Net configuré par défaut utilisera des sessions chiffrées.
- Accès aux diagnostics au moyen de l'interface Web Exadata MS (https).
- Vérification et journalisation
Par défaut, la vérification est activée pour les opérations administratives et ces dossiers de vérification sont communiqués aux systèmes internes OCI pour vérification et génération d'alerte automatisées, le cas échéant.
- Considérations relatives au délai de déploiement
- Contenu et sensibilité du téléchargement du fichier de portefeuille : Le téléchargement du fichier de portefeuille obtenu par un client pour permettre le déploiement contient des informations sensibles et doit être traité de manière appropriée pour garantir la protection de son contenu. Le contenu du téléchargement du fichier de portefeuille n'est pas nécessaire une fois le déploiement terminé, il doit donc être détruit pour éviter toute fuite d'informations.
- Serveur de plan de contrôle (CPS) :
- Les exigences de déploiement pour le serveur de plan de contrôle comprennent l'autorisation d'accès HTTPS sortant afin que le serveur puisse se connecter à Oracle et activer l'administration, la surveillance et la maintenance à distance. Pour plus de détails, consultez le guide de déploiement.
- Les responsabilités des clients comprennent la sécurité physique de l'équipement Exadata Cloud@Customer dans leur centre de données. Bien qu'Exadata Cloud@Customer utilise de nombreuses fonctions de sécurité logicielle, la compromission des serveurs physiques doit être traitée par la sécurité physique du client pour garantir la sécurité du contenu des serveurs.
Rubrique parent : Configurations de sécurité et fonctions activées par défaut
Utilisateurs fixes par défaut pour la MV invitée
Plusieurs comptes d'utilisateurs gèrent régulièrement les composants d'Oracle Exadata Cloud@Customer. Dans toutes les machines Exadata Cloud@Customer, Oracle utilise et recommande une connexion SSH uniquement. Aucun utilisateur ou processus Oracle n'utilise un système d'authentification basé sur un mot de passe.
Vous trouverez ci-dessous les différents types d'utilisateurs créés par défaut.
- Utilisateurs par défaut : Aucun privilège de connexion
Cette liste d'utilisateurs comprend les utilisateurs du système d'exploitation par défaut ainsi que certains utilisateurs spécialisés comme
exawatch
etdbmsvc
. Ces utilisateurs ne doivent pas être modifiés. Ces utilisateurs ne peuvent pas se connecter au système car tous sont réglés à/bin/false
.exawatch
:L'utilisateur
exawatch
est responsable de la collecte et de l'archivage des statistiques système tant sur les serveurs de base de données que sur les serveurs de stockage.dbmsvc
:L'utilisateur est utilisé pour le serveur de gestion dans le service de noeud de base de données du système Oracle Exadata.
Utilisateurs NOLOGINbin:x:1:1:bin:/bin:/bin/false daemon:x:2:2:daemon:/sbin:/bin/false adm:x:3:4:adm:/dev/null:/bin/false mail:x:8:12:mail:/var/spool/mail:/bin/false nobody:x:99:99:Nobody:/:/bin/false systemd-network:x:192:192:systemd Network Management:/:/bin/false dbus:x:81:81:System message bus:/:/bin/false rpm:x:37:37::/var/lib/rpm:/bin/false sshd:x:74:74:Privilege-separated SSH:/var/empty/sshd:/bin/false rpc:x:32:32:Rpcbind Daemon:/var/lib/rpcbind:/bin/false nscd:x:28:28:NSCD Daemon:/:/bin/false saslauth:x:999:76:Saslauthd user:/run/saslauthd:/bin/false mailnull:x:47:47::/var/spool/mqueue:/bin/false smmsp:x:51:51::/var/spool/mqueue:/bin/false chrony:x:998:997::/var/lib/chrony:/bin/false rpcuser:x:29:29:RPC Service User:/var/lib/nfs:/bin/false uucp:x:10:14:Uucp user:/var/spool/uucp:/bin/false nslcd:x:65:55:LDAP Client User:/:/bin/false tcpdump:x:72:72::/:/bin/false exawatch:x:1010:510::/:/bin/false sssd:x:997:508:User for sssd:/:/bin/false tss:x:59:59:Account used by the trousers package to sandbox the tcsd daemon:/dev/null:/bin/false dbmsvc:x:12137:11137::/home/dbmsvc:/bin/false
- Utilisateurs par défaut avec accès à l'interpréteur de commandes restreint
Ces utilisateurs peuvent accomplir une tâche définie avec un accès à l'interpréteur de commandes restreint. Ces utilisateurs ne doivent pas être modifiés car la tâche définie échouera s'ils sont modifiés ou supprimés.
dbmmonitor
: L'utilisateurdbmmonitor
est utilisé pour l'utilitaire DBMCLI. Pour plus d'informations, voir Utilisation de l'utilitaire DBMCLI.Utilisateurs avec accès à l'interpréteur de commandes restreintdbmmonitor:x:2003:2003::/home/dbmmonitor:/bin/rbash
- Utilisateurs par défaut avec autorisations de connexion
Ces utilisateurs dotés de privilèges sont utilisés pour accomplir la plupart des tâches du système. Ces utilisateurs ne devraient jamais être modifiés ou supprimés car cela aurait une incidence significative sur le système en cours d'exécution.
Les clés SSH sont utilisées pour la connexion par le personnel du client et l'automatisation du nuage.
Les clés SSH ajoutées par le client peuvent être ajoutées par la méthode
UpdateVmCluster
ou par les clients accédant directement à la machine virtuelle du client et gérant les clés SSH dans la machine virtuelle du client. Les clients sont responsables de l'ajout de commentaires aux clés pour les rendre identifiables. Lorsqu'un client ajoute la clé SSH au moyen de la méthodeUpdateVmCluster
, la clé n'est ajoutée qu'au fichierauthorized_keys
de l'utilisateuropc
.Les clés d'automatisation du nuage sont temporaires, propres à une tâche d'automatisation du nuage indiquée, par exemple le redimensionnement de la mémoire de grappe de machines virtuelles et uniques. Les clés d'accès à l'automatisation du nuage peuvent être identifiées par les commentaires suivants :
OEDA_PUB
,EXACLOUD_KEY
,ControlPlane
. Les clés d'automatisation du nuage sont supprimées une fois la tâche d'automatisation du nuage terminée, de sorte que les fichiersauthorized_keys
des comptesroot
,opc
,oracle
etgrid
ne doivent contenir que des clés d'automatisation du nuage pendant l'exécution des actions d'automatisation du nuage.Utilisateurs avec privilègesroot:x:0:0:root:/root:/bin/bash oracle:x:1001:1001::/home/oracle:/bin/bash grid:x:1000:1001::/home/grid:/bin/bash opc:x:2000:2000::/home/opc:/bin/bash dbmadmin:x:2002:2002::/home/dbmadmin:/bin/bash
root
: Exigence Linux, utilisé avec parcimonie pour exécuter des commandes locales avec privilèges.root
est également utilisé pour certains processus comme Oracle Trace File Analyzer Agent etExaWatcher
.grid
: Détient l'installation du logiciel Oracle Grid Infrastructure et exécute les processus Oracle Grid Infastructure.oracle
: Détient l'installation du logiciel Oracle Database et exécute les processus Oracle Database.opc
:- Utilisé par l'automatisation Oracle Cloud pour les tâches d'automatisation.
- A la possibilité d'exécuter certaines commandes avec privilèges sans autre authentification (pour prendre en charge les fonctions d'automatisation).
- Exécute l'agent local, également appelé "Agent DCS" qui effectue des opérations de cycle de vie pour les logiciels Oracle Database et Oracle Grid Infastructure (application de correctifs, création de base de données, etc.).
dbmadmin
:- L'utilisateur
dbmadmin
est utilisé pour l'utilitaire d'interface de ligne de commande (DBMCLI) d'Oracle Exadata Database Machine. - L'utilisateur
dbmadmin
doit être utilisé pour exécuter tous les services sur le serveur de base de données. Pour plus d'informations, voir Utilisation de l'utilitaire DBMCLI.
- L'utilisateur
Rubriques connexes
Rubrique parent : Configurations de sécurité et fonctions activées par défaut
Groupes fixes par défaut pour la MV invitée
Les groupes suivants sont créés par défaut sur la machine virtuelle invitée.
root:x:0:
bin:x:1:
daemon:x:2:
sys:x:3:
adm:x:4:
tty:x:5:
disk:x:6:
lp:x:7:
mem:x:8:
kmem:x:9:
wheel:x:10:
cdrom:x:11:
mail:x:12:
man:x:15:
dialout:x:18:
tape:x:33:
video:x:39:
lock:x:54:
audio:x:63:
nobody:x:99:
users:x:100:
utmp:x:22:
utempter:x:35:
input:x:999:
systemd-journal:x:190:
systemd-network:x:192:
dbus:x:81:
ssh_keys:x:998:
sshd:x:74:
rpm:x:37:
rpc:x:32:
unbound:x:997:
nscd:x:28:
tss:x:59:
saslauth:x:76:
mailnull:x:47:
smmsp:x:51:
chrony:x:996:
rpcuser:x:29:
ldap:x:55:
slocate:x:21:
uucp:x:14:
tcpdump:x:72:
exawatch:x:510:
cgred:x:509:
fuse:x:508:
screen:x:84:
sssd:x:507:
printadmin:x:506:
docker:x:505:
dbmsvc:x:2001:
dbmadmin:x:2002:
dbmmonitor:x:2003:
dbmusers:x:2004:
floppy:x:19:
oinstall:x:1001:
asmdba:x:1004:
asmoper:x:1005:
asmadmin:x:1006:
dba:x:1002:
racoper:x:1003:
opc:x:2000:
root:x:0:
bin:x:1:
daemon:x:2:
sys:x:3:
adm:x:4:
tty:x:5:
disk:x:6:
lp:x:7:
mem:x:8:
kmem:x:9:
wheel:x:10:
cdrom:x:11:
mail:x:12:
man:x:15:
dialout:x:18:
tape:x:33:
video:x:39:
lock:x:54:
audio:x:63:
users:x:100:
nobody:x:2001:
utmp:x:22:
utempter:x:35:
dbus:x:81:
input:x:999:
kvm:x:36:
render:x:998:
systemd-journal:x:190:
systemd-coredump:x:997:
systemd-resolve:x:193:
tss:x:59:
ssh_keys:x:996:
sshd:x:74:
unbound:x:995:
nscd:x:28:
rpc:x:32:
saslauth:x:76:
mailnull:x:47:
smmsp:x:51:
rpcuser:x:29:
ldap:x:55:
slocate:x:21:
chrony:x:994:
tcpdump:x:72:
cgred:x:993:
fapolicyd:x:992:
printadmin:x:991:
polkitd:x:990:
sssd:x:989:
rpm:x:37:
screen:x:84:
dnsmasq:x:988:
exawatch:x:510:
dbmsvc:x:2002:
dbmadmin:x:2003:
dbmmonitor:x:2004:
dbmusers:x:2005:
uucp:x:14:
floppy:x:19:
mausers:x:2006:
secscan:x:1009:
oinstall:x:1001:
asmdba:x:1004:
asmoper:x:1005:
asmadmin:x:1006:
dba:x:1002:
racoper:x:1003:
opc:x:2000:
Rubrique parent : Configurations de sécurité et fonctions activées par défaut
Paramètres de sécurité par défaut pour la MV invitée
En plus de toutes les fonctions Exadata expliquées dans Fonctions de sécurité d'Oracle Exadata Database Machine, les paramètres de sécurité suivants s'appliquent également.
- Déploiement de base de données personnalisé avec des paramètres non par défaut.
La commande
host_access_control
sert à configurer les paramètres de sécurité Exadata :- Mise en oeuvre de politiques relatives à l'ancienneté et la complexité des mots de passe.
- Définition des politiques de verrouillage de compte et de temporisation de session.
- Restriction de l'accès racine distant.
- Restriction de l'accès réseau à certains comptes.
- Mise en oeuvre de la bannière d'avertissement de connexion.
account-disable
: Désactive un compte d'utilisateur lorsque certaines conditions configurées sont satisfaites.pam-auth
: Divers paramètres PAM pour les modifications de mot de passe et l'authentification de mot de passe.rootssh
: Ajuste la valeurPermitRootLogin
dans/etc/ssh/sshd_config
, ce qui permet ou refuse à l'utilisateur root de se connecter au moyen de SSH..- Par défaut,
PermitRootLogin
est réglé à without-password (sans mot de passe). - Il est recommandé de conserver ce paramètre pour permettre le fonctionnement du sous-ensemble de l'automatisation du nuage qui utilise ce chemin d'accès (par exemple, l'application de correctifs au système d'exploitation de machine virtuelle du client). Le réglage de
PermitRootLogin
àno
désactivera ce sous-ensemble de fonctionnalités d'automatisation du nuage.
- Par défaut,
session-limit
: Définit le paramètre* hard maxlogins
dans/etc/security/limits.conf
, qui est le nombre maximum de connexions pour tous les utilisateurs. Cette limite ne s'applique pas à un utilisateur avecuid=0
.Valeur définie par défaut à
* hard maxlogins 10
, ce qui est la valeur sécurisée recommandée.ssh-macs
: Spécifie les algorithmes MAC (Message Authentication Code) disponibles.- L'algorithme MAC est utilisé dans la version 2 du protocole pour la protection de l'intégrité des données.
- Valeurs par défaut pour
hmac-sha1
,hmac-sha2-256
,hmac-sha2-512
pour le serveur et le client. - Valeurs recommandées sécurisées :
hmac-sha2-256
,hmac-sha2-512
pour le serveur et le client.
password-aging
: Définit ou affiche l'ancienneté du mot de passe courant pour les comptes d'utilisateurs interactifs.-M
: Nombre maximal de jours pendant lequel un mot de passe peut être utilisé.-m
: Nombre minimum de jours autorisés entre les modifications de mot de passe.-W
: Nombre de jours d'avertissement avant l'expiration d'un mot de passe.- Valeurs par défaut réglées à
-M 99999
,-m 0
,-W 7
--strict_compliance_only
-M 60
,-m 1
,-W 7
- Valeurs recommandées sécurisées :
-M 60
,-m 1
,-W 7
Rubriques connexes
Rubrique parent : Configurations de sécurité et fonctions activées par défaut
Processus par défaut pour la MV invitée
- Agent de la MV invitée Exadata Cloud@Customer : Agent Oracle Cloud pour gérer les opérations du cycle de vie de la base de données
- S'exécute en tant qu'utilisateur
opc
. - Le tableau des processus montre qu'il fonctionne comme un processus Java avec des noms
jar
,dbcs-agent-VersionNumber-SNAPSHOT.jar
etdbcs-admin-VersionNumver-SNAPSHOT.jar
.
- S'exécute en tant qu'utilisateur
- Agent Oracle Trace File Analyzer : Oracle Trace File Analyzer (TFA) fournit un certain nombre d'outils de diagnostic dans un seul ensemble, ce qui facilite la collecte d'informations de diagnostic sur Oracle Database et Oracle Clusterware, et aide à la résolution des problèmes lors de la communication avec le soutien technique d'Oracle.
- S'exécute en tant qu'utilisateur
root
. - S'exécute en tant que démon
initd
,/etc/init.d/init.tfa
. - Les tableaux des processus affichent une application Java
oracle.rat.tfa.TFAMain
.
- S'exécute en tant qu'utilisateur
-
ExaWatcher
:- S'exécute en tant qu'utilisateurs
root
etexawatch
. - S'exécute en tant que script en arrière-plan,
ExaWatcher.sh
et tout son processus enfant est exécuté en tant que processus Perl. - Le tableau des processus s'affiche sous la forme de plusieurs applications Perl.
- S'exécute en tant qu'utilisateurs
- Oracle Database et Oracle Grid Infrastructure (Oracle Clusterware) :
- S'exécute en tant qu'utilisateurs
dbmsvc
etgrid
. - Le tableau des processus présente les applications suivantes :
oraagent.bin
,apx_*
etams_*
en tant qu'utilisateurgrid
.dbrsMain
, et les applications Java,derbyclient.jar
etweblogic.Server
en tant qu'utilisateuroracle
.
- S'exécute en tant qu'utilisateurs
- Serveur de gestion (MS) : Partie du logiciel d'image Exadata pour gérer et surveiller les fonctions d'image.
- S'exécute en tant qu'utilisateur
dbmadmin
. - Le tableau des processus indique qu'il est en cours d'exécution en tant que processus Java.
- S'exécute en tant qu'utilisateur
Rubrique parent : Configurations de sécurité et fonctions activées par défaut
Sécurité du réseau pour la MV invitée
Tableau 7-27 Matrice de ports par défaut pour les services de la MV invitée
Type d'interface | Nom de l'interface | Port | Processus en cours d'exécution |
---|---|---|---|
Pont sur VLAN client |
|
22 |
sshd |
1521 Au besoin, les clients peuvent affecter un port de module d'écoute SCAN (TCP/IP) compris entre 1024 et 8999. La valeur par défaut est 1521. |
Module d'écoute TNS d'Oracle |
||
5 000 |
Oracle Trace File Analyzer Collector |
||
7879 |
Serveur Jetty Management |
||
|
1521 Au besoin, les clients peuvent affecter un port de module d'écoute SCAN (TCP/IP) compris entre 1024 et 8999. La valeur par défaut est 1521. |
Module d'écoute TNS d'Oracle |
|
|
1521 Au besoin, les clients peuvent affecter un port de module d'écoute SCAN (TCP/IP) compris entre 1024 et 8999. La valeur par défaut est 1521. |
Module d'écoute TNS d'Oracle |
|
Pont sur VLAN de sauvegarde |
|
7879 |
Serveur Jetty Management |
Oracle Clusterware exécuté sur chaque noeud du cluster communique au moyen de ces interfaces. |
|
1525 |
Module d'écoute TNS d'Oracle |
3260 |
iSCSI pour Synology DSM |
||
5054 |
Communication interprocessus Oracle Grid Infrastructure |
||
7879 |
Serveur Jetty Management |
||
Port dynamique : 9000-65500 Les ports sont contrôlés par l'intervalle éphémère configuré dans le système d'exploitation et sont dynamiques. |
Service System Monitor (osysmond) |
||
Port dynamique : 9000-65500 Les ports sont contrôlés par l'intervalle éphémère configuré dans le système d'exploitation et sont dynamiques. |
Service Cluster Logger (ologgerd) |
||
|
5054 |
Communication interprocessus Oracle Grid Infrastructure |
|
7879 |
Serveur Jetty Management |
||
Les noeuds de grappe utilisent ces interfaces pour accéder aux cellules de stockage (disques ASM). Toutefois, les adresses IP/ports 7060/7070 associés aux interfaces de stockage sont utilisés pour accéder à l'agent DBCS à partir du serveur du plan de contrôle. |
|
7060 |
dbcs-admin |
7070 |
dbcs-agent |
||
|
7060 |
dbcs-admin |
|
7070 |
dbcs-agent |
||
Serveur de plan de contrôle à domU |
|
22 |
sshd |
Bouclage |
|
22 |
sshd |
2016 |
Oracle Grid Infrastructure |
||
6100 |
Service d'avis Oracle (ONS), partie d'Oracle Grid Infrastructure |
||
7879 |
Serveur Jetty Management |
||
Port dynamique 9000-65500 |
Oracle Trace File Analyzer |
Le module d'écoute TNS ouvre des ports dynamiques après le contact initial vers des ports bien connus (1521, 1525).
Règles iptables par défaut pour la MV invitée :
#iptables -L -n -v
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Rubrique parent : Configurations de sécurité et fonctions activées par défaut
Procédures supplémentaires pour la mise à jour de la sécurité
Responsabilités du client
Tableau 7-28 : Responsabilités
Plate-forme Oracle Cloud | Instances de client/locataire | |||
---|---|---|---|---|
Surveillance |
Opérations Oracle Cloud |
Client |
Opérations Oracle Cloud |
Client |
Infrastructure, plan de contrôle, défaillances matérielles, disponibilité, capacité |
Fournir un accès réseau pour prendre en charge la collecte et la surveillance des journaux d'infrastructure Oracle |
Disponibilité de l'infrastructure pour prendre en charge la surveillance des services du client |
Surveillance du système d'exploitation, des bases de données, des applications du client |
|
Gestion et résolution des incidents |
Gestion des incidents et mesures correctives Pièces de rechange et expédition sur site |
Assistance de diagnostic sur place, par exemple, dépannage de réseau |
Prise en charge de tout incident lié à la plate-forme sous-jacente |
Gestion et résolution des incidents pour les applications du client |
Gestion des correctifs |
Correction proactive du matériel, pile de contrôle IaaS/PaaS |
Fournir un accès réseau pour prendre en charge la livraison des correctifs |
Mise à disposition des correctifs disponibles, par exemple, jeu de correctifs Oracle Database |
Application de correctifs aux instances de locataire Tests |
Sauvegarde et restauration |
Sauvegarde et récupération de l'infrastructure et du plan de contrôle, recréation des MV du client |
Fournir un accès réseau pour prendre en charge la livraison de l'automatisation en nuage |
Fournir une MV accessible aux clients et fonctionnelle |
Instantanés / sauvegarde et récupération des données IaaS et PaaS du client à l'aide de la capacité native d'Oracle ou de tierce partie |
Soutien pour Oracle Cloud |
Réponse et résolution des demandes de service liées aux problèmes d'infrastructure ou d'abonnement |
Soumettre la demande de service par MOS | Réponse et résolution de la demande de service | Soumettre la demande de service sur le portail de soutien technique |
Rubrique parent : Procédures supplémentaires pour la mise à jour de la sécurité
Activation des fonctions de sécurité supplémentaires
Utilisation d'Oracle Key Vault comme magasin de clés TDE externe pour les bases de données sur Exadata Cloud@Customer
Oracle prend en charge les clients qui utilisent Oracle Key Vault (OKV) en tant que magasin de clés externe pour les bases de données exécutées sur Exadata Cloud@Customer. Les instructions de migration des clés principales TDE vers OKV sont publiées dans le document My Oracle Support 2823650.1 (Migration de TDE basée sur des fichiers vers OKV pour le service Exadata Database sur Cloud at Customer Gen2). Oracle ne prend pas en charge les modules de sécurité matériels tiers (HSM) avec Exadata Cloud@Customer.
Modification des exigences de complexité des mots de passe à l'aide d'host_access_control
Tableau 7-29 : Ancienneté du mot de passe avec host_access_control
Option | Description |
---|---|
|
Affiche l'ancienneté du mot de passe courant de l'utilisateur. |
|
Nom d'utilisateur de l'utilisateur interactif valide. |
|
Définit toutes les valeurs d'ancienneté du mot de passe aux *valeurs d'usine par défaut Exadata pour tous les utilisateurs interactifs. |
|
Définit toutes les valeurs d'ancienneté du mot de passe aux **valeurs par défaut Exadata sécurisées pour tous les utilisateurs interactifs |
|
Définit toutes les valeurs d'ancienneté du mot de passe à la politique d'ancienneté telle que définie par la commande password-policy (ou |
|
Nombre maximum de jours pendant lequel un mot de passe peut être utilisé. Entrée limitée de 1 à 99999. |
|
Nombre minimum de jours autorisés entre les modifications de mot de passe. Entrée limitée de 0 à 99999, 0 pour tout moment. |
|
Nombre de jours d'avertissement avant l'expiration d'un mot de passe. Entrée limitée de 0 à 99999. |
|
|
Tableau 7-30 : host_access_control pam-auth
Options | Description |
---|---|
|
Affiche ce message d'aide et se ferme. |
|
Nombre d'échecs de tentatives de connexion avant qu'un compte ne soit verrouillé. L'entrée est limitée à une valeur comprise entre 1 et 10. (*La valeur d'usine par défaut Exadata est 5) |
|
Nombre de secondes (entier) pendant lequel un compte sera verrouillé en raison d'un seul échec de tentative de connexion. L'entrée est limitée à une valeur comprise entre 0 et 31557600 (un an) (*La valeur d'usine par défaut Exadata est 600 (10 minutes)) |
|
POUR LES SYSTÈMES FONCTIONNANT SUR UNE VERSION ANTÉRIEURE À OL7 Jeu séparé par des virgules de 5 valeurs : N0,N1,N2,N3,N4 définissant la longueur minimale autorisée pour différents types de mot de passe/phrases secrètes. Chaque numéro ultérieur ne doit pas être supérieur au précédent. Le mot-clé "disabled" peut être utilisé pour interdire les mots de passe d'un type particulier, quelle que soit leur longueur. (Consultez la page manpage pam_passwdqc pour une explication). Les mots de passe doivent utiliser trois classes de caractères. Les classes de caractères pour les mots de passe sont les chiffres, les lettres minuscules, les lettres majuscules et d'autres caractères. La longueur minimale du mot de passe est de 12 caractères lors de l'utilisation de trois classes de caractères. La longueur minimale du mot de passe est de 8 caractères lors de l'utilisation de quatre classes de caractères. (*La valeur d'usine par défaut Exadata est 5,5,5,5,5) (**La valeur par défaut sécurisée Exadata est disabled,disabled,16,12,8) |
|
POUR LES SYSTÈMES FONCTIONNANT SUR OL7 ET VERSIONS SUPÉRIEURES L'entier, allant de 6 à 40, définit la longueur minimale autorisée du mot de passe définie par les valeurs par défaut sécurisées Exadata. Toutes les classes seront requises pour les modifications de mot de passe ainsi que pour les autres vérifications exécutées pour les longueurs >7. Pour les longueurs <8, les exigences de classe ne sont pas utilisées. (*La valeur d'usine par défaut Exadata est : minlen=8 dcredit=-1 ucredit=-1 lcredit=-1 ocredit=-1 difok=8 maxrepeat=3 maxclassrepeat=4) (**La valeur par défaut sécurisée Exadata est : minlen=15 dcredit=-1 ucredit=-1 lcredit=-1 ocredit=-1 difok=8 maxrepeat=3 maxclassrepeat=4) (Consultez la page manpage pam_pwquality pour plus de détails) |
|
n derniers mots de passe à retenir pour l'historique des modifications de mot de passe. L'intervalle valide est un nombre entier compris entre 0 et 1 000. (*La valeur d'usine par défaut Exadata est 10) |
|
Définit toutes les valeurs pam-auth aux *valeurs d'usine par défaut Exadata |
|
Définit toutes les valeurs pam-auth aux **valeurs par défaut sécurisées Exadata. |
|
Affiche les paramètres d'authentification PAM actuels. |
Mise en oeuvre ou mise à jour de la configuration du pare-feu iptables dans la MV invitée
Les règles de configuration et de pare-feu iptables sont stockées dans /etc/sysconfig/iptables
.
man iptables
: Pour obtenir de l'aide sur iptables. Divers sites Web en ligne proposent également de nombreux tutoriels.
iptables --list
: Pour obtenir les règles iptables courantes.
Consultez la section précédente "Sécurité du réseau pour la MV invitée" pour plus de détails sur les ports qui peuvent être requis sur la MV invitée. Pour configurer manuellement le pare-feu, créez des commandes comme dans l'exemple suivant. Notez qu'il est possible de vous déconnecter du système en bloquant les ports sur lesquels vous vous connectez. Il est donc recommandé de consulter un système de test et d'engager un administrateur iptables expérimenté si possible.
- À l'invite de commande, entrez la commande appropriée pour chaque port à ouvrir, par exemple :
# iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 7002 -j ACCEPT # iptables -A INPUT -m state --state NEW -m udp -p udp --dport 123 -j ACCEPT
- Enregistrez la configuration iptables.
# service iptables save
Modification des mots de passe et mise à jour des clés autorisées
Pour modifier un mot de passe d'utilisateur, utilisez la commande password
. Les mots de passe doivent être modifiés 7 jours avant leur date d'expiration. Les politiques de mot de passe sont décrites ci-dessus dans la section Paramètres de sécurité par défaut.
Utilisateurs et mots de passe Oracle Exadata par défaut - Voir la note My Oracle Support sur https://support.oracle.com/epmos/faces/DocContentDisplay?id=1291766.1. Les autres comptes non inclus dans cette note sont énumérés ci-dessous.
Tableau 7-31 : Comptes d'utilisateur
Nom d'utilisateur et Mot de passe | Type d'utilisateur | Composant |
---|---|---|
|
Utilisateur du système d'exploitation | Serveurs de base de données Oracle Exadata |
exawatch (version 19.1.0 et ultérieure) - Aucun privilège de connexion
|
Utilisateur du système d'exploitation |
Serveurs de base de données Oracle Exadata Serveurs de stockage Oracle Exadata |
SYS/We1come$ |
Utilisateur Oracle Database | Serveurs de base de données Oracle Exadata |
SYSTEM/We1come$ |
Utilisateur Oracle Database | Serveurs de base de données Oracle Exadata |
Management Server (MS) utilise ce compte pour gérer ILOM et le réinitialiser s'il détecte un blocage. Le mot de passe Ne modifiez pas ce compte. Ce compte ne doit être utilisé que par MS. |
Utilisateur ILOM |
Interfaces ILOM de serveur de base de données Interfaces ILOM de serveur de stockage Oracle Exadata |
Faites attention aux actions qui peuvent avoir une incidence sur les connexions liées au service pour l'automatisation en nuage.
Par exemple, les procédures consisteront à s'assurer que les clés autorisées utilisées pour les actions d'automatisation du nuage restent intactes.
Pour plus d'informations sur les contrôles d'accès au réseau physique, y compris les directives pour l'automatisation Oracle Cloud, voir Contrôles de sécurité pour Oracle Gen2 Exadata Cloud@Customer.
L'accès de l'automatisation Oracle Cloud à la MV du client est contrôlé par l'authentification SSH basée sur des jetons. Les clés publiques pour l'accès de l'automatisation Oracle Cloud sont stockées dans les fichiers de clés autorisés des utilisateurs oracle
, opc
et root
de la MV du client. Les clés privées utilisées par l'automatisation sont stockées et protégées par le logiciel d'automatisation Oracle Cloud exécuté dans le matériel Exadata Cloud@Customer dans le centre de données du client. Les contrôles de gestion des identités et des accès (GIA) d'OCI du client déterminent si et comment un client peut exécuter la fonctionnalité d'automatisation Oracle Cloud sur la MV et les bases de données du client. Le client peut également contrôler l'accès au moyen du réseau de gestion et des clés de l'automatisation Oracle Cloud en bloquant l'accès au réseau (règles de pare-feu, désactivation de l'interface réseau) et en révoquant les données d'identification utilisées par l'automatisation Oracle Cloud (suppression des clés publiques des fichiers de clés autorisés). L'accès de l'automatisation Oracle Cloud peut être restauré temporairement par le client pour permettre au sous-ensemble de fonctionnalités requis d'accéder à la MV et aux bases de données du client, par exemple pour l'application de correctifs au système d'exploitation de la MV du client. L'automatisation Oracle Cloud n'a pas besoin d'accès réseau à la MV du client pour effectuer l'ajustement d'OCPU, qui fonctionnera normalement si les clients bloquent l'accès réseau de l'automatisation Oracle Cloud à la MV.
Configurer des canaux chiffrés pour la connectivité (Oracle Net) du module d'écoute de base de données
Pour plus d'informations, voir Configuration du chiffrement réseau natif et de l'intégrité des données Oracle Database.
Rubriques connexes
- Gestion du magasin de clés et de la clé de chiffrement principale
- https://support.oracle.com/rs?type=doc&id=1291766.1
- https://support.oracle.com/rs?type=doc&id=2823650.1
- Contrôles de sécurité pour Oracle Gen2 Exadata Cloud@Customer
- Configuration du chiffrement réseau natif et de l'intégrité des données Oracle Database
Rubrique parent : Procédures supplémentaires pour la mise à jour de la sécurité