NuGenesis データベースサーバーを保護するための Waters の推奨事項は何ですか? - WKB206780
Article number: 206780To English version
環境
- NuGenesis 9.3
- RHEL 8.4 または Windows Server 2016/2019 上の Oracle 19c
- NuGenesis 9.2/Empower LMS 1.0
- RHEL 7.7 または Windows Server 2016/2019 上の Oracle 19c
- NuGenesis 9.1
- RHEL 7.7 または Windows Server 2016/2019 上の Oracle 19c
- NuGenesis 9.0.x
- RHEL 7.5 または Windows Server 2012/2016 上の Oracle 12c
- RHEL 7.7 上の Oracle 19c
- NuGenesis 8 SR2
- RHEL 5.6 または 6.2、または Windows Server 2012 上の Oracle 11.2
回答
- OS:
- システムへのアクセスを必要とする少数の DBA への、SSH/RDP などを介した OS ログオンの制限
- OS ファイアウォールを設定して、ポート 1521 または TNS リスナーポート(初期設定から変更された場合)、およびリモートアクセスプロトコルを介した接続のみを許可するようにします。
- Oracle ソフトウェアの所有者アカウントへの sudo アクセスを、それを必要とするユーザーのみに制限します (Linux)
- Oracle が使用するマウントに必要なもののみに所有権と権限を設定します (Linux)
- LocalSystem(Oracle の既定のサービスアカウント)ではなく、権限が制限されているローカルまたはドメインアカウントで OracleService および TNS リスナーサービスを実行します。アカウントは次の条件を満たす必要があります:ORA_DBA グループ (Windows) に属している;Oracle ホームパスのすべてのファイル/フォルダー、データファイルパス、コントロールファイル、および REDO ログ/アーカイブログに対して読み取り/書き込み/変更権限がある;Windows で、[サービスとしてログオン]特権および[バッチジョブとしてログオン]特権がある。
- Oracle:
- Waters の推奨事項に従って、NuGenesis スキーマアカウントを管理します
- NuGenesis 安定性モジュールを使用する場合、プロファイル「slimprofile」での失敗したログイン試行回数に制限を設定します:
- ALTER PROFILE slimprofile LIMIT failed_login_attempts 5。
- Oracle データベースおよびクライアントの sqlnet.ora ファイルで SQLNet 暗号化を使用します。デフォルトでは、NG 9.x で、sqlnet.ora は「sqlnet.encryption_server」および「sqlnet.encryption_client」を「Requested」に、「sqlnet.encryption_types_server」/「sqlnet.encryption_types_client」を「AES256」に設定します
- リンクされている記事にあるリストに対応する Oracle データベースのコンポーネントまたはオプションがインストールされているかどうかを評価します。NuGenesis によって使用されないデータベースコンポーネント/オプションの脆弱性は、NuGenesis データベースに影響を与えることはないと考えられています。ただし、データベースに NuGenesis に必要なコンポーネント/オプション以外のコンポーネント/オプションがある場合、これらの過剰なコンポーネント/オプションはセキュリティリスクをもたらす可能性があるため、削除する必要があります。Windows プラットフォーム用 NuGenesis データベースインストーラーでは、必要なコンポーネント/オプションのみがインストールされます。また、組み込まれている使用許諾契約では、お客様がデータベースを直接変更することが許可されていないため、Windows で DB コンポーネントが過剰になるリスクは低くなります。Linux プラットフォームでは、お客様が Oracle バイナリーインストールを提供し、Oracle との独自の使用許諾契約に基づいて、NuGenesis 用のインスタンス/PDB を作成するため、過剰なコンポーネント/オプションがインストールされることがあります。
- NuGenesis SDMS および LMS で LDAP 認証(TLS 暗号化付き)を使用して、アプリケーションユーザーが Oracle データベースアカウントを必要としないようにします
- 不要な NuGenesis スキーマ以外のアカウントをロックまたは削除します
- 有効なままにしておく必要があるアカウントに、「最小限の特権」原則を適用します。SYSDBA アクセスを、それを必要とする少数のユーザーのみに制限します
- Oracle 12c および 19c データベースでは、既定の統合オーディットトレイルポリシー ORA_SECURECONFIG および ORA_LOGON_FAILURES を最低限有効にします。これら 2 つの既定ポリシーにより、システム管理者は過剰なログオン失敗を確認できます。