Oracle Cloud Infrastructureドキュメント

Oracle Linux STIGイメージ

Oracle Linux STIGイメージは、セキュリティ技術導入ガイド(STIG)に従ったOracle Linuxの実装です。

STIGイメージを使用すると、米国国防情報システム局(DISA)によって定められた特定のセキュリティ標準と要件に準拠するOracle LinuxインスタンスをOracle Cloud Infrastructureに構成できます。

ノート

Oracleでは、Oracle Linux STIGイメージが最新のセキュリティ・エラッタで定期的に更新されます。このドキュメントは、STIGベンチマークが変更されると常に更新されます。またセキュリティ・ガイダンスの変更のためにイメージの手動構成が必要になったときにも更新されます。各リリースで行われた特定の変更については、Oracle Linux STIGイメージの改訂履歴を参照してください。
重要

Oracle Linux STIGイメージ・インスタンスに対して行う変更(他のアプリケーションのインストールや構成設定の変更など)が、コンプライアンス・スコアに影響を与える可能性があります。変更を行ったら、インスタンスを再スキャンしてコンプライアンスを確認します。コンプライアンスのためのインスタンスの再スキャンを参照してください。

STIGとは?

セキュリティ技術導入ガイド(STIG)は、米国国防情報システム局(DISA)によって記述されたドキュメントです。これは、米国国防総省(DoD)のITネットワーク・システム内のデプロイメントに対するサイバーセキュリティ要件を満たすシステムの構成に関するガイダンスを提供します。STIG要件は、インフラストラクチャとネットワークのセキュリティに焦点を当てて脆弱性を軽減することで、サイバーセキュリティの脅威からネットワークを保護するのに役立ちます。STIGに準拠することは、DoD機関(DoD情報ネットワーク(DoDIN)の一部である任意の組織)の要件です。

Oracle Linux STIGイメージは、標準のOracle Linuxイメージの強化されたバージョンを提供することで、コンプライアンスの自動化に役立ちます。このイメージは、STIGガイドラインに準拠するように強化されています。ただし、イメージがすべてのSTIG要件を満たすわけではなく、追加の手動修正が必要な場合があります。「改善の適用」を参照してください。

最新のSTIGのダウンロード

DISAは、四半期ごとにSTIGの更新を提供します。このドキュメントは、公開時に入手可能な最新の STIGを使用して作成されました。ただし、システムの評価時には、常に最新のSTIGを使用する必要があります。

最新のSTIGは、https://public.cyber.mil/stigs/downloads/からダウンロードしてください。Oracle Linuxを検索し、適切なzipファイルをダウンロードします。

オプションで、https://public.cyber.mil/stigs/srg-stig-tools/にあるDISA STIG Viewerを使用します。その後、STIGのxccdf.xmlファイルをインポートしてSTIGルールを表示します。

STIGコンプライアンスの評価方法

多くの場合、コンプライアンス評価は、Security Content Automation Protocol (SCAP)コンプライアンス・チェッカ・ツールを使用したスキャンから開始します。このツールは、STIG (SCAP形式でアップロード)を使用して、システムのセキュリティを分析します。ただし、ツールは常に STIG内のすべてのルールをテストするわけではなく、一部のSTIGにはSCAPバージョンがない場合があります。このような場合、監査者は、ツールでカバーされていない STIGルールを調べることによって、システムのコンプライアンスを手動で確認する必要があります。

コンプライアンス評価を自動化するために、次のツールを使用できます。

  • SCAPコンプライアンス・チェッカ(SCC) - DISA STIGベンチマークまたはOpenSCAPアップストリーム・プロファイルのいずれかを使用して評価を実行できる、DISAによって開発されたツール。通常、DISA STIGベンチマークは、SCCツールの使用時のコンプライアンス・スキャンに使用されます。

    重要

    Armアーキテクチャ(aarch64)をスキャンするには、SCCバージョン5.5以降を使用する必要があります。

  • OpenSCAP - yumを介して使用可能なオープン・ソース・ユーティリティ。DISA STIGベンチマークまたはOpenSCAPアップストリーム・プロファイルを使用して評価を実行できます。Oracle Linuxは、システム・リリース固有のプロファイルを含むSCAPセキュリティ・ガイド(SSG)パッケージを配布します。たとえば、SSGパッケージによって提供されるSCAPデータストリームの SSG-ol7-ds.xmlファイルには、Oracle Linux 7プロファイル用のDISA STIGが含まれています。OpenSCAPツールを使用するメリットの1つは、SSGが、修正を自動化し、システムを準拠状態にするためのBashまたはAnsibleスクリプトを提供することです。

    注意

    スクリプトを使用した自動修正では、望ましくないシステム構成が発生したり、システムが機能しなくなる可能性があります。修正スクリプトを非本番環境でテストしてください。

コンプライアンス・ツールの実行およびスキャン・レポートの生成の詳細は、コンプライアンスのためのインスタンスの再スキャンを参照してください。

コンプライアンス・ターゲット

Oracle Linux STIGイメージには、DISA STIGベンチマークで対処されていないルールの追加の修正が含まれています。Oracle LinuxのDISA STIGに連携したSSGのSTIGプロファイルを使用して、以前に未対応のルールの自動化を拡張し、完全なDISA STIGに対するコンプライアンスを決定します。

SCCおよびOpenSCAPのスキャン結果に基づく2つのDISA STIG Viewerチェックリスト・ファイルがイメージに用意されています。DISA STIGベンチマークのチェックリストはSCCスキャン結果を使用し、SSG "STIG"プロファイルのチェックリストはOpenSCAPスキャン結果を使用します。これらのチェックリストには、ガイダンスを満たさないイメージの領域に関するOracleによるコメントが含まれます。チェックリストを使用した追加構成の表示を参照してください。
ノート

DISA STIGベンチマークのコンプライアンス・スコアが高いほど、完全なDISA STIGと比較してルールの範囲が制限されます。ただし、SSGの「STIG」プロファイルは完全なDISA STIGを考慮し、イメージのコンプライアンスをより包括的に評価します。
Oracle Linux 8

Oracle Linux 8 STIGイメージは、DISAセキュリティ標準に準拠しており、Oracle Linux 8 DISA STIGに従って強化されています。最新のOracle Linux 8 STIGイメージ・リリースの場合、コンプライアンス・ターゲットはOracle Linux 8バージョン1、リリース8のDISA STIGです。yumを通じて入手可能なscap- セキュリティ・ガイド・パッケージ(最小バージョン0.1.69-2.0.1)には、Oracle Linux 8バージョン1リリース8用のDISA STIGに準拠するSSGのSTIGプロファイルが含まれています。

Oracle Linux 8.9の2024年1月のSTIGイメージのコンプライアンス情報:

ターゲット: Oracle Linux 8バージョン1リリース8のDISA STIGに準拠するSSG "STIG"プロファイル

  • x86_64のチェックリスト・コンプライアンス・スコア: 67.50%
  • aarch64のチェックリスト・コンプライアンス・スコア: 67.40%

目標: Oracle Linux 8バージョン1リリース7ベンチマーク・プロファイル用のDISA STIG

  • x86_64のチェックリスト・コンプライアンス・スコア: 78.92%
  • aarch64のチェックリスト・コンプライアンス・スコア: 78.92%
Oracle Linux 7

Oracle Linux 7 STIGイメージは、DISAセキュリティ標準に準拠しており、Oracle Linux 7 DISA STIGに従って強化されています。最新の Oracle Linux 7 STIGイメージリリースの場合、コンプライアンスターゲットはDISA STIGバージョン2、リリース14に移行されました。yumを通じて入手可能なscap-security-guideパッケージ(最小バージョン0.1.72-2.0.1)には、Oracle Linux 7バージョン2リリース14用のDISA STIGに準拠するSSGのSTIGプロファイルが含まれています。

Oracle Linux 7.9 May 2024 STIGイメージのコンプライアンス情報:

ターゲット: Oracle Linux 7バージョン2リリース14用のDISA STIGに準拠するSSG「STIG」プロファイル

  • チェックリスト・コンプライアンス・スコア x86_64: 81.36%
  • チェックリスト・コンプライアンス・スコア aarch64: 81.36%

目標: Oracle Linux 7バージョン2リリース14ベンチマーク・プロファイル用のDISA STIG

  • チェックリスト・コンプライアンス・スコア x86_64: 91.77%
  • チェックリスト・コンプライアンス・スコア aarch64: 91.77%
ノート

DISAのSTIG標準は、Oracle Linux 7 Ver 2、Rel 13およびOracle Linux 7 Ver 2、Rel 14の間で、表現以外に重要な変更はありませんでした。このため、Oracle Linux 7バージョン2リリース13に準拠しているシステムはすべて、Oracle Linux 7バージョン2リリース14にも準拠しています。

修正の適用

強化された Oracle Linux STIGイメージを、すべての推奨ガイダンスに合わせて構成することはできません。Oracle Linux STIGイメージ・インスタンスに含まれていない構成を手動で完了させる必要があります。

適切なセキュリティ構成を適用する手順は、DISAによって定められたセキュリティ・ルールごとに、対応するOracle Linuxセキュリティ技術導入ガイドで説明されています。

重要

イメージを変更すると、インスタンスのデフォルトのOracle Cloud Infrastructureアカウントに影響する可能性があります。ルールを適用する場合は、各ルールに関する情報と除外の理由を調査して、インスタンスに対する潜在的な影響をよく理解してください。

チェックリストを使用した追加構成の表示

Oracle Linux STIGイメージに付属しているチェックリストを使用して、イメージに含まれていないガイダンス領域に関する追加のリリース・ノートを表示します(追加の構成が必要になる場合があります)。リリース・ノートでは、インスタンスのデフォルトのOracle Cloud Infrastructureアカウントに影響を与える可能性がある追加の構成を識別します。

チェックリストへのアクセス

Oracle Linux STIGイメージには、DISA STIGベンチマークおよびOracle LinuxのDISA STIGに合せたSCAPセキュリティ・ガイド(SSG)のSTIGプロファイルのDISA STIGビューア・チェックリストが含まれています。これらのチェックリストは、/usr/share/xml/stigディレクトリにあります。各リリースに関連付けられた特定のファイル名については、Revision Historyを参照してください。

  • OL<release>_SSG_STIG_<STIG-version>_CHECKLIST_RELEASE.ckl - SSGのSTIGプロファイル・スキャン結果を使用した、Oracle LinuxのDISA STIGのチェックリスト。
  • OL<release>_DISA_BENCHMARK_<STIG-version>_CHECKLIST_RELEASE.ckl - SCC Oracle_Linux_<release>_STIGプロファイル・スキャン結果を使用したOracle LinuxのDISA STIGベンチマークのチェックリスト。

チェックリストのリリース・ノートの表示

  1. DISA STIG Viewerツールは、https://public.cyber.mil/stigs/srg-stig-tools/からダウンロードします。
  2. STIGビューア・ツールを開きます。
  3. 「チェックリスト」で、「ファイルからチェックリストを開く...」を選択し、チェックリスト・ファイルにナビゲートします。
  4. 「フィルタ・パネル」を展開し、次のフィルタを追加します。
    • 一致が必要: ALL
    • フィルタ条件: キーワード
    • フィルタ・タイプ: 包含(+)フィルタ
    • キーワード: Oracleリリースノート
  5. リリース・ノートには、次のルールに関する追加情報があります。
    • オープン - 除外されたルールまたは範囲外とみなされたルール。
      • 除外 - インスタンスのデフォルトのOracle Cloud Infrastructureアカウントに影響し、Oracle Linux STIGイメージの修正から除外されたルール。
      • 範囲外 - 現在のリリースで修正の対象外だが、将来のリリースで修正対象とみなされる可能性があるルール。
    • 該当なし - Oracle Linux STIGイメージに適用できないとみなされたルール。
    • 未レビュー - 現在のリリースで修正の範囲外だが、将来のリリースで修正が検討される可能性があるルール。
  6. ルールごとに、是正を適用する前に、インスタンスへの影響を完全に理解してください。

コンプライアンスのためのインスタンスの再スキャン

SCCまたはOpenSCAPツールを使用してインスタンスをスキャンし、インスタンスが準拠していることを確認します。

Oracle Linux STIGイメージ・インスタンスに対する変更(他のアプリケーションのインストールや新しい構成設定の追加など)が、コンプライアンスに影響する可能性があります。スキャンして、変更後にインスタンスが準拠していることを確認することをお薦めします。また、四半期ごとの定期的なDISA STIG更新をチェックするために、その後もスキャンを実行する必要があります。

OpenSCAPツールの使用

OpenSCAPツールはOracle Linuxで使用でき、米国国立標準技術研究所(NIST)によって認定されています。

  1. Oracle Linux STIGイメージ・インスタンスにサインインします。
  2. openscap-scannerパッケージをインストールします。 
    sudo yum install openscap-scanner
  3. スキャンに使用するXCCDFまたはデータストリーム・ファイルを特定します。

    SSGのstigプロファイルを使用するには:

    1. scap-security-guideパッケージをインストールします。 
      sudo yum install scap-security-guide
    2. /usr/share/xml/scap/ssg/contentにあるスキャンに使用するファイルを見つけます。
    Oracle Linux DISA STIGベンチマークを使用するには:
    1. https://public.cyber.mil/stigs/downloads/"に進みます。
    2. Oracle Linuxを検索し、適切なDISA STIGベンチマーク・ファイルをダウンロードします。
    3. ダウンロード後にファイルを解凍します。
  4. スキャンを実行するために、次のコマンドを実行します: 
    sudo oscap xccdf eval --profile profile-name \
--results=path-to-results.xml --oval-results \
--report=path-to-report.html \
--check-engine-results \
--stig-viewer=path-to-stig-viewer-report.xml \
path-to-xccdf-document

    oscapコマンドで使用できるその他のオプションについては、Oracle® Linux 7: セキュリティ・ガイドOpenSCAPを使用した脆弱性のスキャンおよびOracle Linux 8: セキュリティ・コンプライアンスのためのOpenSCAPの使用を参照してください。

  5. path-to-report.htmlファイルで評価結果を確認します。

SCCツールの使用

SCCツールは、政府機関のコンプライアンスを確認するための公式ツールであり、Oracle Linux STIGイメージ・インスタンスのスキャンに使用できます。

重要

Armアーキテクチャ(aarch64)をスキャンするには、SCCバージョン5.5以降を使用する必要があります。

SCCツールを使用する手順は、SCAPツールの表(https://public.cyber.mil/stigs/scap/)を参照してください。

  1. https://public.cyber.mil/stigs/scap/の表からSCCツールを取得します。
  2. ツールをインストールします。 
    unzip scc-5.4.2_rhel7_sles12-15_oracle-linux7_x86_64_bundle.zip
cd scc-5.4.2_rhel7_x86_64/
rpm -i scc-5.4.2.rhel7.x86_64.rpm
  3. SCCツールにインポートする前に、SCAPコンテンツの.xmlファイルを Zip圧縮します。

    SSGの「stig」プロファイルの場合:

    zip ssg_content.zip /usr/share/xml/scap/ssg/content/xml-document
/opt/scc/cscc -is ssg_content.zip

    Oracle Linux DISA STIGベンチマークの場合:

    zip scap_content.zip path-to-disa-benchmark-xml-document
/opt/scc/cscc -is scap_content.zip
  4. インポートされたコンテンツに対してスキャンするようにSCCを構成します 
    /opt/scc/cscc --config
  5. コマンドライン・メニューを使用してスキャンを実行します:
    1. 1と入力してSCAPコンテンツを構成します。
    2. clearと入力してから、インポートされたSCAPコンテンツに一致する番号を入力します。

      次の例では、Oracle Linux 7用のインポートされたSCAPコンテンツに対して2と入力します。 

      SCC 5.4.2 Available SCAP Content                        [Version]  [Date]    
1.  [ ]  Mozilla_Firefox_RHEL                           005.003    2021-06-09
2.  [X]  OL-7                                           0.1.54     2021-09-23
3.  [ ]  Oracle_Linux_7_STIG                            002.004    2021-06-14
4.  [ ]  RHEL_6_STIG                                    002.002    2020-12-04
5.  [ ]  RHEL_7_STIG                                    003.004    2021-06-14
6.  [ ]  RHEL_8_STIG                                    001.002    2021-06-14
7.  [ ]  SLES_12_STIG                                   002.004    2021-06-14
    3. 0と入力してメイン・メニューに戻ります。
    4. 2と入力してSCAPプロファイルを構成します。
    5. 1と入力してプロファイルを選択します。"stig"が選択されていることを確認します。 
      Available Profiles for OL-7

1.  [ ] no_profile_selected
2.  [X] stig
    6. メイン・メニューに戻ります。9と入力して変更を保存し、システムでスキャンを実行します。
      スキャンには25から30分かかる場合があります。

Oracle Linux STIGイメージの改訂履歴

Oracleは、セキュリティの問題に対処するためにOracle Linux STIGイメージを定期的に更新しています。

古いOracle Linux STIGイメージをデプロイする場合は、四半期ごとの定期的なDISA STIG更新をチェックするために、その後もスキャンを実行することをお薦めします。詳細は、コンプライアンスのためのインスタンスの再スキャンを参照してください。

Oracle Linux 8

Oracle-Linux-8.9-STIG 2024年1月
情報は次のとおりです。
  • Oracle Linux-8.9-2024.01.25-STIG (x86_64用)
  • Oracle Linux-8.9-aarch64-2024.01.25-STIG (aarch64用)
イメージの情報
  • kernel-uek: 5.15.0-202.135.2.el8uek
  • Oracle Linux 8バージョン1リリース8のDISA STIGに対してOracle Linux 8.9の最初のリリースが強化されました。
  • システム・パッケージが、入手可能な最新バージョンに更新されました。セキュリティ修正が含まれています。
  • 追加のSTIGルールの修正がイメージに適用されました。チェックリストを使用した追加構成の表示を参照してください。
  • /usr/share/xml/stigのチェックリスト・ファイル:
    • OL8_SSG_STIG_V1R8_CHECKLIST_RELEASE.ckl
    • OL8_DISA_BENCHMARK_V1R7_CHECKLIST_RELEASE.ckl
コンプライアンスの情報

ターゲット: Oracle Linux 8バージョン1リリース8用のDISA STIGに準拠するSSG "STIG"プロファイル

  • x86_64のチェックリスト・コンプライアンス・スコア: 67.50%
  • aarch64のチェックリスト・コンプライアンス・スコア: 67.40%

目標: Oracle Linux 8バージョン1リリース7ベンチマーク・プロファイル用のDISA STIG

  • x86_64のチェックリスト・コンプライアンス・スコア: 78.92%
  • aarch64のチェックリスト・コンプライアンス・スコア: 78.92%
ノート

DISA STIGベンチマークのコンプライアンス・スコアが高いほど、完全なDISA STIGと比較してルールの範囲が制限されます。ただし、SSGの「STIG」プロファイルは完全なDISA STIGを考慮し、イメージのコンプライアンスをより包括的に評価します。
Oracle-Linux-8.8-STIG 2023年7月
情報は次のとおりです。
  • Oracle Linux-8.8-2023.07.06-STIG (x86_64用)
  • Oracle Linux-8.8-aarch64-2023.07.06-STIG (aarch64用)
イメージの情報
  • kernel-uek: 5.15.0-102.110.5.1.el8uek
  • Oracle Linux 8バージョン1リリース6のDISA STIGに対してOracle Linux 8.8の最初のリリースが強化されました。
  • システム・パッケージが、入手可能な最新バージョンに更新されました。セキュリティ修正が含まれています。
  • 追加のSTIGルールの修正がイメージに適用されました。「チェックリストを使用した追加構成の表示」を参照してください。
  • /usr/share/xml/stigのチェックリスト・ファイル:
    • OL8_SSG_STIG_V1R6_CHECKLIST_RELEASE.ckl
    • OL8_DISA_BENCHMARK_V1R5_CHECKLIST_RELEASE.ckl
コンプライアンスの情報

ターゲット: Oracle Linux 8バージョン1リリース6用のDISA STIGに準拠するSSG「STIG」プロファイル

  • x86_64のチェックリスト・コンプライアンス・スコア: 64.81%
  • aarch64のチェックリスト・コンプライアンス・スコア: 64.54%

ターゲット: Oracle Linux 8バージョン1のDISA STIG、Rel 5ベンチマーク・プロファイル

  • x86_64のチェックリスト・コンプライアンス・スコア: 78.92%
  • aarch64のチェックリスト・コンプライアンス・スコア: 78.92%
ノート

DISA STIGベンチマークのコンプライアンス・スコアが高いほど、完全なDISA STIGと比較してルールの範囲が制限されます。ただし、SSGの「STIG」プロファイルは完全なDISA STIGを考慮し、イメージのコンプライアンスをより包括的に評価します。
Oracle-Linux-8.7-STIG 2023年4月
情報は次のとおりです。
  • Oracle Linux-8.7-2023.04.26-STIG (x86_64用)
  • Oracle Linux-8.7-aarch64-2023.04.26-STIG (aarch64用)
イメージの情報
  • kernel-uek: 5.15.0-100.96.32.el8uek
  • Oracle Linux 8バージョン1リリース5のDISA STIGに対してOracle Linux 8.7の最初のリリースが強化されました。
  • システム・パッケージが、入手可能な最新バージョンに更新されました。セキュリティ修正が含まれています。
  • 追加のSTIGルールの修正がイメージに適用されました。チェックリストを使用した追加構成の表示を参照してください。
  • /usr/share/xml/stigのチェックリスト・ファイル:
    • OL8_SSG_STIG_V1R5_CHECKLIST_RELEASE.ckl
    • OL8_DISA_BENCHMARK_V1R4_CHECKLIST_RELEASE.ckl
コンプライアンスの情報

ターゲット: Oracle Linux 8バージョン1リリース5用のDISA STIGに準拠するSSG「STIG」プロファイル

  • x86_64のチェックリスト・コンプライアンス・スコア: 63.78%
  • aarch64のチェックリスト・コンプライアンス・スコア: 63.50%

目標: Oracle Linux 8バージョン1リリース4ベンチマーク・プロファイル用のDISA STIG

  • x86_64のチェックリスト・コンプライアンス・スコア: 79.25%
  • aarch64のチェックリスト・コンプライアンス・スコア: 79.25%
ノート

DISA STIGベンチマークのコンプライアンス・スコアが高いほど、完全なDISA STIGと比較してルールの範囲が制限されます。ただし、SSGの「STIG」プロファイルは完全なDISA STIGを考慮し、イメージのコンプライアンスをより包括的に評価します。

Oracle Linux 7

Oracle-Linux-7.9-STIG 2024年5月

情報は次のとおりです。

  • Oracle Linux-7.9-2024.05.31-STIG (x86_64用)
  • Oracle Linux-7.9-aarch64-2024.05.31-STIG (aarch64用)
イメージの情報
  • kernel-uek: 5.4.17-2136.331.7.el7uek
  • システム・パッケージが、入手可能な最新バージョンに更新されました。セキュリティ修正が含まれています。
  • コンプライアンス・ターゲットは、Oracle Linux 7バージョン2リリース14用のDISA STIGに準拠するSSGプロファイルです。
  • SSGの最小バージョン: scap-security-guide-0.1.72-2.0.1
  • 追加のSTIGルールの修正がイメージに適用されました。「チェックリストを使用した追加構成の表示」を参照してください。
  • /usr/share/xml/stigのチェックリスト・ファイル:
    • OL7_SSG_STIG_V2R14_CHECKLIST_RELEASE.ckl
    • OL7_DISA_BENCHMARK_V1R14_CHECKLIST_RELEASE.ckl
コンプライアンスの情報

ターゲット: Oracle Linux 7バージョン2リリース14用のDISA STIGに準拠するSSG「STIG」プロファイル

  • チェックリスト・コンプライアンス・スコア x86_64: 81.36%
  • チェックリスト・コンプライアンス・スコア aarch64: 81.36%

目標: Oracle Linux 7バージョン2リリース14ベンチマーク・プロファイル用のDISA STIG

  • チェックリスト・コンプライアンス・スコア x86_64: 91.77%
  • チェックリスト・コンプライアンス・スコア aarch64: 91.77%
ノート

DISAのSTIG標準は、Oracle Linux 7 Ver 2、Rel 13およびOracle Linux 7 Ver 2、Rel 14の間で、表現以外に重要な変更はありませんでした。このため、Oracle Linux 7バージョン2リリース13に準拠しているシステムはすべて、Oracle Linux 7バージョン2リリース14にも準拠しています。
ノート

DISA STIGベンチマークのコンプライアンス・スコアが高いほど、完全なDISA STIGと比較してルールの範囲が制限されます。ただし、SSGの「STIG」プロファイルは完全なDISA STIGを考慮し、イメージのコンプライアンスをより包括的に評価します。
Oracle-Linux-7.9-STIG 2023年12月

情報は次のとおりです。

  • Oracle Linux-7.9-2023.11.30-STIG (x86_64用)
  • Oracle Linux-7.9-aarch64-2023.11.30-STIG (aarch64用)
イメージの情報
  • kernel-uek: 5.4.17-2136.325.5.1.el7uek
  • システム・パッケージが、入手可能な最新バージョンに更新されました。セキュリティ修正が含まれています。
  • コンプライアンス・ターゲットは、Oracle Linux 7バージョン2リリース13用のDISA STIGに準拠するSSGプロファイルです。
  • SSGの最小バージョン: scap-security-guide-0.1.69-1.0.1
  • 追加のSTIGルールの修正がイメージに適用されました。「チェックリストを使用した追加構成の表示」を参照してください。
  • /usr/share/xml/stigのチェックリスト・ファイル:
    • OL7_SSG_STIG_V2R13_CHECKLIST_RELEASE.ckl
    • OL7_DISA_BENCHMARK_V1R13_CHECKLIST_RELEASE.ckl
コンプライアンスの情報

目標: Oracle Linux 7バージョン2リリース13用のDISA STIGに準拠するSSGのSTIGプロファイル

  • チェックリスト・コンプライアンス・スコア x86_64: 81.36%
  • チェックリスト・コンプライアンス・スコア aarch64: 81.36%

目標: Oracle Linux 7バージョン2リリース13ベンチマーク・プロファイル用のDISA STIG

  • チェックリスト・コンプライアンス・スコア x86_64: 91.71%
  • チェックリスト・コンプライアンス・スコア aarch64: 91.71%
ノート

DISAのSTIG標準は、Oracle Linux 7 Ver 2、Rel 12およびOracle Linux 7 Ver 2、Rel 13の間で、表現以外に重要な変更はありませんでした。このため、Oracle Linux 7バージョン2リリース12に準拠しているシステムはすべて、Oracle Linux 7バージョン2リリース13にも準拠しています。
ノート

DISA STIGベンチマークのコンプライアンス・スコアが高いほど、完全なDISA STIGと比較してルールの範囲が制限されます。ただし、SSGの「STIG」プロファイルは完全なDISA STIGを考慮し、イメージのコンプライアンスをより包括的に評価します。
Oracle-Linux-7.9-STIG 2023年5月

この情報は、次のとおりです。

  • Oracle Linux-7.9-2023.05.31-STIG (x86_64用)
  • Oracle Linux-7.9-aarch64-2023.05.31-STIG (aarch64用)
イメージの情報
  • kernel-uek: 5.4.17-2136.319.1.3.el7uek
  • システム・パッケージが、入手可能な最新バージョンに更新されました。セキュリティ修正が含まれています。
  • コンプライアンス・ターゲットは、Oracle Linux 7バージョン2リリース11のDISA STIGに準拠するSSGプロファイルに移行しました。
  • 追加のSTIGルールの修正がイメージに適用されました。チェックリストを使用した追加構成の表示を参照してください。
  • /usr/share/xml/stigのチェックリスト・ファイル:
    • OL7_SSG_STIG_V2R11_CHECKLIST_RELEASE.ckl
    • OL7_DISA_BENCHMARK_V1R11_CHECKLIST_RELEASE.ckl
コンプライアンスの情報

目標: Oracle Linux 7バージョン2リリース11のDISA STIGに準拠するSSG「STIG」プロファイル

  • チェックリスト・コンプライアンス・スコア x86_64: 81.36%
  • チェックリスト・コンプライアンス・スコア aarch64: 81.36%

目標: Oracle Linux 7バージョン2リリース11ベンチマーク・プロファイル用のDISA STIG

  • チェックリスト・コンプライアンス・スコア x86_64: 91.71%
  • チェックリスト・コンプライアンス・スコア aarch64: 91.71%
ノート

DISA STIGベンチマークのコンプライアンス・スコアが高いほど、完全なDISA STIGと比較して、ルールの範囲が制限されます。ただし、SSGの「STIG」プロファイルは完全なDISA STIGを考慮し、イメージのコンプライアンスをより包括的に評価します。

古い画像

Oracle-Linux-7.9-aarch64-2022.08.29-STIG
  • kernel-uek: 5.4.17-2136.310.7.1.el7uek.aarch64
  • システム・パッケージが、入手可能な最新バージョンに更新されました。セキュリティ修正が含まれています。
  • 追加のSTIGルールの修正がイメージに適用されました。「追加の修正」を参照してください。
  • Oracle Linux 7バージョン2リリース8のDISA STIGに準拠するSSGプロファイルに、DISA STIGベンチマーク、バージョン2リリース4からコンプライアンスが移行されました。

コンプライアンスの情報

  • 目標: Oracle Linux 7バージョン2リリース8のDISA STIGに準拠するSSGプロファイル
  • OpenSCAPコンプライアンス・スコア: 80.83%
追加改善

適切なセキュリティ構成を適用する手順は、DISAによって定められたセキュリティ・ルールごとに、Oracle Linux 7セキュリティ技術導入ガイドで説明されています。

  1. 次の表を確認し、修正した場合にインスタンスに対する潜在的な影響を理解していることを確認します。

  2. Oracle Linuxを検索し、バージョンを選択して、https://public.cyber.mil/stigs/downloads/から最新のSTIGをダウンロードします。

  3. DISA STIG Viewerツールをhttps://public.cyber.mil/stigs/srg-stig-tools/からダウンロードします。
  4. ViewerでSTIGのxccdf.xmlファイルを開きます。

  5. 次の表の修正するルールごとに、次を実行します:

    1. ガイドでルールのSTIG-IDを探し、ルール、脆弱性、およびルールに準拠するためのステップが説明されている適切な項に移動します。

    2. 記載されている構成ステップを実行します。

次の表では、Oracle Linux STIGイメージに含まれていないガイダンスの領域(追加構成が必要)について説明し、インスタンスのデフォルトのOracle Cloud Infrastructureアカウントに影響する可能性のある追加構成を示しています。

自動化サポートがあるとマークされたルールには、ルール要件をチェックし、必要に応じて必要な修正を適用するための自動化が組み込まれています。自動化サポートがないルールは、ルール要件に対する自動化チェックがサポートされていないか、使用可能な修正スクリプトがないため、システム上でユーザーによる手動による確認が必要です。

STIG-ID

ルールの説明

自動化サポート

除外理由

OL07-00-010050 Oracle Linuxオペレーティング・システムは、コマンドライン・ユーザー・ログオンによるローカル・アクセスまたはリモート・アクセスをシステムに許可する前に、Standard必須のDoD通知および同意バナーを表示する必要があります。 はい Standard Mandatory DoD Notice and Consent Agreementのユーザー同意が必要です。

OL07-00-010230

新規ユーザーのパスワードの最小存続期間を24時間/1日に制限するように、Oracle Linuxオペレーティング・システムを構成する必要があります。

はい

Oracle Cloud Infrastructureインスタンスのアクセス用に構成されたデフォルトのOPCユーザー・ログイン・アカウントに影響します。

OL07-00-010240

Oracle Linuxオペレーティング・システムは、パスワードの最小存続期間を24時間/1日に制限するように構成する必要があります。

はい

Oracle Cloud Infrastructureインスタンスのアクセス用に構成されたデフォルトのOPCユーザー・ログイン・アカウントに影響します。

OL07-00-010250

新規ユーザーのパスワードの最大存続期間を60日に制限するように、Oracle Linuxオペレーティング・システムを構成する必要があります。

はい

Oracle Cloud Infrastructureインスタンスのアクセス用に構成されたデフォルトのOPCユーザー・ログイン・アカウントに影響します。

OL07-00-010260 1

既存パスワードの最大存続期間を60日に制限するように、Oracle Linuxオペレーティング・システムを構成する必要があります。

いいえ

Oracle Cloud Infrastructureインスタンスのアクセス用に構成されたデフォルトのOPCユーザー・ログイン・アカウントに影響します。同様に、PAMパスワードの存続期間ルールはSSHキーに影響します。

重要なOCIへの影響:既存のパスワードの最大存続期間を60日に制限すると、アカウントのパスワードレス設定の結果として、60日後にはOPCアカウントがロックされて回復不可能になることがあります。
OL07-00-010320 Oracle Linuxオペレーティング・システムは、15分間の時間枠内に3回のログオン試行が失敗した後、少なくとも15分間アカウントをロックするように構成する必要があります。 はい Oracle Cloud Infrastructureインスタンスのアクセス用に構成されたデフォルトのOPCユーザー・ログイン・アカウントに影響します。
OL07-00-010330 Oracle Linuxオペレーティング・システムは、15分以内に3回のルート・ログオン試行が失敗した後、関連するアカウントをロックする必要があります。 はい Oracle Cloud Infrastructureインスタンスのアクセス用に構成されたデフォルトのOPCユーザー・ログイン・アカウントに影響します。

OL07-00-010340

Oracle Linuxオペレーティング・システムは、ユーザーが権限エスカレーションのパスワードを指定しなければならないように構成する必要があります。

はい

Oracle Cloud Infrastructureデフォルト・スキーマに応じて、NOPASSWDがOPCに設定されます。

OL07-00-010342

Oracle Linuxオペレーティング・システムは、sudoコマンドを使用するときに、特権エスカレーションのために呼出し元ユーザーのパスワードを使用する必要があります。

はい

デフォルトのOPCログイン・アカウントに影響します。

OL07-00-010491 1

Oracle Linuxオペレーティング・システム・バージョン7.2以降では、Unified Extensible Firmware Interface (UEFI)を使用するため、起動時に単一ユーザーおよびメンテナンス・モードへの認証が必要です。

いいえ

デフォルト・イメージでは使用できないGRUB 2パスワードが必要です。

重要なOCIへの影響: GRUB 2パスワードを実装すると、インスタンスの起動時にパスワード・プロンプトが表示されます。
OL07-00-010492 シングルユーザーモードおよび保守へのブート時に、United Extensible Firmware Interface (UEFI)でブートされた Oracle Linuxオペレーティングシステムバージョン7.2以降は、grubスーパーユーザーアカウントに一意の名前が必要です。 いいえ デフォルトのスーパーユーザー名の変更が必要です。grubスーパーユーザーの起動に影響します。
OL07-00-010500 Oracle Linuxオペレーティング・システムは、マルチファクタ認証を使用して、組織ユーザー(または組織ユーザーのかわりに動作するプロセス)を一意に識別し、認証する必要があります。 はい マルチファクタ認証は、デフォルトのOracle Cloud Infrastructureイメージでは構成されていません。
OL07-00-020019 Oracle Linuxオペレーティング・システムは、Linux脅威防止ツールのエンドポイント・セキュリティを実装する必要があります。 いいえ Oracle Linuxには、ウィルス・スキャン・ソフトウェアは付属していません。ユーザー構成が必要です。
OL07-00-020020 Oracle Linuxオペレーティング・システムは、非特権ユーザーが特権機能(実装されたセキュリティ保護/対抗策の無効化、回避または変更を含む)を実行できないようにする必要があります。 いいえ ユーザーのISSOから認可ユーザーの特定のリストを取得する必要があります。

OL07-00-020021

Oracle Linuxオペレーティング・システムは、SELinuxユーザーを、最小限の権限に準拠したロールに限定する必要があります。

 いいえ SELinuxロール・マッピングの準拠状態を判断するには、ユーザーのSA/ISSOによる確認が必要です。

OL07-00-020023

Oracle Linuxオペレーティング・システムは、管理者がsudoコマンドをコールするときにSELinuxコンテキストを昇格する必要があります。

 いいえ

Oracle Cloud Infrastructureインスタンスのアクセス用に構成されたデフォルトのOPCユーザー・ログイン・アカウントに影響します。

OL07-00-020030

Oracle Linuxオペレーティング・システムは、ファイル整合性ツールがベースライン・オペレーティング・システム構成を少なくとも週に1回検証するように構成する必要があります。

はい

AIDEまたは他の侵入検出システムをターゲット・イメージに構成することが求められます。

OL07-00-020040 ベースライン構成が不正に変更された場合に指定された担当者に通知されるように、Oracle Linuxオペレーティング・システムを構成する必要があります。 はい 構成の前にAIDE検出システムをインストールする必要があります。
OL07-00-020270 Oracle Linuxオペレーティング・システムに不要なアカウントが含まれないようにする必要があります。 いいえ ユーザーのISSOから認可システム・アカウントの特定のリストを取得する必要があります

OL07-00-020680

Oracle Linuxオペレーティング・システムは、ローカルの対話型ユーザー・ホーム・ディレクトリに含まれるすべてのファイルおよびディレクトリが750以下の許可モードになるように構成する必要があります。

 いいえ

ファイル・アクセス権をシステム・サービスに制限します。

OL07-00-020720

Oracle Linuxオペレーティング・システムは、すべてのローカルの対話型ユーザー初期化実行可能ファイルの検索パスに、ユーザーのホーム・ディレクトリに解決されるパスのみが含まれるように構成する必要があります。

 いいえ

ユーザー・バイナリおよびユーティリティへのアクセスに影響します。
OL07-00-021000 Oracle Linuxオペレーティング・システムを構成して、ユーザーのホーム・ディレクトリを含むファイル・システムがマウントされ、setuidおよびsetgidビットが設定されたファイルが実行されないようにする必要があります。 はい ホーム・ディレクトリ内のバイナリ・ファイルを実行するためのユーザー・アクセスに影響します。
OL07-00-021300 Oracle Linuxオペレーティング・システムは、必要に応じて、カーネル・コア・ダンプを無効にする必要があります。 はい Kdumpサービスは、システム生成のカーネルがクラッシュした場合の診断のために必要です。

OL07-00-021350 1

Oracle Linuxオペレーティング・システムは、デジタル署名のプロビジョニング、暗号化ハッシュの生成、該当する連邦法、大統領命令、指令、ポリシー、規制および標準に従って保存時保護が必要なデータの保護のために、NIST FIPS検証済暗号化を実装する必要があります。

いいえ

レスキュー・カーネル・コマンドラインでのfips=1パラメータの除外。

重要なOCIへの影響: レスキュー・カーネルのcmdlineにfips=1を追加すると、インスタンスが致命的なエラーで起動できなくなる可能性があります。
OL07-00-021600 Oracle Linuxオペレーティング・システムを構成して、アクセス制御リスト(ACL)を検証するためにファイル整合性ツールを構成する必要があります。 はい 構成の前にAIDE検出システムをインストールする必要があります。
OL07-00-021610 拡張属性を検証するためにファイル整合性ツールを構成するには、Oracle Linuxオペレーティング・システムを構成する必要があります。 はい 構成の前にAIDE検出システムをインストールする必要があります。
OL07-00-021620 Oracle Linuxオペレーティング・システムでは、ファイルの内容およびディレクトリを検証するためにFIPS 140-2で承認された暗号化ハッシュを使用するように構成されたファイル整合性ツールを使用する必要があります。 はい 構成の前にAIDE検出システムをインストールする必要があります。

OL07-00-030010 1

可用性が最優先事項でないかぎり、監査処理が失敗したときにOracle Linuxオペレーティング・システムをシャットダウンする必要があります。可用性が重要な場合は、監査処理の失敗が発生したときに、指定されたスタッフ(少なくともシステム管理者(SA)および情報システム・セキュリティ担当者(ISSO))にシステムが警告する必要があります。

はい

failureパラメータのデフォルト設定は1です。この場合、インスタンスがシャットダウンされるのではなく、失敗に関する情報がカーネル・ログに送られるだけです。

重要なOCIへの影響: failureパラメータを2に設定すると、監査処理が失敗したときに、システム・パニックとシャットダウンが発生します。

OL07-00-030201

Oracle Linuxオペレーティング・システムは、監査ログを監査対象システムから別のシステムまたはストレージ・メディアにオフロードするように構成する必要があります。

 いいえ

au-remoteプラグイン構成では、リモート・サーバーの詳細が推定されます。

OL07-00-030300

Oracle Linuxオペレーティング・システムは、監査レコードを監査対象システムから別のシステムまたはメディアにオフロードする必要があります。

はい

au-remoteプラグイン構成では、リモート・サーバーの詳細が推定されます。

OL07-00-030310

Oracle Linuxオペレーティング・システムは、監査対象のシステムから別のシステムまたはメディアにオフロードされる監査レコードの転送を暗号化する必要があります。

はい

au-remoteプラグイン構成では、リモート・サーバーの詳細が推定されます。

OL07-00-030320

Oracle Linuxオペレーティングシステムは、監査ストレージボリュームがいっぱいになったときに監査システムが適切なアクションを実行するように構成する必要があります。

いいえ

au-remoteプラグイン構成では、リモート・サーバーの詳細が推定されます。

OL07-00-030321

Oracle Linuxオペレーティング・システムは、監査レコードをリモート・システムに送信する際に監査システムが適切なアクションを実行するように構成する必要があります。

いいえ

au-remoteプラグイン構成では、リモート・サーバーの詳細が推定されます。

OL07-00-031000 Oracle Linuxオペレーティング・システムは、rsyslog出力をログ集計サーバーに送信する必要があります。 はい rsyslog情報を送信するためのリモート・サーバーが必要です。
OL07-00-032000 Oracle Linuxオペレーティング・システムは、ウイルス・スキャン・プログラムを使用する必要があります。 いいえ Oracle Linuxには、ウィルス・スキャン・ソフトウェアは付属していません。ユーザー構成が必要です。
OL07-00-040100 Oracle Linuxオペレーティングシステムは、ポート、プロトコル、および Services Managementコンポーネントローカルサービス評価(PPSM CLSA)および脆弱性評価の定義に従って、機能、ポート、プロトコル、またはサービスの使用を禁止または制限するように構成する必要があります。 いいえ ユーザーのPPSM CLSAによって定義されたポート、プロトコルまたはサービスの確認が必要です。
OL07-00-040160 ドキュメント化され検証されたミッション要件を満たす場合を除き、通信セッションに関連付けられたすべてのネットワーク接続が、セッションの終了時またはコマンド・プロンプトでユーザーが非アクティブになってから15分後に終了するように、Oracle Linuxオペレーティング・システムを構成する必要があります。 はい ユーザー・ワークロードが中断する可能性があります。
OL07-00-040170 Oracle Linuxオペレーティング・システムは、リモート・アクセス・ログオン・プロンプトの直前に(またはその一部として)、Standard必須のDoD通知および同意バナーを表示する必要があります。 はい Standard Mandatory DoD Notice and Consent Agreementのユーザー同意が必要です。

OL07-00-040420

SSH秘密ホスト・キー・ファイルが0600以下の許可モードになるように、Oracle Linuxオペレーティング・システムを構成する必要があります。

 はい システム・サービスによって生成されたSSH秘密ホスト・キーのデフォルト権限を変更します。

OL07-00-040600

DNS解決を使用するOracle Linuxオペレーティング・システムには、2つ以上のネーム・サーバーを構成する必要があります。

いいえ

Oracle Cloud Infrastructureは、可用性の高いDNSサーバーを提供します。

OL07-00-040710 1

Oracle Linuxオペレーティング・システムは、文書化され検証されたミッション要件を満たす場合を除き、リモートX接続が無効になるように構成する必要があります

はい

インスタンスのシリアル・コンソール接続に影響します。

重要なOCIへの影響: リモートX接続を無効化すると、OCIインスタンスのシリアル・コンソールに接続できなくなる可能性があります。
OL07-00-040711 Oracle Linuxオペレーティング・システムのSSHデーモンは、リモート・ホストがプロキシ表示に接続できないようにする必要があります。 はい Oracle Cloud Infrastructureインスタンスへのユーザー・アクセスに影響します。

OL07-00-040810

Oracle Linuxオペレーティングシステムのアクセス制御プログラムは、特定のホストおよびサービスへのシステムアクセスを許可または拒否するように構成する必要があります。

 いいえ 特定のホストおよびサービス・アクセスの確認が必要です。ユーザーの権限付与ポリシーでアクセスが許可されている必要があります。

OL07-00-040820

Oracle Linuxオペレーティング・システムには、認可されていないIPトンネルを構成しないようにする必要があります。

 いいえ 認可されたIPSecトンネル接続であるかどうかを判断するには、ユーザーのSA/ISSOによる確認が必要です。

OL07-00-041002

Oracle Linuxオペレーティング・システムは、プラガブル認証モジュール(PAM)を介した特権アカウントへのアクセスに対してマルチファクタ認証を実装する必要があります。

いいえ

マルチファクタ認証は、デフォルトのOracle Cloud Infrastructureイメージでは構成されていません。

OL07-00-041003

Oracle Linuxオペレーティング・システムは、PKI認証用の証明書ステータス・チェックを実装する必要があります。

はい

PKI認証用の証明書ステータス・チェックは、デフォルトのOracle Cloud Infrastructureイメージでは構成されていません。

1これらのルールを修正すると、システムのアクセシビリティに重大な影響を与える可能性があります。

変更ログ

STIG-ID

ルールの説明

除外理由

ステータス コメント
OL07-00-010050 Oracle Linuxオペレーティング・システムは、コマンドライン・ユーザー・ログオンによるローカル・アクセスまたはリモート・アクセスをシステムに許可する前に、Standard必須のDoD通知および同意バナーを表示する必要があります。 Standard Mandatory DoD Notice and Consent Agreementのユーザー同意が必要です。 追加 V2R8の除外リストに追加されました
OL07-00-010320 Oracle Linuxオペレーティング・システムは、15分間の時間枠内に3回のログオン試行が失敗した後、少なくとも15分間アカウントをロックするように構成する必要があります。 Oracle Cloud Infrastructureインスタンスのアクセス用に構成されたデフォルトのOPCユーザー・ログイン・アカウントに影響します。 追加 V2R8の除外リストに追加されました
OL07-00-010330 Oracle Linuxオペレーティング・システムは、15分以内に3回のルート・ログオン試行が失敗した後、関連するアカウントをロックする必要があります。 Oracle Cloud Infrastructureインスタンスのアクセス用に構成されたデフォルトのOPCユーザー・ログイン・アカウントに影響します。 追加 V2R8の除外リストに追加されました
OL07-00-010492 シングルユーザーモードおよび保守へのブート時に、United Extensible Firmware Interface (UEFI)でブートされた Oracle Linuxオペレーティングシステムバージョン7.2以降は、grubスーパーユーザーアカウントに一意の名前が必要です。 デフォルトのスーパーユーザー名の変更が必要です。grubスーパーユーザーの起動に影響します。 追加 V2R8の除外リストに追加されました
OL07-00-010500 Oracle Linuxオペレーティング・システムは、マルチファクタ認証を使用して、組織ユーザー(または組織ユーザーのかわりに動作するプロセス)を一意に識別し、認証する必要があります。 マルチ・ファクタ認証は、デフォルトのOracle Cloud Infrastructureイメージでは構成されていません。 追加 V2R8の除外リストに追加されました
OL07-00-020019 Oracle Linuxオペレーティング・システムは、Linux脅威防止ツールのエンドポイント・セキュリティを実装する必要があります。 Oracle Linuxには、ウィルス・スキャン・ソフトウェアは付属していません。ユーザー構成が必要です。 追加 V2R8の除外リストに追加されました
OL07-00-020020 Oracle Linuxオペレーティング・システムは、非特権ユーザーが特権機能(実装されたセキュリティ保護/対抗策の無効化、回避または変更を含む)を実行できないようにする必要があります。 ユーザーのISSOから認可ユーザーの特定のリストを取得する必要があります。 追加 V2R8の除外リストに追加されました

OL07-00-020021

Oracle Linuxオペレーティング・システムは、SELinuxユーザーを、最小限の権限に準拠したロールに限定する必要があります。

 SELinuxロール・マッピングの準拠状態を判断するには、ユーザーのSA/ISSOによる確認が必要です。 追加 V2R8の除外リストに追加されました

OL07-00-020023

Oracle Linuxオペレーティング・システムは、管理者がsudoコマンドをコールするときにSELinuxコンテキストを昇格する必要があります。

Oracle Cloud Infrastructureインスタンスのアクセス用に構成されたデフォルトのOPCユーザー・ログイン・アカウントに影響します。

 追加 V2R8の除外リストに追加されました
OL07-00-020040 ベースライン構成が不正に変更された場合に指定された担当者に通知されるように、Oracle Linuxオペレーティング・システムを構成する必要があります。 構成の前にAIDE検出システムをインストールする必要があります。 追加 V2R8の除外リストに追加されました
OL07-00-020270 Oracle Linuxオペレーティング・システムに不要なアカウントが含まれないようにする必要があります。 ユーザーのISSOから認可システム・アカウントの特定のリストを取得する必要があります 追加 V2R8の除外リストに追加されました

OL07-00-020680

Oracle Linuxオペレーティング・システムは、ローカルの対話型ユーザー・ホーム・ディレクトリに含まれるすべてのファイルおよびディレクトリが750以下の許可モードになるように構成する必要があります。

ファイル・アクセス権をシステム・サービスに制限します。

追加 V2R8の除外リストに追加されました

OL07-00-020720

Oracle Linuxオペレーティング・システムは、すべてのローカルの対話型ユーザー初期化実行可能ファイルの検索パスに、ユーザーのホーム・ディレクトリに解決されるパスのみが含まれるように構成する必要があります。

ユーザー・バイナリおよびユーティリティへのアクセスに影響します。

 追加 V2R8の除外リストに追加されました
OL07-00-021000 Oracle Linuxオペレーティング・システムを構成して、ユーザーのホーム・ディレクトリを含むファイル・システムがマウントされ、setuidおよびsetgidビットが設定されたファイルが実行されないようにする必要があります。 ホーム・ディレクトリ内のバイナリ・ファイルを実行するためのユーザー・アクセスに影響します。 追加 V2R8の除外リストに追加されました
OL07-00-021300 Oracle Linuxオペレーティング・システムは、必要に応じて、カーネル・コア・ダンプを無効にする必要があります。 Kdumpサービスは、システム生成のカーネルがクラッシュした場合の診断のために必要です。 追加 V2R8の除外リストに追加されました
OL07-00-021600 Oracle Linuxオペレーティング・システムを構成して、アクセス制御リスト(ACL)を検証するためにファイル整合性ツールを構成する必要があります。 構成の前にAIDE検出システムをインストールする必要があります。 追加 V2R8の除外リストに追加されました
OL07-00-021610 拡張属性を検証するためにファイル整合性ツールを構成するには、Oracle Linuxオペレーティング・システムを構成する必要があります。 構成の前にAIDE検出システムをインストールする必要があります。 追加 V2R8の除外リストに追加されました
OL07-00-021620 Oracle Linuxオペレーティング・システムでは、ファイルの内容およびディレクトリを検証するためにFIPS 140-2で承認された暗号化ハッシュを使用するように構成されたファイル整合性ツールを使用する必要があります。 構成の前にAIDE検出システムをインストールする必要があります。 追加 V2R8の除外リストに追加されました
OL07-00-031000 Oracle Linuxオペレーティング・システムは、rsyslog出力をログ集計サーバーに送信する必要があります。 rsyslog情報を送信するためのリモート・サーバーが必要です。 追加 V2R8の除外リストに追加されました
OL07-00-032000 Oracle Linuxオペレーティング・システムは、ウイルス・スキャン・プログラムを使用する必要があります。 Oracle Linuxには、ウィルス・スキャン・ソフトウェアは付属していません。ユーザー構成が必要です。 追加 V2R8の除外リストに追加されました
OL07-00-040100 Oracle Linuxオペレーティングシステムは、ポート、プロトコル、および Services Managementコンポーネントローカルサービス評価(PPSM CLSA)および脆弱性評価の定義に従って、機能、ポート、プロトコル、またはサービスの使用を禁止または制限するように構成する必要があります。 ユーザーのPPSM CLSAによって定義されたポート、プロトコルまたはサービスの確認が必要です。 追加 V2R8の除外リストに追加されました
OL07-00-040160 ドキュメント化され検証されたミッション要件を満たす場合を除き、通信セッションに関連付けられたすべてのネットワーク接続が、セッションの終了時またはコマンド・プロンプトでユーザーが非アクティブになってから15分後に終了するように、Oracle Linuxオペレーティング・システムを構成する必要があります。 ユーザー・ワークロードが中断する可能性があります。 追加 V2R8の除外リストに追加されました
OL07-00-040170 Oracle Linuxオペレーティング・システムは、リモート・アクセス・ログオン・プロンプトの直前に(またはその一部として)、Standard必須のDoD通知および同意バナーを表示する必要があります。 Standard Mandatory DoD Notice and Consent Agreementのユーザー同意が必要です。 追加 V2R8の除外リストに追加されました

OL07-00-040420

SSH秘密ホスト・キー・ファイルが0600以下の許可モードになるように、Oracle Linuxオペレーティング・システムを構成する必要があります。

 システム・サービスによって生成されたSSH秘密ホスト・キーのデフォルト権限を変更します。 追加 V2R8の除外リストに追加されました
OL07-00-040711 Oracle Linuxオペレーティング・システムのSSHデーモンは、リモート・ホストがプロキシ表示に接続できないようにする必要があります。 Oracle Cloud Infrastructureインスタンスへのユーザー・アクセスに影響します。 追加 V2R8の除外リストに追加されました

OL07-00-040810

Oracle Linuxオペレーティングシステムのアクセス制御プログラムは、特定のホストおよびサービスへのシステムアクセスを許可または拒否するように構成する必要があります。

 特定のホストおよびサービス・アクセスの確認が必要です。ユーザーの権限付与ポリシーでアクセスが許可されている必要があります。 追加 V2R8の除外リストに追加されました

OL07-00-040820

Oracle Linuxオペレーティング・システムには、認可されていないIPトンネルを構成しないようにする必要があります。

 認可されたIPSecトンネル接続であるかどうかを判断するには、ユーザーのSA/ISSOによる確認が必要です。 追加 V2R8の除外リストに追加されました
Oracle-Linux-7.9-aarch64-2021.10.08-STIG

Oracle Linux STIGイメージOracle-Linux-7.9-aarch64-2021.10.08-STIGは、2021/12/16にリリースされました。

イメージの情報

  • 5.4.17-2102.205.7.3.el7uek.aarch64 UEK R6カーネル・バージョン。

  • Armアーキテクチャ(aarch64)に基づくOracle Linux STIGイメージの最初のリリース。

  • セキュリティ修正が含まれるOracle Linux 7.9システム・パッケージの最新バージョン。

コンプライアンスの情報

  • 目標: Oracle Linux 7 DISA STIGベンチマーク、バージョン2リリース4。

  • OpenSCAPコンプライアンス・スコア: 89.44%。

Oracle-Linux-7.9-2022.08.29-STIG

イメージの情報

  • kernel-uek: 5.4.17-2136.310.7.1.el7uek.x86_64
  • システム・パッケージが、入手可能な最新バージョンに更新されました。セキュリティ修正が含まれています。
  • 追加のSTIGルールの修正がイメージに適用されました。「追加の修正」を参照してください。
  • Oracle Linux 7バージョン2リリース8のDISA STIGに準拠するSSGプロファイルに、DISA STIGベンチマーク、バージョン2リリース4からコンプライアンスが移行されました。

コンプライアンスの情報

  • 目標: Oracle Linux 7バージョン2リリース8のDISA STIGに準拠するSSGプロファイル。
  • OpenSCAPコンプライアンス・スコア: 80.76%
  • SCCコンプライアンス・スコア: 80.77%
追加改善

適切なセキュリティ構成を適用する手順は、DISAによって定められたセキュリティ・ルールごとに、Oracle Linux 7セキュリティ技術導入ガイドで説明されています。

  1. 次の表を確認し、修正した場合にインスタンスに対する潜在的な影響を理解していることを確認します。

  2. Oracle Linuxを検索し、バージョンを選択して、https://public.cyber.mil/stigs/downloads/から最新のSTIGをダウンロードします。

  3. DISA STIG Viewerツールをhttps://public.cyber.mil/stigs/srg-stig-tools/からダウンロードします。
  4. ViewerでSTIGのxccdf.xmlファイルを開きます。

  5. 次の表の修正するルールごとに、次を実行します:

    1. ガイドでルールのSTIG-IDを探し、ルール、脆弱性、およびルールに準拠するためのステップが説明されている適切な項に移動します。

    2. 記載されている構成ステップを実行します。

次の表では、Oracle Linux STIGイメージに含まれていないガイダンスの領域(追加構成が必要)について説明し、インスタンスのデフォルトのOracle Cloud Infrastructureアカウントに影響する可能性のある追加構成を示しています。

自動化サポートがあるとマークされたルールには、ルール要件をチェックし、必要に応じて必要な修正を適用するための自動化が組み込まれています。自動化サポートがないルールは、ルール要件に対する自動化チェックがサポートされていないか、使用可能な修正スクリプトがないため、システム上でユーザーによる手動による確認が必要です。

STIG-ID

ルールの説明

自動化サポート

除外理由

OL07-00-010050 Oracle Linuxオペレーティング・システムは、コマンドライン・ユーザー・ログオンによるローカル・アクセスまたはリモート・アクセスをシステムに許可する前に、Standard必須のDoD通知および同意バナーを表示する必要があります。 はい Standard Mandatory DoD Notice and Consent Agreementのユーザー同意が必要です。

OL07-00-010230

新規ユーザーのパスワードの最小存続期間を24時間/1日に制限するように、Oracle Linuxオペレーティング・システムを構成する必要があります。

はい

Oracle Cloud Infrastructureインスタンスのアクセス用に構成されたデフォルトのOPCユーザー・ログイン・アカウントに影響します。

OL07-00-010240

Oracle Linuxオペレーティング・システムは、パスワードの最小存続期間を24時間/1日に制限するように構成する必要があります。

はい

Oracle Cloud Infrastructureインスタンスのアクセス用に構成されたデフォルトのOPCユーザー・ログイン・アカウントに影響します。

OL07-00-010250

新規ユーザーのパスワードの最大存続期間を60日に制限するように、Oracle Linuxオペレーティング・システムを構成する必要があります。

はい

Oracle Cloud Infrastructureインスタンスのアクセス用に構成されたデフォルトのOPCユーザー・ログイン・アカウントに影響します。

OL07-00-010260 1

既存パスワードの最大存続期間を60日に制限するように、Oracle Linuxオペレーティング・システムを構成する必要があります。

いいえ

Oracle Cloud Infrastructureインスタンスのアクセス用に構成されたデフォルトのOPCユーザー・ログイン・アカウントに影響します。同様に、PAMパスワードの存続期間ルールはSSHキーに影響します。

重要なOCIへの影響:既存のパスワードの最大存続期間を60日に制限すると、アカウントのパスワードレス設定の結果として、60日後にはOPCアカウントがロックされて回復不可能になることがあります。
OL07-00-010320 Oracle Linuxオペレーティング・システムは、15分間の時間枠内に3回のログオン試行が失敗した後、少なくとも15分間アカウントをロックするように構成する必要があります。 はい Oracle Cloud Infrastructureインスタンスのアクセス用に構成されたデフォルトのOPCユーザー・ログイン・アカウントに影響します。
OL07-00-010330 Oracle Linuxオペレーティング・システムは、15分以内に3回のルート・ログオン試行が失敗した後、関連するアカウントをロックする必要があります。 はい Oracle Cloud Infrastructureインスタンスのアクセス用に構成されたデフォルトのOPCユーザー・ログイン・アカウントに影響します。

OL07-00-010340

Oracle Linuxオペレーティング・システムは、ユーザーが権限エスカレーションのパスワードを指定しなければならないように構成する必要があります。

はい

Oracle Cloud Infrastructureデフォルト・スキーマに応じて、NOPASSWDがOPCに設定されます。

OL07-00-010342

Oracle Linuxオペレーティング・システムは、sudoコマンドを使用するときに、特権エスカレーションのために呼出し元ユーザーのパスワードを使用する必要があります。

はい

デフォルトのOPCログイン・アカウントに影響します。

OL07-00-010491 1

Oracle Linuxオペレーティング・システム・バージョン7.2以降では、Unified Extensible Firmware Interface (UEFI)を使用するため、起動時に単一ユーザーおよびメンテナンス・モードへの認証が必要です。

いいえ

デフォルト・イメージでは使用できないGRUB 2パスワードが必要です。

重要なOCIへの影響: GRUB 2パスワードを実装すると、インスタンスの起動時にパスワード・プロンプトが表示されます。
OL07-00-010492 シングルユーザーモードおよび保守へのブート時に、United Extensible Firmware Interface (UEFI)でブートされた Oracle Linuxオペレーティングシステムバージョン7.2以降は、grubスーパーユーザーアカウントに一意の名前が必要です。 いいえ デフォルトのスーパーユーザー名の変更が必要です。grubスーパーユーザーの起動に影響します。
OL07-00-010500 Oracle Linuxオペレーティング・システムは、マルチファクタ認証を使用して、組織ユーザー(または組織ユーザーのかわりに動作するプロセス)を一意に識別し、認証する必要があります。 はい マルチファクタ認証は、デフォルトのOracle Cloud Infrastructureイメージでは構成されていません。
OL07-00-020019 Oracle Linuxオペレーティング・システムは、Linux脅威防止ツールのエンドポイント・セキュリティを実装する必要があります。 いいえ Oracle Linuxには、ウィルス・スキャン・ソフトウェアは付属していません。ユーザー構成が必要です。
OL07-00-020020 Oracle Linuxオペレーティング・システムは、非特権ユーザーが特権機能(実装されたセキュリティ保護/対抗策の無効化、回避または変更を含む)を実行できないようにする必要があります。 いいえ ユーザーのISSOから認可ユーザーの特定のリストを取得する必要があります。

OL07-00-020021

Oracle Linuxオペレーティング・システムは、SELinuxユーザーを、最小限の権限に準拠したロールに限定する必要があります。

 いいえ SELinuxロール・マッピングの準拠状態を判断するには、ユーザーのSA/ISSOによる確認が必要です。

OL07-00-020023

Oracle Linuxオペレーティング・システムは、管理者がsudoコマンドをコールするときにSELinuxコンテキストを昇格する必要があります。

 いいえ

Oracle Cloud Infrastructureインスタンスのアクセス用に構成されたデフォルトのOPCユーザー・ログイン・アカウントに影響します。

OL07-00-020030

Oracle Linuxオペレーティング・システムは、ファイル整合性ツールがベースライン・オペレーティング・システム構成を少なくとも週に1回検証するように構成する必要があります。

はい

AIDEまたは他の侵入検出システムをターゲット・イメージに構成することが求められます。

OL07-00-020040 ベースライン構成が不正に変更された場合に指定された担当者に通知されるように、Oracle Linuxオペレーティング・システムを構成する必要があります。 はい 構成の前にAIDE検出システムをインストールする必要があります。
OL07-00-020270 Oracle Linuxオペレーティング・システムに不要なアカウントが含まれないようにする必要があります。 いいえ ユーザーのISSOから認可システム・アカウントの特定のリストを取得する必要があります

OL07-00-020680

Oracle Linuxオペレーティング・システムは、ローカルの対話型ユーザー・ホーム・ディレクトリに含まれるすべてのファイルおよびディレクトリが750以下の許可モードになるように構成する必要があります。

 いいえ

ファイル・アクセス権をシステム・サービスに制限します。

OL07-00-020720

Oracle Linuxオペレーティング・システムは、すべてのローカルの対話型ユーザー初期化実行可能ファイルの検索パスに、ユーザーのホーム・ディレクトリに解決されるパスのみが含まれるように構成する必要があります。

 いいえ

ユーザー・バイナリおよびユーティリティへのアクセスに影響します。
OL07-00-021000 Oracle Linuxオペレーティング・システムを構成して、ユーザーのホーム・ディレクトリを含むファイル・システムがマウントされ、setuidおよびsetgidビットが設定されたファイルが実行されないようにする必要があります。 はい ホーム・ディレクトリ内のバイナリ・ファイルを実行するためのユーザー・アクセスに影響します。
OL07-00-021300 Oracle Linuxオペレーティング・システムは、必要に応じて、カーネル・コア・ダンプを無効にする必要があります。 はい Kdumpサービスは、システム生成のカーネルがクラッシュした場合の診断のために必要です。

OL07-00-021350 1

Oracle Linuxオペレーティング・システムは、デジタル署名のプロビジョニング、暗号化ハッシュの生成、該当する連邦法、大統領命令、指令、ポリシー、規制および標準に従って保存時保護が必要なデータの保護のために、NIST FIPS検証済暗号化を実装する必要があります。

いいえ

レスキュー・カーネル・コマンドラインでのfips=1パラメータの除外。

重要なOCIへの影響: レスキュー・カーネルのcmdlineにfips=1を追加すると、インスタンスが致命的なエラーで起動できなくなる可能性があります。
OL07-00-021600 Oracle Linuxオペレーティング・システムを構成して、アクセス制御リスト(ACL)を検証するためにファイル整合性ツールを構成する必要があります。 はい 構成の前にAIDE検出システムをインストールする必要があります。
OL07-00-021610 拡張属性を検証するためにファイル整合性ツールを構成するには、Oracle Linuxオペレーティング・システムを構成する必要があります。 はい 構成の前にAIDE検出システムをインストールする必要があります。
OL07-00-021620 Oracle Linuxオペレーティング・システムでは、ファイルの内容およびディレクトリを検証するためにFIPS 140-2で承認された暗号化ハッシュを使用するように構成されたファイル整合性ツールを使用する必要があります。 はい 構成の前にAIDE検出システムをインストールする必要があります。

OL07-00-030010 1

可用性が最優先事項でないかぎり、監査処理が失敗したときにOracle Linuxオペレーティング・システムをシャットダウンする必要があります。可用性が重要な場合は、監査処理の失敗が発生したときに、指定されたスタッフ(少なくともシステム管理者(SA)および情報システム・セキュリティ担当者(ISSO))にシステムが警告する必要があります。

はい

failureパラメータのデフォルト設定は1です。この場合、インスタンスがシャットダウンされるのではなく、失敗に関する情報がカーネル・ログに送られるだけです。

重要なOCIへの影響: failureパラメータを2に設定すると、監査処理が失敗したときに、システム・パニックとシャットダウンが発生します。

OL07-00-030201

Oracle Linuxオペレーティング・システムは、監査ログを監査対象システムから別のシステムまたはストレージ・メディアにオフロードするように構成する必要があります。

 いいえ

au-remoteプラグイン構成では、リモート・サーバーの詳細が推定されます。

OL07-00-030300

Oracle Linuxオペレーティング・システムは、監査レコードを監査対象システムから別のシステムまたはメディアにオフロードする必要があります。

はい

au-remoteプラグイン構成では、リモート・サーバーの詳細が推定されます。

OL07-00-030310

Oracle Linuxオペレーティング・システムは、監査対象のシステムから別のシステムまたはメディアにオフロードされる監査レコードの転送を暗号化する必要があります。

はい

au-remoteプラグイン構成では、リモート・サーバーの詳細が推定されます。

OL07-00-030320

Oracle Linuxオペレーティングシステムは、監査ストレージボリュームがいっぱいになったときに監査システムが適切なアクションを実行するように構成する必要があります。

いいえ

au-remoteプラグイン構成では、リモート・サーバーの詳細が推定されます。

OL07-00-030321

Oracle Linuxオペレーティング・システムは、監査レコードをリモート・システムに送信する際に監査システムが適切なアクションを実行するように構成する必要があります。

いいえ

au-remoteプラグイン構成では、リモート・サーバーの詳細が推定されます。

OL07-00-031000 Oracle Linuxオペレーティング・システムは、rsyslog出力をログ集計サーバーに送信する必要があります。 はい rsyslog情報を送信するためのリモート・サーバーが必要です。
OL07-00-032000 Oracle Linuxオペレーティング・システムは、ウイルス・スキャン・プログラムを使用する必要があります。 いいえ Oracle Linuxには、ウィルス・スキャン・ソフトウェアは付属していません。ユーザー構成が必要です。
OL07-00-040100 Oracle Linuxオペレーティングシステムは、ポート、プロトコル、および Services Managementコンポーネントローカルサービス評価(PPSM CLSA)および脆弱性評価の定義に従って、機能、ポート、プロトコル、またはサービスの使用を禁止または制限するように構成する必要があります。 いいえ ユーザーのPPSM CLSAによって定義されたポート、プロトコルまたはサービスの確認が必要です。
OL07-00-040160 ドキュメント化され検証されたミッション要件を満たす場合を除き、通信セッションに関連付けられたすべてのネットワーク接続が、セッションの終了時またはコマンド・プロンプトでユーザーが非アクティブになってから15分後に終了するように、Oracle Linuxオペレーティング・システムを構成する必要があります。 はい ユーザー・ワークロードが中断する可能性があります。
OL07-00-040170 Oracle Linuxオペレーティング・システムは、リモート・アクセス・ログオン・プロンプトの直前に(またはその一部として)、Standard必須のDoD通知および同意バナーを表示する必要があります。 はい Standard Mandatory DoD Notice and Consent Agreementのユーザー同意が必要です。

OL07-00-040420

SSH秘密ホスト・キー・ファイルが0600以下の許可モードになるように、Oracle Linuxオペレーティング・システムを構成する必要があります。

 はい システム・サービスによって生成されたSSH秘密ホスト・キーのデフォルト権限を変更します。

OL07-00-040600

DNS解決を使用するOracle Linuxオペレーティング・システムには、2つ以上のネーム・サーバーを構成する必要があります。

いいえ

Oracle Cloud Infrastructureは、高可用性DNSサーバーを提供します。

OL07-00-040710 1

Oracle Linuxオペレーティング・システムは、文書化され検証されたミッション要件を満たす場合を除き、リモートX接続が無効になるように構成する必要があります

はい

インスタンスのシリアル・コンソール接続に影響します。

重要なOCIへの影響: リモートX接続を無効化すると、OCIインスタンスのシリアル・コンソールに接続できなくなる可能性があります。
OL07-00-040711 Oracle Linuxオペレーティング・システムのSSHデーモンは、リモート・ホストがプロキシ表示に接続できないようにする必要があります。 はい Oracle Cloud Infrastructureインスタンスへのユーザー・アクセスに影響します。

OL07-00-040810

Oracle Linuxオペレーティングシステムのアクセス制御プログラムは、特定のホストおよびサービスへのシステムアクセスを許可または拒否するように構成する必要があります。

 いいえ 特定のホストおよびサービス・アクセスの確認が必要です。ユーザーの権限付与ポリシーでアクセスが許可されている必要があります。

OL07-00-040820

Oracle Linuxオペレーティング・システムには、認可されていないIPトンネルを構成しないようにする必要があります。

 いいえ 認可されたIPSecトンネル接続であるかどうかを判断するには、ユーザーのSA/ISSOによる確認が必要です。

OL07-00-041002

Oracle Linuxオペレーティング・システムは、プラガブル認証モジュール(PAM)を介した特権アカウントへのアクセスに対してマルチファクタ認証を実装する必要があります。

いいえ

マルチファクタ認証は、デフォルトのOracle Cloud Infrastructureイメージでは構成されていません。

OL07-00-041003

Oracle Linuxオペレーティング・システムは、PKI認証用の証明書ステータス・チェックを実装する必要があります。

はい

PKI認証用の証明書ステータス・チェックは、デフォルトのOracle Cloud Infrastructureイメージでは構成されていません。

1これらのルールを修正すると、システムのアクセシビリティに重大な影響を与える可能性があります。

変更ログ

STIG-ID

ルールの説明

除外理由

ステータス コメント
OL07-00-010050 Oracle Linuxオペレーティング・システムは、コマンドライン・ユーザー・ログオンによるローカル・アクセスまたはリモート・アクセスをシステムに許可する前に、Standard必須のDoD通知および同意バナーを表示する必要があります。 Standard Mandatory DoD Notice and Consent Agreementのユーザー同意が必要です。 追加 V2R8の除外リストに追加されました
OL07-00-010320 Oracle Linuxオペレーティング・システムは、15分間の時間枠内に3回のログオン試行が失敗した後、少なくとも15分間アカウントをロックするように構成する必要があります。 Oracle Cloud Infrastructureインスタンスのアクセス用に構成されたデフォルトのOPCユーザー・ログイン・アカウントに影響します。 追加 V2R8の除外リストに追加されました
OL07-00-010330 Oracle Linuxオペレーティング・システムは、15分以内に3回のルート・ログオン試行が失敗した後、関連するアカウントをロックする必要があります。 Oracle Cloud Infrastructureインスタンスのアクセス用に構成されたデフォルトのOPCユーザー・ログイン・アカウントに影響します。 追加 V2R8の除外リストに追加されました
OL07-00-010492 シングルユーザーモードおよび保守へのブート時に、United Extensible Firmware Interface (UEFI)でブートされた Oracle Linuxオペレーティングシステムバージョン7.2以降は、grubスーパーユーザーアカウントに一意の名前が必要です。 デフォルトのスーパーユーザー名の変更が必要です。grubスーパーユーザーの起動に影響します。 追加 V2R8の除外リストに追加されました
OL07-00-010500 Oracle Linuxオペレーティング・システムは、マルチファクタ認証を使用して、組織ユーザー(または組織ユーザーのかわりに動作するプロセス)を一意に識別し、認証する必要があります。 マルチ・ファクタ認証は、デフォルトのOracle Cloud Infrastructureイメージでは構成されていません。 追加 V2R8の除外リストに追加されました
OL07-00-020019 Oracle Linuxオペレーティング・システムは、Linux脅威防止ツールのエンドポイント・セキュリティを実装する必要があります。 Oracle Linuxには、ウィルス・スキャン・ソフトウェアは付属していません。ユーザー構成が必要です。 追加 V2R8の除外リストに追加されました
OL07-00-020020 Oracle Linuxオペレーティング・システムは、非特権ユーザーが特権機能(実装されたセキュリティ保護/対抗策の無効化、回避または変更を含む)を実行できないようにする必要があります。 ユーザーのISSOから認可ユーザーの特定のリストを取得する必要があります。 追加 V2R8の除外リストに追加されました

OL07-00-020021

Oracle Linuxオペレーティング・システムは、SELinuxユーザーを、最小限の権限に準拠したロールに限定する必要があります。

 SELinuxロール・マッピングの準拠状態を判断するには、ユーザーのSA/ISSOによる確認が必要です。 追加 V2R8の除外リストに追加されました

OL07-00-020023

Oracle Linuxオペレーティング・システムは、管理者がsudoコマンドをコールするときにSELinuxコンテキストを昇格する必要があります。

Oracle Cloud Infrastructureインスタンスのアクセス用に構成されたデフォルトのOPCユーザー・ログイン・アカウントに影響します。

 追加 V2R8の除外リストに追加されました
OL07-00-020040 ベースライン構成が不正に変更された場合に指定された担当者に通知されるように、Oracle Linuxオペレーティング・システムを構成する必要があります。 構成の前にAIDE検出システムをインストールする必要があります。 追加 V2R8の除外リストに追加されました
OL07-00-020270 Oracle Linuxオペレーティング・システムに不要なアカウントが含まれないようにする必要があります。 ユーザーのISSOから認可システム・アカウントの特定のリストを取得する必要があります 追加 V2R8の除外リストに追加されました

OL07-00-020680

Oracle Linuxオペレーティング・システムは、ローカルの対話型ユーザー・ホーム・ディレクトリに含まれるすべてのファイルおよびディレクトリが750以下の許可モードになるように構成する必要があります。

ファイル・アクセス権をシステム・サービスに制限します。

追加 V2R8の除外リストに追加されました

OL07-00-020720

Oracle Linuxオペレーティング・システムは、すべてのローカルの対話型ユーザー初期化実行可能ファイルの検索パスに、ユーザーのホーム・ディレクトリに解決されるパスのみが含まれるように構成する必要があります。

ユーザー・バイナリおよびユーティリティへのアクセスに影響します。

 追加 V2R8の除外リストに追加されました
OL07-00-021000 Oracle Linuxオペレーティング・システムを構成して、ユーザーのホーム・ディレクトリを含むファイル・システムがマウントされ、setuidおよびsetgidビットが設定されたファイルが実行されないようにする必要があります。 ホーム・ディレクトリ内のバイナリ・ファイルを実行するためのユーザー・アクセスに影響します。 追加 V2R8の除外リストに追加されました
OL07-00-021300 Oracle Linuxオペレーティング・システムは、必要に応じて、カーネル・コア・ダンプを無効にする必要があります。 Kdumpサービスは、システム生成のカーネルがクラッシュした場合の診断のために必要です。 追加 V2R8の除外リストに追加されました
OL07-00-021600 Oracle Linuxオペレーティング・システムを構成して、アクセス制御リスト(ACL)を検証するためにファイル整合性ツールを構成する必要があります。 構成の前にAIDE検出システムをインストールする必要があります。 追加 V2R8の除外リストに追加されました
OL07-00-021610 拡張属性を検証するためにファイル整合性ツールを構成するには、Oracle Linuxオペレーティング・システムを構成する必要があります。 構成の前にAIDE検出システムをインストールする必要があります。 追加 V2R8の除外リストに追加されました
OL07-00-021620 Oracle Linuxオペレーティング・システムでは、ファイルの内容およびディレクトリを検証するためにFIPS 140-2で承認された暗号化ハッシュを使用するように構成されたファイル整合性ツールを使用する必要があります。 構成の前にAIDE検出システムをインストールする必要があります。 追加 V2R8の除外リストに追加されました
OL07-00-031000 Oracle Linuxオペレーティング・システムは、rsyslog出力をログ集計サーバーに送信する必要があります。 rsyslog情報を送信するためのリモート・サーバーが必要です。 追加 V2R8の除外リストに追加されました
OL07-00-032000 Oracle Linuxオペレーティング・システムは、ウイルス・スキャン・プログラムを使用する必要があります。 Oracle Linuxには、ウィルス・スキャン・ソフトウェアは付属していません。ユーザー構成が必要です。 追加 V2R8の除外リストに追加されました
OL07-00-040100 Oracle Linuxオペレーティングシステムは、ポート、プロトコル、および Services Managementコンポーネントローカルサービス評価(PPSM CLSA)および脆弱性評価の定義に従って、機能、ポート、プロトコル、またはサービスの使用を禁止または制限するように構成する必要があります。 ユーザーのPPSM CLSAによって定義されたポート、プロトコルまたはサービスの確認が必要です。 追加 V2R8の除外リストに追加されました
OL07-00-040160 ドキュメント化され検証されたミッション要件を満たす場合を除き、通信セッションに関連付けられたすべてのネットワーク接続が、セッションの終了時またはコマンド・プロンプトでユーザーが非アクティブになってから15分後に終了するように、Oracle Linuxオペレーティング・システムを構成する必要があります。 ユーザー・ワークロードが中断する可能性があります。 追加 V2R8の除外リストに追加されました
OL07-00-040170 Oracle Linuxオペレーティング・システムは、リモート・アクセス・ログオン・プロンプトの直前に(またはその一部として)、Standard必須のDoD通知および同意バナーを表示する必要があります。 Standard Mandatory DoD Notice and Consent Agreementのユーザー同意が必要です。 追加 V2R8の除外リストに追加されました

OL07-00-040420

SSH秘密ホスト・キー・ファイルが0600以下の許可モードになるように、Oracle Linuxオペレーティング・システムを構成する必要があります。

 システム・サービスによって生成されたSSH秘密ホスト・キーのデフォルト権限を変更します。 追加 V2R8の除外リストに追加されました
OL07-00-040711 Oracle Linuxオペレーティング・システムのSSHデーモンは、リモート・ホストがプロキシ表示に接続できないようにする必要があります。 Oracle Cloud Infrastructureインスタンスへのユーザー・アクセスに影響します。 追加 V2R8の除外リストに追加されました

OL07-00-040810

Oracle Linuxオペレーティングシステムのアクセス制御プログラムは、特定のホストおよびサービスへのシステムアクセスを許可または拒否するように構成する必要があります。

 特定のホストおよびサービス・アクセスの確認が必要です。ユーザーの権限付与ポリシーでアクセスが許可されている必要があります。 追加 V2R8の除外リストに追加されました

OL07-00-040820

Oracle Linuxオペレーティング・システムには、認可されていないIPトンネルを構成しないようにする必要があります。

 認可されたIPSecトンネル接続であるかどうかを判断するには、ユーザーのSA/ISSOによる確認が必要です。 追加 V2R8の除外リストに追加されました
Oracle-Linux-7.9-2021.07.27-STIG

Oracle-Linux-7.9-2021.07.27-STIGOracle Linux STIGイメージは、2021年8月10日にリリースされました。

更新に関する次の記載は、以前のOracle-Linux-7.9-2021.03.02-STIGリリースと比較したものです。

イメージの更新

  • kernel-uek: 5.4.17-2102.203.6.el7uek.x86_64 Unbreakable Enterprise Kernelリリース6 (UEK R6)カーネル・バージョン、CVE-2021-33909の修正が含まれます。

  • Oracle Linux 7.9システム・パッケージが、入手可能な最新バージョンに更新されました。セキュリティ修正が含まれています。

コンプライアンスの更新

  • 目標:ベンチマーク・バージョンOracle Linux7 DISA STIGベンチマーク、バージョン2リリース4。

  • SCCコンプライアンス・スコア: 89.44%。

  • 最新STIGイメージが変更されました。

    次の表で、Oracle-Linux-7.9-2021.07.27-STIGリリースで行われた変更について説明します。

    ノート

    このリリースの更新は、Oracle Linux 7の追加構成でも反映されています。この項では、最新イメージの手動構成が必要な領域について説明しています。次の表に示すルールに適用される可能性がある重要な情報については、この項を参照してください。

    STIG-ID

    ルールの説明

    除外理由

    ステータス

    コメント

    OL07-00-010090

    Oracle Linuxオペレーティング・システムにスクリーン・パッケージをインストールする必要があります。

    Oracle Cloud Infrastructureインスタンスのアクセス用に構成されたデフォルトのOracle Public Cloud (OPC)ユーザー・ログイン・アカウントに影響します。

    削除

    V2R4の除外リストから削除されました

    OL07-00-021350

    Oracle Linuxオペレーティング・システムは、デジタル署名のプロビジョニング、暗号化ハッシュの生成、該当する連邦法、大統領命令、指令、ポリシー、規制および標準に従って保存時保護が必要なデータの保護のために、NIST FIPS検証済暗号化を実装する必要があります。

    レスキュー・カーネル・コマンドラインでのfips=1パラメータの除外。

    追加

    V2R4の除外リストから削除されました

    重要: レスキュー・カーネルのcmdラインにfips=1を追加すると、インスタンスが致命的なエラーで起動できなくなる可能性があります。

    OL07-00-030200

    Oracle Linuxオペレーティング・システムがau-remoteプラグインを使用するように構成されている必要があります。

    au-remoteプラグイン構成では、リモート・サーバーの詳細が推定されます。

    削除

    V2R4の除外リストから削除されました

    OL07-00-030201

    Oracle Linuxオペレーティング・システムは、監査ログを監査対象システムから別のシステムまたはストレージ・メディアにオフロードするように構成する必要があります。

    au-remoteプラグイン構成では、リモート・サーバーの詳細が推定されます。

    更新

    V2R4でルール・タイトルが変更されました

    OL07-00-040600

    DNS解決を使用しているOracle Linuxオペレーティング・システムでは、2つ以上のネーム・サーバーを構成する必要があります。

    Oracle National Security Regions (ONSR)イメージでは、信頼できるDNSホストが1つだけ提供されます。

    更新

    V2R4でルール・タイトルが変更されました

    OL07-00-041001

    Oracle Linuxオペレーティング・システムに、マルチファクタ認証に必要なパッケージをインストールする必要があります。

    マルチファクタ認証は、デフォルトのOracle Cloud Infrastructureイメージでは構成されていません。

    削除

    V2R4の除外リストから削除されました

    イメージで修正済: インスタンスにpam_pkcs11 package がインストールされました。

    OL07-00-040710

    Oracle Linuxオペレーティング・システムは、文書化され検証されたミッション要件を満たす場合を除き、リモートX接続が無効になるように構成する必要があります

    インスタンスのシリアル・コンソール接続に影響します。

    追加

    		V2R4の除外リストに追加されました

    OL07-00-010342

    Oracle Linuxオペレーティング・システムは、sudoコマンドを使用するときに、特権エスカレーションのために呼出し元ユーザーのパスワードを使用する必要があります。

    デフォルトのOPCログイン・アカウントに影響します。

    追加

    V2R4の除外リストに追加されました
Oracle-Linux-7.9-2021.03.02-STIG

Oracle Linux STIGイメージOracle-Linux-7.9-2021.03.02-STIGは、2021年3月10日にリリースされました。

イメージの情報

  • 5.4.17-2036.103.3.1.el7uek.x86_64 UEK R6カーネル・バージョン。

  • セキュリティ修正が含まれるOracle Linux 7.9システム・パッケージの最新バージョン。

コンプライアンスの情報

  • 目標:ベンチマーク・バージョンOracle Linux 7 DISA STIGベンチマーク、バージョン1リリース2。

  • SCCコンプライアンス・スコア: 89.44%。