Guide de sécurité pour le service Oracle Exadata Database Service on Cloud@Customer

Ce guide décrit la sécurité d'un service Oracle Exadata Database Service on Cloud@Customer. Il contient des informations sur les meilleures pratiques pour sécuriser le système Oracle Exadata Database Service on Cloud@Customer.

Configurations de sécurité et fonctions activées par défaut

Responsabilités

Exadata Cloud@Customer est géré conjointement par le client et Oracle. Le déploiement d'Exadata Cloud@Customer comprend deux grands domaines de responsabilités :
  • Services accessibles aux clients :
    Composants auxquels le client peut accéder dans le cadre de son abonnement à Exadata Cloud@Customer :
    • Machines virtuelles (MV) accessibles aux clients
    • Services de base de données accessibles aux clients
  • Infrastructure gérée par Oracle :
    • Unités de distribution d'alimentation (PDU)
    • Commutateurs de gestion hors bande (OOB) » commutateurs InfiniBand
    • Serveurs de stockage Exadata
    • Serveurs de base de données Exadata physiques

Les clients contrôlent et surveillent l'accès à leurs services, y compris l'accès réseau à leurs machines virtuelles (au moyen des réseaux VLAN de couche 2 et des pare-feu mis en oeuvre dans la MV du client), l'authentification pour accéder à la MV et l'authentification pour accéder aux bases de données s'exécutant dans les MV. Oracle contrôle et surveille l'accès aux composants d'infrastructure gérés par Oracle. Le personnel d'Oracle n'est pas autorisé à accéder aux services du client, y compris les MV et les bases de données du client.

Les clients accèdent aux bases de données Oracle exécutées sur Exadata Cloud@Customer au moyen d'une connexion (marquée VLAN) de couche 2 depuis leur équipement jusqu'aux bases de données s'exécutant dans la MV du client à l'aide de méthodes de connexion Oracle Database standard, telles qu'Oracle Net sur le port 1521. Les clients accèdent à la MV exécutant les bases de données Oracle au moyen de méthodes Oracle Linux standard, telles que SSH basée sur un jeton sur le port 22.

Principes directeurs adoptés pour les valeurs par défaut de la configuration de la sécurité

  • Défense en profondeur

    Exadata Cloud@Customer offre un certain nombre de contrôles pour assurer la confidentialité, l'intégrité et la responsabilisation tout au long du service.

    Tout d'abord, Exadata Cloud@Customer est construit à partir de l'image de système d'exploitation renforcée fournie par Exadata Database Machine. Pour plus d'informations, voir Aperçu de la sécurité d'Oracle Exadata Database Machine. Cela sécurise l'environnement d'exploitation de base en limitant l'image d'installation aux seuls ensembles logiciels requis, en désactivant les services inutiles et en mettant en oeuvre des paramètres de configuration sécurisés dans tout le système.

    En plus d'hériter de toute la puissance de la plate-forme mature d'Exadata Database Machine, car Exadata Cloud@Customer fournit des systèmes pour les clients, d'autres choix de configuration par défaut sécurisés sont implémentés dans les instances de service. Par exemple, tous les espaces-table de base de données nécessitent un chiffrement transparent des données (TDE), une application rigoureuse des mots de passe pour les utilisateurs et les superutilisateurs initiaux de la base de données et une amélioration des règles de vérification et d'événement.

    Exadata Cloud@Customer constitue également un déploiement et un service complets, de sorte qu'il est soumis à des vérifications externes de normes telles que PCI, HIPPA et ISO27001. Ces exigences de vérification externe imposent des fonctions de service à valeur ajoutée supplémentaires telles que le balayage antivirus, l'alerte automatisée pour les modifications inattendues du système et les balayages de vulnérabilités quotidiens pour tous les systèmes d'infrastructure gérés par Oracle dans le parc.

  • Moindre privilège

    Pour garantir que les processus n'ont accès qu'aux privilèges dont ils ont besoin, les normes de programmation sécurisée d'Oracle (Oracle Secure Coding Standards) exigent le paradigme du moindre privilège.

    Chaque processus et démon doit être exécuté en tant qu'utilisateur normal sans privilège, sauf si l'utilisateur peut prouver qu'il a besoin d'un niveau de privilège plus élevé. Cela permet de limiter les problèmes ou les vulnérabilités imprévus à l'espace des utilisateurs sans privilège et de ne pas compromettre un système entier.

    Ce principe s'applique également aux membres de l'équipe des opérations Oracle qui utilisent des comptes nommés individuels pour accéder à l'infrastructure Oracle Exadata Cloud@Customer pour la maintenance ou le dépannage. Ce n'est qu'en cas de nécessité qu'ils utiliseront l'accès vérifié à des niveaux de privilège plus élevés pour résoudre un problème. La plupart des problèmes étant résolus par l'automatisation, nous utilisons également le principe du moindre privilège en n'autorisant pas les opérateurs humains à accéder à un système, sauf si l'automatisation est incapable de résoudre le problème.

  • Vérification et responsabilisation

    Lorsque cela est nécessaire, l'accès au système est autorisé, mais tous les accès et toutes les actions sont consignés et suivis à des fins de responsabilisation.

    Cela permet à Oracle et aux clients de savoir ce qui a été fait sur le système et quand cela s'est produit. Ces faits nous permettent non seulement de rester en conformité avec les besoins en matière de rapports pour les vérifications externes, mais aussi de faire correspondre une modification avec un changement de comportement perçu dans l'application.

    Toutes les composantes de l'infrastructure disposent de capacités de vérification pour s'assurer que toutes les actions sont prises en compte. Les clients ont également la possibilité de configurer la vérification de leur base de données et de la configuration des MV invitées et peuvent choisir de les intégrer à d'autres systèmes de vérification d'entreprise.

  • Automatisation des opérations en nuage

    En éliminant les opérations manuelles requises pour effectuer le provisionnement, l'application de correctifs, la maintenance, le dépannage et la configuration des systèmes, la probabilité d'erreur est réduite et une configuration sécurisée est assurée.

    Le service est conçu pour être sécurisé et en automatisant toutes les tâches de provisionnement, de configuration et la plupart des autres tâches opérationnelles, il est possible d'éviter les configurations manquées et de s'assurer que tous les chemins nécessaires dans le système sont bien fermés.

Fonctions de sécurité

  • Image de système d'exploitation renforcée
    • Installation de programmes minimaux :

      Seuls les programmes nécessaires au fonctionnement d'un système efficace sont installés. Grâce à l'installation d'un ensemble plus restreint de programmes, la surface d'attaque du système d'exploitation est réduite et le système reste plus sûr.

    • Sécuriser la configuration :

      De nombreux paramètres de configuration non par défaut sont définis lors de l'installation afin de renforcer la sécurité du système et de son contenu. Par exemple, SSH est configuré pour n'écouter que sur certaines interfaces réseau, sendmail est configuré pour n'accepter que les connexions localhost, et de nombreuses autres restrictions similaires sont mises en place lors de l'installation.

    • Exécuter uniquement les services nécessaires :

      Tous les services qui peuvent être installés sur le système, mais qui ne sont pas requis pour un fonctionnement normal, sont désactivés par défaut. Par exemple, alors que NFS est un service souvent configuré par les clients à diverses fins d'application, il est désactivé par défaut car il n'est pas nécessaire pour les opérations normales de base de données. Les clients peuvent choisir de configurer les services en fonction de leurs besoins.

  • Surface d'attaque minimisée

    Dans le cadre de l'image renforcée, la surface d'attaque est réduite par la désactivation des services.

  • Fonctions de sécurité supplémentaires activées (mots de passe grub, démarrage sécurisé)
    • Tirant parti des capacités d'image Exadata, Exadata Cloud@Customer bénéficie de fonctionnalités intégrées à l'image de base telles que les mots de passe grub et le démarrage sécurisé, et de beaucoup d'autres.
    • Au moyen de la personnalisation, les clients peuvent souhaiter renforcer la sécurité de leur système avec des configurations supplémentaires détaillées plus loin dans ce chapitre.
  • Méthodes d'accès sécurisé
    • Accès aux serveurs de bases de données par SSH à l'aide de codes de chiffrement forts. Les chiffrements faibles sont désactivés par défaut.
    • Accès aux bases de données par le biais de connexions Oracle Net chiffrées. Par défaut, nos services sont disponibles à l'aide de canaux chiffrés et un client Oracle Net configuré par défaut utilisera des sessions chiffrées.
    • Accès aux diagnostics au moyen de l'interface Web Exadata MS (https).
  • Vérification et journalisation

    Par défaut, la vérification est activée pour les opérations administratives et ces dossiers de vérification sont communiqués aux systèmes internes OCI pour vérification et génération d'alerte automatisées, le cas échéant.

  • Considérations relatives au délai de déploiement
    • Contenu et sensibilité du téléchargement du fichier de portefeuille : Le téléchargement du fichier de portefeuille obtenu par un client pour permettre le déploiement contient des informations sensibles et doit être traité de manière appropriée pour garantir la protection de son contenu. Le contenu du téléchargement du fichier de portefeuille n'est pas nécessaire une fois le déploiement terminé, il doit donc être détruit pour éviter toute fuite d'informations.
    • Serveur de plan de contrôle (CPS) :
      • Les exigences de déploiement pour le serveur de plan de contrôle comprennent l'autorisation d'accès HTTPS sortant afin que le serveur puisse se connecter à Oracle et activer l'administration, la surveillance et la maintenance à distance. Pour plus de détails, consultez le guide de déploiement.
      • Les responsabilités des clients comprennent la sécurité physique de l'équipement Exadata Cloud@Customer dans leur centre de données. Bien qu'Exadata Cloud@Customer utilise de nombreuses fonctions de sécurité logicielle, la compromission des serveurs physiques doit être traitée par la sécurité physique du client pour garantir la sécurité du contenu des serveurs.

Utilisateurs fixes par défaut pour la MV invitée

Plusieurs comptes d'utilisateurs gèrent régulièrement les composants d'Oracle Exadata Cloud@Customer. Dans toutes les machines Exadata Cloud@Customer, Oracle utilise et recommande une connexion SSH uniquement. Aucun utilisateur ou processus Oracle n'utilise un système d'authentification basé sur un mot de passe.

Vous trouverez ci-dessous les différents types d'utilisateurs créés par défaut.

  • Utilisateurs par défaut : Aucun privilège de connexion

    Cette liste d'utilisateurs comprend les utilisateurs du système d'exploitation par défaut ainsi que certains utilisateurs spécialisés comme exawatch et dbmsvc. Ces utilisateurs ne doivent pas être modifiés. Ces utilisateurs ne peuvent pas se connecter au système car tous sont réglés à /bin/false.

    • exawatch :

      L'utilisateur exawatch est responsable de la collecte et de l'archivage des statistiques système tant sur les serveurs de base de données que sur les serveurs de stockage.

    • dbmsvc :

      L'utilisateur est utilisé pour le serveur de gestion dans le service de noeud de base de données du système Oracle Exadata.

    Utilisateurs NOLOGIN
    bin:x:1:1:bin:/bin:/bin/false
    daemon:x:2:2:daemon:/sbin:/bin/false
    adm:x:3:4:adm:/dev/null:/bin/false
    mail:x:8:12:mail:/var/spool/mail:/bin/false
    nobody:x:99:99:Nobody:/:/bin/false
    systemd-network:x:192:192:systemd Network Management:/:/bin/false
    dbus:x:81:81:System message bus:/:/bin/false
    rpm:x:37:37::/var/lib/rpm:/bin/false
    sshd:x:74:74:Privilege-separated SSH:/var/empty/sshd:/bin/false
    rpc:x:32:32:Rpcbind Daemon:/var/lib/rpcbind:/bin/false
    nscd:x:28:28:NSCD Daemon:/:/bin/false
    saslauth:x:999:76:Saslauthd user:/run/saslauthd:/bin/false
    mailnull:x:47:47::/var/spool/mqueue:/bin/false
    smmsp:x:51:51::/var/spool/mqueue:/bin/false
    chrony:x:998:997::/var/lib/chrony:/bin/false
    rpcuser:x:29:29:RPC Service User:/var/lib/nfs:/bin/false
    uucp:x:10:14:Uucp user:/var/spool/uucp:/bin/false
    nslcd:x:65:55:LDAP Client User:/:/bin/false
    tcpdump:x:72:72::/:/bin/false
    exawatch:x:1010:510::/:/bin/false
    sssd:x:997:508:User for sssd:/:/bin/false
    tss:x:59:59:Account used by the trousers package to sandbox the tcsd daemon:/dev/null:/bin/false
    dbmsvc:x:12137:11137::/home/dbmsvc:/bin/false
  • Utilisateurs par défaut avec accès à l'interpréteur de commandes restreint

    Ces utilisateurs peuvent accomplir une tâche définie avec un accès à l'interpréteur de commandes restreint. Ces utilisateurs ne doivent pas être modifiés car la tâche définie échouera s'ils sont modifiés ou supprimés.

    dbmmonitor : L'utilisateur dbmmonitor est utilisé pour l'utilitaire DBMCLI. Pour plus d'informations, voir Utilisation de l'utilitaire DBMCLI.

    Utilisateurs avec accès à l'interpréteur de commandes restreint
    dbmmonitor:x:2003:2003::/home/dbmmonitor:/bin/rbash
  • Utilisateurs par défaut avec autorisations de connexion

    Ces utilisateurs dotés de privilèges sont utilisés pour accomplir la plupart des tâches du système. Ces utilisateurs ne devraient jamais être modifiés ou supprimés car cela aurait une incidence significative sur le système en cours d'exécution.

    Les clés SSH sont utilisées pour la connexion par le personnel du client et l'automatisation du nuage.

    Les clés SSH ajoutées par le client peuvent être ajoutées par la méthode UpdateVmCluster ou par les clients accédant directement à la machine virtuelle du client et gérant les clés SSH dans la machine virtuelle du client. Les clients sont responsables de l'ajout de commentaires aux clés pour les rendre identifiables. Lorsqu'un client ajoute la clé SSH au moyen de la méthode UpdateVmCluster, la clé n'est ajoutée qu'au fichier authorized_keys de l'utilisateur opc.

    Les clés d'automatisation du nuage sont temporaires, propres à une tâche d'automatisation du nuage indiquée, par exemple le redimensionnement de la mémoire de grappe de machines virtuelles et uniques. Les clés d'accès à l'automatisation du nuage peuvent être identifiées par les commentaires suivants : OEDA_PUB, EXACLOUD_KEY, ControlPlane. Les clés d'automatisation du nuage sont supprimées une fois la tâche d'automatisation du nuage terminée, de sorte que les fichiers authorized_keys des comptes root, opc, oracle et grid ne doivent contenir que des clés d'automatisation du nuage pendant l'exécution des actions d'automatisation du nuage.

    Utilisateurs avec privilèges
    root:x:0:0:root:/root:/bin/bash
    oracle:x:1001:1001::/home/oracle:/bin/bash
    grid:x:1000:1001::/home/grid:/bin/bash
    opc:x:2000:2000::/home/opc:/bin/bash
    dbmadmin:x:2002:2002::/home/dbmadmin:/bin/bash
    • root : Exigence Linux, utilisé avec parcimonie pour exécuter des commandes locales avec privilèges. root est également utilisé pour certains processus comme Oracle Trace File Analyzer Agent et ExaWatcher.
    • grid : Détient l'installation du logiciel Oracle Grid Infrastructure et exécute les processus Oracle Grid Infastructure.
    • oracle : Détient l'installation du logiciel Oracle Database et exécute les processus Oracle Database.
    • opc :
      • Utilisé par l'automatisation Oracle Cloud pour les tâches d'automatisation.
      • A la possibilité d'exécuter certaines commandes avec privilèges sans autre authentification (pour prendre en charge les fonctions d'automatisation).
      • Exécute l'agent local, également appelé "Agent DCS" qui effectue des opérations de cycle de vie pour les logiciels Oracle Database et Oracle Grid Infastructure (application de correctifs, création de base de données, etc.).
    • dbmadmin :
      • L'utilisateur dbmadmin est utilisé pour l'utilitaire d'interface de ligne de commande (DBMCLI) d'Oracle Exadata Database Machine.
      • L'utilisateur dbmadmin doit être utilisé pour exécuter tous les services sur le serveur de base de données. Pour plus d'informations, voir Utilisation de l'utilitaire DBMCLI.

Groupes fixes par défaut pour la MV invitée

Les groupes suivants sont créés par défaut sur la machine virtuelle invitée.

Oracle Linux 7
root:x:0:
bin:x:1:
daemon:x:2:
sys:x:3:
adm:x:4:
tty:x:5:
disk:x:6:
lp:x:7:
mem:x:8:
kmem:x:9:
wheel:x:10:
cdrom:x:11:
mail:x:12:
man:x:15:
dialout:x:18:
tape:x:33:
video:x:39:
lock:x:54:
audio:x:63:
nobody:x:99:
users:x:100:
utmp:x:22:
utempter:x:35:
input:x:999:
systemd-journal:x:190:
systemd-network:x:192:
dbus:x:81:
ssh_keys:x:998:
sshd:x:74:
rpm:x:37:
rpc:x:32:
unbound:x:997:
nscd:x:28:
tss:x:59:
saslauth:x:76:
mailnull:x:47:
smmsp:x:51:
chrony:x:996:
rpcuser:x:29:
ldap:x:55:
slocate:x:21:
uucp:x:14:
tcpdump:x:72:
exawatch:x:510:
cgred:x:509:
fuse:x:508:
screen:x:84:
sssd:x:507:
printadmin:x:506:
docker:x:505:
dbmsvc:x:2001:
dbmadmin:x:2002:
dbmmonitor:x:2003:
dbmusers:x:2004:
floppy:x:19:
oinstall:x:1001:
asmdba:x:1004:
asmoper:x:1005:
asmadmin:x:1006:
dba:x:1002:
racoper:x:1003:
opc:x:2000:
Oracle Linux 8
root:x:0:
bin:x:1:
daemon:x:2:
sys:x:3:
adm:x:4:
tty:x:5:
disk:x:6:
lp:x:7:
mem:x:8:
kmem:x:9:
wheel:x:10:
cdrom:x:11:
mail:x:12:
man:x:15:
dialout:x:18:
tape:x:33:
video:x:39:
lock:x:54:
audio:x:63:
users:x:100:
nobody:x:2001:
utmp:x:22:
utempter:x:35:
dbus:x:81:
input:x:999:
kvm:x:36:
render:x:998:
systemd-journal:x:190:
systemd-coredump:x:997:
systemd-resolve:x:193:
tss:x:59:
ssh_keys:x:996:
sshd:x:74:
unbound:x:995:
nscd:x:28:
rpc:x:32:
saslauth:x:76:
mailnull:x:47:
smmsp:x:51:
rpcuser:x:29:
ldap:x:55:
slocate:x:21:
chrony:x:994:
tcpdump:x:72:
cgred:x:993:
fapolicyd:x:992:
printadmin:x:991:
polkitd:x:990:
sssd:x:989:
rpm:x:37:
screen:x:84:
dnsmasq:x:988:
exawatch:x:510:
dbmsvc:x:2002:
dbmadmin:x:2003:
dbmmonitor:x:2004:
dbmusers:x:2005:
uucp:x:14:
floppy:x:19:
mausers:x:2006:
secscan:x:1009:
oinstall:x:1001:
asmdba:x:1004:
asmoper:x:1005:
asmadmin:x:1006:
dba:x:1002:
racoper:x:1003:
opc:x:2000:

Paramètres de sécurité par défaut pour la MV invitée

En plus de toutes les fonctions Exadata expliquées dans Fonctions de sécurité d'Oracle Exadata Database Machine, les paramètres de sécurité suivants s'appliquent également.

  • Déploiement de base de données personnalisé avec des paramètres non par défaut.
    La commande host_access_control sert à configurer les paramètres de sécurité Exadata :
    • Mise en oeuvre de politiques relatives à l'ancienneté et la complexité des mots de passe.
    • Définition des politiques de verrouillage de compte et de temporisation de session.
    • Restriction de l'accès racine distant.
    • Restriction de l'accès réseau à certains comptes.
    • Mise en oeuvre de la bannière d'avertissement de connexion.
  • account-disable : Désactive un compte d'utilisateur lorsque certaines conditions configurées sont satisfaites.
  • pam-auth : Divers paramètres PAM pour les modifications de mot de passe et l'authentification de mot de passe.
  • rootssh: Ajuste la valeur PermitRootLogin dans /etc/ssh/sshd_config, ce qui permet ou refuse à l'utilisateur root de se connecter au moyen de SSH..
    • Par défaut, PermitRootLogin est réglé à without-password (sans mot de passe).
    • Il est recommandé de conserver ce paramètre pour permettre le fonctionnement du sous-ensemble de l'automatisation du nuage qui utilise ce chemin d'accès (par exemple, l'application de correctifs au système d'exploitation de machine virtuelle du client). Le réglage de PermitRootLogin à no désactivera ce sous-ensemble de fonctionnalités d'automatisation du nuage.
  • session-limit : Définit le paramètre * hard maxlogins dans /etc/security/limits.conf, qui est le nombre maximum de connexions pour tous les utilisateurs. Cette limite ne s'applique pas à un utilisateur avec uid=0.

    Valeur définie par défaut à * hard maxlogins 10, ce qui est la valeur sécurisée recommandée.

  • ssh-macs : Spécifie les algorithmes MAC (Message Authentication Code) disponibles.
    • L'algorithme MAC est utilisé dans la version 2 du protocole pour la protection de l'intégrité des données.
    • Valeurs par défaut pour hmac-sha1, hmac-sha2-256, hmac-sha2-512 pour le serveur et le client.
    • Valeurs recommandées sécurisées : hmac-sha2-256, hmac-sha2-512 pour le serveur et le client.
  • password-aging : Définit ou affiche l'ancienneté du mot de passe courant pour les comptes d'utilisateurs interactifs.
    • -M : Nombre maximal de jours pendant lequel un mot de passe peut être utilisé.
    • -m : Nombre minimum de jours autorisés entre les modifications de mot de passe.
    • -W : Nombre de jours d'avertissement avant l'expiration d'un mot de passe.
    • Valeurs par défaut réglées à -M 99999, -m 0, -W 7
    • --strict_compliance_only -M 60, -m 1, -W 7
    • Valeurs recommandées sécurisées : -M 60, -m 1, -W 7

Processus par défaut pour la MV invitée

  • Agent de la MV invitée Exadata Cloud@Customer : Agent Oracle Cloud pour gérer les opérations du cycle de vie de la base de données
    • S'exécute en tant qu'utilisateur opc.
    • Le tableau des processus montre qu'il fonctionne comme un processus Java avec des noms jar, dbcs-agent-VersionNumber-SNAPSHOT.jar et dbcs-admin-VersionNumver-SNAPSHOT.jar.
  • Agent Oracle Trace File Analyzer : Oracle Trace File Analyzer (TFA) fournit un certain nombre d'outils de diagnostic dans un seul ensemble, ce qui facilite la collecte d'informations de diagnostic sur Oracle Database et Oracle Clusterware, et aide à la résolution des problèmes lors de la communication avec le soutien technique d'Oracle.
    • S'exécute en tant qu'utilisateur root.
    • S'exécute en tant que démon initd ,/etc/init.d/init.tfa.
    • Les tableaux des processus affichent une application Java oracle.rat.tfa.TFAMain.
  • ExaWatcher :

    • S'exécute en tant qu'utilisateurs root et exawatch.
    • S'exécute en tant que script en arrière-plan, ExaWatcher.sh et tout son processus enfant est exécuté en tant que processus Perl.
    • Le tableau des processus s'affiche sous la forme de plusieurs applications Perl.
  • Oracle Database et Oracle Grid Infrastructure (Oracle Clusterware) :
    • S'exécute en tant qu'utilisateurs dbmsvc et grid.
    • Le tableau des processus présente les applications suivantes :
      • oraagent.bin, apx_* et ams_* en tant qu'utilisateur grid.
      • dbrsMain, et les applications Java, derbyclient.jar et weblogic.Server en tant qu'utilisateur oracle.
  • Serveur de gestion (MS) : Partie du logiciel d'image Exadata pour gérer et surveiller les fonctions d'image.
    • S'exécute en tant qu'utilisateur dbmadmin.
    • Le tableau des processus indique qu'il est en cours d'exécution en tant que processus Java.

Sécurité du réseau pour la MV invitée

Tableau 7-27 Matrice de ports par défaut pour les services de la MV invitée

Type d'interface Nom de l'interface Port Processus en cours d'exécution

Pont sur VLAN client

bondeth0

22

sshd

1521

Au besoin, les clients peuvent affecter un port de module d'écoute SCAN (TCP/IP) compris entre 1024 et 8999. La valeur par défaut est 1521.

Module d'écoute TNS d'Oracle

5 000

Oracle Trace File Analyzer Collector

7879

Serveur Jetty Management

bondeth0:1

1521

Au besoin, les clients peuvent affecter un port de module d'écoute SCAN (TCP/IP) compris entre 1024 et 8999. La valeur par défaut est 1521.

Module d'écoute TNS d'Oracle

bondeth0:2

1521

Au besoin, les clients peuvent affecter un port de module d'écoute SCAN (TCP/IP) compris entre 1024 et 8999. La valeur par défaut est 1521.

Module d'écoute TNS d'Oracle

Pont sur VLAN de sauvegarde

bondeth1

7879

Serveur Jetty Management

Oracle Clusterware exécuté sur chaque noeud du cluster communique au moyen de ces interfaces.

clib0/clre0

1525

Module d'écoute TNS d'Oracle

3260

iSCSI pour Synology DSM

5054

Communication interprocessus Oracle Grid Infrastructure

7879

Serveur Jetty Management

Port dynamique : 9000-65500

Les ports sont contrôlés par l'intervalle éphémère configuré dans le système d'exploitation et sont dynamiques.

Service System Monitor (osysmond)

Port dynamique : 9000-65500

Les ports sont contrôlés par l'intervalle éphémère configuré dans le système d'exploitation et sont dynamiques.

Service Cluster Logger (ologgerd)

clib1/clre1

5054

Communication interprocessus Oracle Grid Infrastructure

7879

Serveur Jetty Management

Les noeuds de grappe utilisent ces interfaces pour accéder aux cellules de stockage (disques ASM).

Toutefois, les adresses IP/ports 7060/7070 associés aux interfaces de stockage sont utilisés pour accéder à l'agent DBCS à partir du serveur du plan de contrôle.

stib0/stre0

7060

dbcs-admin

7070

dbcs-agent

stib1/stre1

7060

dbcs-admin

7070

dbcs-agent

Serveur de plan de contrôle à domU

eth0

22

sshd

Bouclage

lo

22

sshd

2016

Oracle Grid Infrastructure

6100

Service d'avis Oracle (ONS), partie d'Oracle Grid Infrastructure

7879

Serveur Jetty Management

Port dynamique 9000-65500

Oracle Trace File Analyzer

Note

Le module d'écoute TNS ouvre des ports dynamiques après le contact initial vers des ports bien connus (1521, 1525).

Règles iptables par défaut pour la MV invitée :

Les règles iptables par défaut sont configurées pour les connexions ACCEPT sur les chaînes d'entrée, de transmission et de sortie.
#iptables -L -n -v
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
 
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
 
Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

Procédures supplémentaires pour la mise à jour de la sécurité

Responsabilités du client

Tableau 7-28 : Responsabilités

  Plate-forme Oracle Cloud Instances de client/locataire

Surveillance

Opérations Oracle Cloud

Client

Opérations Oracle Cloud

Client

Infrastructure, plan de contrôle, défaillances matérielles, disponibilité, capacité

Fournir un accès réseau pour prendre en charge la collecte et la surveillance des journaux d'infrastructure Oracle

Disponibilité de l'infrastructure pour prendre en charge la surveillance des services du client

Surveillance du système d'exploitation, des bases de données, des applications du client

Gestion et résolution des incidents

Gestion des incidents et mesures correctives

Pièces de rechange et expédition sur site

Assistance de diagnostic sur place, par exemple, dépannage de réseau

Prise en charge de tout incident lié à la plate-forme sous-jacente

Gestion et résolution des incidents pour les applications du client

Gestion des correctifs

Correction proactive du matériel, pile de contrôle IaaS/PaaS

Fournir un accès réseau pour prendre en charge la livraison des correctifs

Mise à disposition des correctifs disponibles, par exemple, jeu de correctifs Oracle Database

Application de correctifs aux instances de locataire

Tests

Sauvegarde et restauration

Sauvegarde et récupération de l'infrastructure et du plan de contrôle, recréation des MV du client

Fournir un accès réseau pour prendre en charge la livraison de l'automatisation en nuage

Fournir une MV accessible aux clients et fonctionnelle

Instantanés / sauvegarde et récupération des données IaaS et PaaS du client à l'aide de la capacité native d'Oracle ou de tierce partie

Soutien pour Oracle Cloud

Réponse et résolution des demandes de service liées aux problèmes d'infrastructure ou d'abonnement

Soumettre la demande de service par MOS Réponse et résolution de la demande de service Soumettre la demande de service sur le portail de soutien technique

Activation des fonctions de sécurité supplémentaires

Utilisation d'Oracle Key Vault comme magasin de clés TDE externe pour les bases de données sur Exadata Cloud@Customer

Oracle prend en charge les clients qui utilisent Oracle Key Vault (OKV) en tant que magasin de clés externe pour les bases de données exécutées sur Exadata Cloud@Customer. Les instructions de migration des clés principales TDE vers OKV sont publiées dans le document My Oracle Support 2823650.1 (Migration de TDE basée sur des fichiers vers OKV pour le service Exadata Database sur Cloud at Customer Gen2). Oracle ne prend pas en charge les modules de sécurité matériels tiers (HSM) avec Exadata Cloud@Customer.

Modification des exigences de complexité des mots de passe à l'aide d'host_access_control

Tableau 7-29 : Ancienneté du mot de passe avec host_access_control

Option Description

-s, --status

Affiche l'ancienneté du mot de passe courant de l'utilisateur.

-u USER, --user=USER

Nom d'utilisateur de l'utilisateur interactif valide.

--defaults

Définit toutes les valeurs d'ancienneté du mot de passe aux *valeurs d'usine par défaut Exadata pour tous les utilisateurs interactifs.

--secdefaults

Définit toutes les valeurs d'ancienneté du mot de passe aux **valeurs par défaut Exadata sécurisées pour tous les utilisateurs interactifs

--policy

Définit toutes les valeurs d'ancienneté du mot de passe à la politique d'ancienneté telle que définie par la commande password-policy (ou /etc/login.defs) pour tous les utilisateurs interactifs.

-M int, --maxdays=int

Nombre maximum de jours pendant lequel un mot de passe peut être utilisé. Entrée limitée de 1 à 99999.

-m int, --mindays=int

Nombre minimum de jours autorisés entre les modifications de mot de passe. Entrée limitée de 0 à 99999, 0 pour tout moment.

-W int, --warndays=int

Nombre de jours d'avertissement avant l'expiration d'un mot de passe. Entrée limitée de 0 à 99999.

host_access_control password-policy

--PASS_MAX_DAYS integer (60)*

--PASS_MIN_DAYS integer ( 1)*

--PASS_MIN_LEN integer ( 8)*

--PASS_WARN_AGE integer ( 7)*

--defaults

--status

Tableau 7-30 : host_access_control pam-auth

Options Description

-h, --help

Affiche ce message d'aide et se ferme.

-d DENY, --deny=DENY

Nombre d'échecs de tentatives de connexion avant qu'un compte ne soit verrouillé. L'entrée est limitée à une valeur comprise entre 1 et 10. (*La valeur d'usine par défaut Exadata est 5)

-l LOCK_TIME, --lock=LOCK_TIME

Nombre de secondes (entier) pendant lequel un compte sera verrouillé en raison d'un seul échec de tentative de connexion. L'entrée est limitée à une valeur comprise entre 0 et 31557600 (un an) (*La valeur d'usine par défaut Exadata est 600 (10 minutes))

-p list, --passwdqc=list

POUR LES SYSTÈMES FONCTIONNANT SUR UNE VERSION ANTÉRIEURE À OL7

Jeu séparé par des virgules de 5 valeurs : N0,N1,N2,N3,N4 définissant la longueur minimale autorisée pour différents types de mot de passe/phrases secrètes. Chaque numéro ultérieur ne doit pas être supérieur au précédent. Le mot-clé "disabled" peut être utilisé pour interdire les mots de passe d'un type particulier, quelle que soit leur longueur. (Consultez la page manpage pam_passwdqc pour une explication).

Les mots de passe doivent utiliser trois classes de caractères. Les classes de caractères pour les mots de passe sont les chiffres, les lettres minuscules, les lettres majuscules et d'autres caractères. La longueur minimale du mot de passe est de 12 caractères lors de l'utilisation de trois classes de caractères.

La longueur minimale du mot de passe est de 8 caractères lors de l'utilisation de quatre classes de caractères. (*La valeur d'usine par défaut Exadata est 5,5,5,5,5) (**La valeur par défaut sécurisée Exadata est disabled,disabled,16,12,8)

-q PWQUALITY, --pwquality=PWQUALITY

POUR LES SYSTÈMES FONCTIONNANT SUR OL7 ET VERSIONS SUPÉRIEURES

L'entier, allant de 6 à 40, définit la longueur minimale autorisée du mot de passe définie par les valeurs par défaut sécurisées Exadata. Toutes les classes seront requises pour les modifications de mot de passe ainsi que pour les autres vérifications exécutées pour les longueurs >7. Pour les longueurs <8, les exigences de classe ne sont pas utilisées.

(*La valeur d'usine par défaut Exadata est : minlen=8 dcredit=-1 ucredit=-1 lcredit=-1 ocredit=-1 difok=8 maxrepeat=3 maxclassrepeat=4)

(**La valeur par défaut sécurisée Exadata est : minlen=15 dcredit=-1 ucredit=-1 lcredit=-1 ocredit=-1 difok=8 maxrepeat=3 maxclassrepeat=4)

(Consultez la page manpage pam_pwquality pour plus de détails)

-r REMEMBER, --remember=REMEMBER

n derniers mots de passe à retenir pour l'historique des modifications de mot de passe. L'intervalle valide est un nombre entier compris entre 0 et 1 000.

(*La valeur d'usine par défaut Exadata est 10)

--defaults

Définit toutes les valeurs pam-auth aux *valeurs d'usine par défaut Exadata

--secdefaults

Définit toutes les valeurs pam-auth aux **valeurs par défaut sécurisées Exadata.

-s, --status

Affiche les paramètres d'authentification PAM actuels.

Mise en oeuvre ou mise à jour de la configuration du pare-feu iptables dans la MV invitée

Les règles de configuration et de pare-feu iptables sont stockées dans /etc/sysconfig/iptables.

man iptables : Pour obtenir de l'aide sur iptables. Divers sites Web en ligne proposent également de nombreux tutoriels.

iptables --list : Pour obtenir les règles iptables courantes.

Consultez la section précédente "Sécurité du réseau pour la MV invitée" pour plus de détails sur les ports qui peuvent être requis sur la MV invitée. Pour configurer manuellement le pare-feu, créez des commandes comme dans l'exemple suivant. Notez qu'il est possible de vous déconnecter du système en bloquant les ports sur lesquels vous vous connectez. Il est donc recommandé de consulter un système de test et d'engager un administrateur iptables expérimenté si possible.

  1. À l'invite de commande, entrez la commande appropriée pour chaque port à ouvrir, par exemple :
    # iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 7002 -j ACCEPT
    
    # iptables -A INPUT -m state --state NEW -m udp -p udp --dport 123 -j ACCEPT
  2. Enregistrez la configuration iptables.
    # service iptables save

Modification des mots de passe et mise à jour des clés autorisées

Pour modifier un mot de passe d'utilisateur, utilisez la commande password. Les mots de passe doivent être modifiés 7 jours avant leur date d'expiration. Les politiques de mot de passe sont décrites ci-dessus dans la section Paramètres de sécurité par défaut.

Utilisateurs et mots de passe Oracle Exadata par défaut - Voir la note My Oracle Support sur https://support.oracle.com/epmos/faces/DocContentDisplay?id=1291766.1. Les autres comptes non inclus dans cette note sont énumérés ci-dessous.

Tableau 7-31 : Comptes d'utilisateur

Nom d'utilisateur et Mot de passe Type d'utilisateur Composant

opc - Connexion basée sur des clés seulement

Utilisateur du système d'exploitation Serveurs de base de données Oracle Exadata
exawatch (version 19.1.0 et ultérieure) - Aucun privilège de connexion Utilisateur du système d'exploitation

Serveurs de base de données Oracle Exadata

Serveurs de stockage Oracle Exadata

SYS/We1come$ Utilisateur Oracle Database Serveurs de base de données Oracle Exadata
SYSTEM/We1come$ Utilisateur Oracle Database Serveurs de base de données Oracle Exadata

MSUser

Management Server (MS) utilise ce compte pour gérer ILOM et le réinitialiser s'il détecte un blocage.

Le mot de passe MSUser n'est persistant nulle part. Chaque fois que MS démarre, il supprime le compte MSUser précédent et recrée le compte avec un mot de passe généré aléatoirement.

Ne modifiez pas ce compte. Ce compte ne doit être utilisé que par MS.

Utilisateur ILOM

Interfaces ILOM de serveur de base de données

Interfaces ILOM de serveur de stockage Oracle Exadata

Faites attention aux actions qui peuvent avoir une incidence sur les connexions liées au service pour l'automatisation en nuage.

Par exemple, les procédures consisteront à s'assurer que les clés autorisées utilisées pour les actions d'automatisation du nuage restent intactes.

Pour plus d'informations sur les contrôles d'accès au réseau physique, y compris les directives pour l'automatisation Oracle Cloud, voir Contrôles de sécurité pour Oracle Gen2 Exadata Cloud@Customer.

L'accès de l'automatisation Oracle Cloud à la MV du client est contrôlé par l'authentification SSH basée sur des jetons. Les clés publiques pour l'accès de l'automatisation Oracle Cloud sont stockées dans les fichiers de clés autorisés des utilisateurs oracle, opc et root de la MV du client. Les clés privées utilisées par l'automatisation sont stockées et protégées par le logiciel d'automatisation Oracle Cloud exécuté dans le matériel Exadata Cloud@Customer dans le centre de données du client. Les contrôles de gestion des identités et des accès (GIA) d'OCI du client déterminent si et comment un client peut exécuter la fonctionnalité d'automatisation Oracle Cloud sur la MV et les bases de données du client. Le client peut également contrôler l'accès au moyen du réseau de gestion et des clés de l'automatisation Oracle Cloud en bloquant l'accès au réseau (règles de pare-feu, désactivation de l'interface réseau) et en révoquant les données d'identification utilisées par l'automatisation Oracle Cloud (suppression des clés publiques des fichiers de clés autorisés). L'accès de l'automatisation Oracle Cloud peut être restauré temporairement par le client pour permettre au sous-ensemble de fonctionnalités requis d'accéder à la MV et aux bases de données du client, par exemple pour l'application de correctifs au système d'exploitation de la MV du client. L'automatisation Oracle Cloud n'a pas besoin d'accès réseau à la MV du client pour effectuer l'ajustement d'OCPU, qui fonctionnera normalement si les clients bloquent l'accès réseau de l'automatisation Oracle Cloud à la MV.

Configurer des canaux chiffrés pour la connectivité (Oracle Net) du module d'écoute de base de données

Pour plus d'informations, voir Configuration du chiffrement réseau natif et de l'intégrité des données Oracle Database.