Oracle Cloud Infrastructureドキュメント

Oracle Linux STIGイメージ

Oracle Linux STIGイメージは、セキュリティ技術導入ガイド(STIG)に従ったOracle Linuxの実装です。

STIGイメージを使用すると、米国国防情報システム局(DISA)によって定められた特定のセキュリティ標準と要件に準拠するOracle LinuxインスタンスをOracle Cloud Infrastructureに構成できます。

ノート

Oracle Linux STIGイメージは最新のセキュリティ更新情報を使用して定期的に更新されています。このドキュメントは、STIGベンチマークが変更されると常に更新されます。またセキュリティ・ガイダンスの変更のためにイメージの手動構成が必要になったときにも更新されます。各リリースで行われた特定の変更については、Oracle Linux STIGイメージの改訂履歴を参照してください。
重要

Oracle Linux STIGイメージ・インスタンスに対して行う変更(他のアプリケーションのインストールや構成設定の変更など)が、コンプライアンス・スコアに影響を与える可能性があります。変更を行ったら、インスタンスを再スキャンしてコンプライアンスを確認します。コンプライアンスのためのインスタンスの再スキャンを参照してください。

STIGとは?

セキュリティ技術導入ガイド(STIG)は、米国国防情報システム局(DISA)によって記述されたドキュメントです。これは、米国国防総省(DoD)のITネットワーク・システム内のデプロイメントに対するサイバーセキュリティ要件を満たすシステムの構成に関するガイダンスを提供します。STIG要件は、インフラストラクチャとネットワークのセキュリティに重点を置いて脆弱性を軽減することで、サイバーセキュリティの脅威からネットワークを保護するのに役立ちます。STIGに準拠することは、DoD機関(DoD情報ネットワーク(DoDIN)の一部である任意の組織)の要件です。

Oracle Linux STIGイメージは、標準のOracle Linuxイメージの強化されたバージョンを提供することで、コンプライアンスの自動化に役立ちます。このイメージは、STIGガイドラインに準拠するように強化されています。ただし、イメージがすべてのSTIG要件を満たすわけではなく、追加の手動修正が必要な場合があります。「改善の適用」を参照してください。

最新のSTIGのダウンロード

DISAは、四半期ごとにSTIGの更新を提供します。このドキュメントは、公開時に入手可能な最新のSTIGを使用して作成されました。ただし、ユーザーがシステムを評価するときは、常に最新のSTIGを使用する必要があります。

最新のSTIGは、https://public.cyber.mil/stigs/downloads/からダウンロードしてください。Oracle Linuxを検索し、適切なzipファイルをダウンロードします。

オプションで、https://public.cyber.mil/stigs/srg-stig-tools/にあるDISA STIG Viewerを使用します。その後、STIGのxccdf.xmlファイルをインポートしてSTIGルールを表示します。

STIGコンプライアンスの評価方法

多くの場合、コンプライアンス評価は、Security Content Automation Protocol (SCAP)コンプライアンス・チェッカ・ツールを使用したスキャンから開始します。このツールは、(SCAP形式でアップロードされた) STIGを使用して、システムのセキュリティを分析します。ただし、ツールは常にSTIG内のすべてのルールをテストするわけではなく、一部のSTIGにはSCAPバージョンがない場合があります。このような場合、監査者は、ツールでカバーされていないSTIGルールを確認することによって、システムのコンプライアンスを手動で確認する必要があります。

コンプライアンス評価を自動化するために、次のツールを使用できます。

  • SCAPコンプライアンス・チェッカ(SCC) - DISA STIGベンチマークまたはOpenSCAPアップストリーム・プロファイルのいずれかを使用して評価を実行できる、DISAによって開発されたツール。通常、DISA STIGベンチマークは、SCCツールを使用する際のコンプライアンス・スキャンに使用されます。

    重要

    Armアーキテクチャ(aarch64)をスキャンするには、SCCバージョン5.5以降を使用する必要があります。

  • OpenSCAP - DISA STIGベンチマークまたはOpenSCAPアップストリーム・プロファイルのいずれかを使用して評価を実行できる、yumを介して使用可能なオープン・ソース・ユーティリティ。Oracle Linuxは、システム・リリース固有のプロファイルを含むSCAPセキュリティ・ガイド(SSG)パッケージを配布します。たとえば、SSGパッケージによって提供されるSCAPデータストリームのssg-ol7-ds.xmlファイルには、Oracle Linux 7用のDISA STIGプロファイルが含まれています。OpenSCAPツールを使用する利点の1つは、SSGが、修正を自動化し、システムを準拠状態にするためのBashまたはAnsibleスクリプトを提供することです。

    注意

    スクリプトを使用した自動修正では、望ましくないシステム構成が発生したり、システムが機能しなくなる可能性があります。修正スクリプトを非本番環境でテストしてください。

コンプライアンス・ツールの実行およびスキャン・レポートの生成の詳細は、コンプライアンスのためのインスタンスの再スキャンを参照してください。

コンプライアンス・ターゲット

Oracle Linux STIGイメージには、DISA STIGベンチマークで対処されていないルールの追加の修正が含まれています。Oracle LinuxのDISA STIGと連携したSSGのSTIGプロファイルを使用して、以前に対処されていないルールの自動化を拡張し、完全なDISA STIGに対するコンプライアンスを決定します。

SCCおよびOpenSCAPのスキャン結果に基づく2つのDISA STIG Viewerチェックリスト・ファイルがイメージに用意されています。DISA STIGベンチマークのチェックリストはSCCスキャン結果を使用し、SSG "STIG"プロファイルのチェックリストはOpenSCAPスキャン結果を使用します。これらのチェックリストには、ガイダンスを満たさないイメージの領域に関するOracleによるコメントが含まれます。チェックリストを使用した追加構成の表示を参照してください。
ノート

DISA STIGベンチマークのコンプライアンス・スコアが高いほど、完全なDISA STIGと比較してルールの範囲が制限されます。ただし、SSGの「STIG」プロファイルは完全なDISA STIGを考慮し、イメージのコンプライアンスをより包括的に評価します。
Oracle Linux 8

Oracle Linux 8 STIGイメージは、DISAセキュリティ標準に準拠しており、Oracle Linux 8 DISA STIGに従って強化されています。最新のOracle Linux 8 STIGイメージ・リリースの場合、コンプライアンス・ターゲットは、Oracle Linux 8バージョン1、リリース10のDISA STIGです。yumを介して使用可能なscap-security-guideパッケージ(最小バージョン0.1.73-1.0.1)には、Oracle Linux 8バージョン1リリース10用のDISA STIGに準拠するSSGのSTIGプロファイルが含まれています。

Oracle Linux 8.10 2024年9月のSTIGイメージのコンプライアンス情報:

ターゲット: Oracle Linux 8バージョン1リリース10用のDISA STIGに準拠するSSGのSTIGプロファイル

  • x86_64のチェックリスト・コンプライアンス・スコア: 74.63%
  • aarch64のチェックリスト・コンプライアンス・スコア: 74.55%

ターゲット: Oracle Linux 8バージョン1、リリース8ベンチマーク・プロファイル用のDISA STIG

  • x86_64のチェックリスト・コンプライアンス・スコア: 80.57%
  • aarch64のチェックリスト・コンプライアンス・スコア: 80.57%
Oracle Linux 7 (拡張サポート)

Oracle Linux 7 STIGイメージは、DISAセキュリティ標準に準拠しており、Oracle Linux 7 DISA STIGに従って強化されています。最新のOracle Linux 7 STIGイメージ・リリースの場合、コンプライアンス・ターゲットはDISA STIGバージョン3リリース1に移行しました。yumから入手可能なscap-security-guideパッケージ(最小バージョン0.1.73-1.0.3)には、DISA STIG for Oracle Linux 7 Version 3、 Release 1に合わせたSSGの「STIG」プロファイルが含まれています。

Oracle Linux 7.9 2025年2月のSTIGイメージのコンプライアンス情報:

ターゲット: Oracle Linux 7バージョン3リリース1用のDISA STIGに準拠するSSGのSTIGプロファイル

  • チェックリスト・コンプライアンス・スコア x86_64: 81.65%
  • チェックリスト・コンプライアンス・スコア aarch64: 81.65%

ターゲット: Oracle Linux 7バージョン3リリース1ベンチマーク・プロファイル用のDISA STIG

  • チェックリスト・コンプライアンス・スコア x86_64: 91.71%
  • チェックリスト・コンプライアンス・スコア aarch64: 91.71%
ノート

DISAのSTIG標準には、Oracle Linux 7 Ver 3、Rel 1およびOracle Linux 7 Ver 2、Rel 14の間の文言以外に大きな変更はありませんでした。このため、Oracle Linux 7 Ver 2、Rel 14に準拠しているシステムも、Oracle Linux 7 Ver 3、Rel 1に準拠しています。

修正の適用

強化された Oracle Linux STIGイメージを、すべての推奨ガイダンスに合うように構成することはできません。Oracle Linux STIGイメージ・インスタンスに含まれていない構成を手動で完了させる必要があります。

適切なセキュリティー構成を適用する手順は、DISAにより定められたセキュリティー・ルールごとに、対応するOracle Linuxセキュリティー技術導入ガイドで説明されています。

重要

イメージを変更すると、インスタンスのデフォルトのOracle Cloud Infrastructureアカウントに影響する可能性があります。ルールの適用を決定する場合は、各ルールに関する情報と除外理由を調べて、インスタンスに対する潜在的な影響をよく理解してください。

チェックリストを使用した追加構成の表示

Oracle Linux STIGイメージに付属するチェックリストを使用して、イメージに含まれていないガイダンス領域に関する追加のリリース・ノートを表示します。追加の構成が必要になる場合があります。リリース・ノートでは、インスタンスのデフォルトのOracle Cloud Infrastructureアカウントに影響を与える可能性がある追加構成を識別します。

チェックリストへのアクセス

Oracle Linux STIGイメージには、DISA STIG for Oracle Linuxに合わせたDISA STIGベンチマークとSCAPセキュリティ・ガイド(SSG)のSTIGプロファイルの両方に対するDISA STIGビューア・チェックリストが含まれています。これらのチェックリストは、/usr/share/xml/stigディレクトリにあります。各リリースに関連付けられた特定のファイル名については、リビジョン履歴を参照してください。

  • OL<release>_SSG_STIG_<stig-version>_CHECKLIST_RELEASE.ckl - SSG「シグ」プロファイル・スキャン結果を使用したOracle Linux用のDISA STIGのチェックリスト。
  • OL<release>_DISA_BENCHMARK_<stig-version>_CHECKLIST_RELEASE.ckl - SCC Oracle_Linux_<release>_STIGプロファイル・スキャン結果を使用したOracle LinuxのDISA STIGベンチマークのチェックリスト。

チェックリストのリリース・ノートの表示

  1. DISA STIG Viewerツールは、https://public.cyber.mil/stigs/srg-stig-tools/からダウンロードします。
  2. STIGビューア・ツールを開きます。
  3. 「チェックリスト」で、「ファイルからチェックリストを開く...」を選択し、チェックリスト・ファイルにナビゲートします。
  4. 「フィルタ・パネル」を展開し、次のフィルタを追加します。
    • 一致: ALL
    • フィルタ条件: キーワード
    • フィルタ・タイプ: 包括的(+)フィルタ
    • キーワード: Oracleリリース・ノート
  5. リリース・ノートには、次のルールに関する追加情報があります。
    • オープン - スコープから除外または除外されたルール。
      • 除外 - インスタンスのデフォルトのOracle Cloud Infrastructureアカウントに影響し、Oracle Linux STIGイメージの修正から除外されたルール。
      • 範囲外 - 現在のリリースで修正の対象外であるが、将来のリリースで修正の対象とみなされる可能性があるルール。
    • 該当なし - Oracle Linux STIGイメージに適用できないと判断されたルール。
    • 未レビュー - 現在のリリースで修正の範囲外ですが、将来のリリースで修正対象とみなされる可能性があるルール。
  6. ルールごとに、是正を適用する前に、インスタンスへの影響を完全に理解してください。

コンプライアンスのためのインスタンスの再スキャン

SCCまたはOpenSCAPツールを使用してインスタンスをスキャンし、インスタンスが準拠していることを確認します。

Oracle Linux STIGイメージ・インスタンスに対して行う変更(他のアプリケーションのインストールや新しい構成設定の追加など)が、コンプライアンスに影響する可能性があります。変更後にインスタンスが準拠していることを確認するためにスキャンすることをお薦めします。また、四半期ごとの定期的なDISA STIG更新をチェックするために、その後もスキャンを実行する必要があります。

OpenSCAPツールの使用

OpenSCAPツールはOracle Linuxで使用することができ、米国国立標準技術研究所(NIST)によって認定されています。

  1. Oracle Linux STIGイメージ・インスタンスにサインインします。
  2. openscap-scannerパッケージをインストールします。 
    sudo yum install openscap-scanner
  3. スキャンに使用するXCCDFまたはデータストリーム・ファイルを特定します。

    SSGのstigプロファイルを使用するには:

    1. scap-security-guideパッケージをインストールします。 
      sudo yum install scap-security-guide
    2. /usr/share/xml/scap/ssg/contentにあるスキャンに使用するファイルを見つけます。
    Oracle Linux DISA STIGベンチマークを使用するには:
    1. https://public.cyber.mil/stigs/downloads/"に進みます。
    2. Oracle Linuxを検索し、適切なDISA STIGベンチマーク・ファイルをダウンロードします。
    3. ダウンロード後にファイルを解凍します。
  4. スキャンを実行するために、次のコマンドを実行します: 
    sudo oscap xccdf eval --profile profile-name \
--results=path-to-results.xml --oval-results \
--report=path-to-report.html \
--check-engine-results \
--stig-viewer=path-to-stig-viewer-report.xml \
path-to-xccdf-document

    oscapコマンドで使用できるその他のオプションについては、Oracle® Linux 7: セキュリティ・ガイドOpenSCAPを使用した脆弱性のスキャンおよびOracle Linux 8: セキュリティ・コンプライアンスのためのOpenSCAPの使用を参照してください。

  5. path-to-report.htmlファイルで評価結果を確認します。

SCCツールの使用

SCCツールは、政府機関のコンプライアンスを確認するための公式ツールであり、Oracle Linux STIGイメージ・インスタンスのスキャンに使用できます。

重要

Armアーキテクチャ(aarch64)をスキャンするには、SCCバージョン5.5以降を使用する必要があります。

SCCツールを使用する手順は、SCAPツールの表(https://public.cyber.mil/stigs/scap/)を参照してください。

  1. https://public.cyber.mil/stigs/scap/の表からSCCツールを取得します。
  2. ツールをインストールします。 
    unzip scc-5.4.2_rhel7_sles12-15_oracle-linux7_x86_64_bundle.zip
cd scc-5.4.2_rhel7_x86_64/
rpm -i scc-5.4.2.rhel7.x86_64.rpm
  3. SCCツールにインポートする前に、SCAPコンテンツの.xmlファイルを Zip圧縮します。

    SSGの「stig」プロファイルの場合:

    zip ssg_content.zip /usr/share/xml/scap/ssg/content/xml-document
/opt/scc/cscc -is ssg_content.zip

    Oracle Linux DISA STIGベンチマークの場合:

    zip scap_content.zip path-to-disa-benchmark-xml-document
/opt/scc/cscc -is scap_content.zip
  4. インポートされたコンテンツに対してスキャンするようにSCCを構成します 
    /opt/scc/cscc --config
  5. コマンドライン・メニューを使用してスキャンを実行します:
    1. 1と入力してSCAPコンテンツを構成します。
    2. clearと入力してから、インポートされたSCAPコンテンツに一致する番号を入力します。

      次の例では、Oracle Linux 7用のインポートされたSCAPコンテンツに対して2と入力します。 

      SCC 5.4.2 Available SCAP Content                        [Version]  [Date]    
1.  [ ]  Mozilla_Firefox_RHEL                           005.003    2021-06-09
2.  [X]  OL-7                                           0.1.54     2021-09-23
3.  [ ]  Oracle_Linux_7_STIG                            002.004    2021-06-14
4.  [ ]  RHEL_6_STIG                                    002.002    2020-12-04
5.  [ ]  RHEL_7_STIG                                    003.004    2021-06-14
6.  [ ]  RHEL_8_STIG                                    001.002    2021-06-14
7.  [ ]  SLES_12_STIG                                   002.004    2021-06-14
    3. 0と入力してメイン・メニューに戻ります。
    4. 2と入力してSCAPプロファイルを構成します。
    5. 1と入力してプロファイルを選択します。"stig"が選択されていることを確認します。 
      Available Profiles for OL-7

1.  [ ] no_profile_selected
2.  [X] stig
    6. メイン・メニューに戻ります。9と入力して変更を保存し、システムでスキャンを実行します。
      スキャンには25から30分かかる場合があります。

Oracle Linux STIGイメージの改訂履歴

Oracle Linux STIGイメージは、セキュリティの問題に対処するために定期的に更新されます。

古いOracle Linux STIGイメージをデプロイする場合は、四半期ごとの定期的なDISA STIG更新をチェックするために、その後もスキャンを実行することをお薦めします。詳細は、コンプライアンスのためのインスタンスの再スキャンを参照してください。

Oracle Linux 8

Oracle-Linux-8.10-STIG (2024年9月)
情報は次のとおりです。
  • Oracle Linux-8.10-2024.08.20-STIG (x86_64用)
  • Oracle Linux-8.10-aarch64-2024.08.20-STIG (aarch64用)
イメージの情報
  • kernel-uek: 5.15.0-209.161.7.1.el8uek
  • Oracle Linux 8.10の最初のリリースは、Oracle Linux 8バージョン1リリースRel 10のDISA STIGに対して強化されました。
  • システム・パッケージが、入手可能な最新バージョンに更新されました。セキュリティ修正が含まれています。
  • 追加のSTIGルールの修正がイメージに適用されました。チェックリストを使用した追加構成の表示を参照してください。
  • /usr/share/xml/stigのチェックリスト・ファイル:
    • OL8_SSG_STIG_V1R10_CHECKLIST_RELEASE.ckl
    • OL8_DISA_BENCHMARK_V1R8_CHECKLIST_RELEASE.ckl
コンプライアンスの情報

ターゲット: Oracle Linux 8バージョン1リリース10用のDISA STIGに準拠するSSGのSTIGプロファイル

  • x86_64のチェックリスト・コンプライアンス・スコア: 74.63%
  • aarch64のチェックリスト・コンプライアンス・スコア: 74.55%

ターゲット: Oracle Linux 8バージョン1、リリース8ベンチマーク・プロファイル用のDISA STIG

  • x86_64のチェックリスト・コンプライアンス・スコア: 80.57%
  • aarch64のチェックリスト・コンプライアンス・スコア: 80.57%
ノート

DISA STIGベンチマークのコンプライアンス・スコアが高いほど、完全なDISA STIGと比較してルールの範囲が制限されます。ただし、SSGの「STIG」プロファイルは完全なDISA STIGを考慮し、イメージのコンプライアンスをより包括的に評価します。
Oracle-Linux-8.9-STIG (2024年1月)
情報は次のとおりです。
  • Oracle Linux-8.9-2024.01.25-STIG (x86_64用)
  • Oracle Linux-8.9-aarch64-2024.01.25-STIG (aarch64用)
イメージの情報
  • kernel-uek: 5.15.0-202.135.2.el8uek
  • Oracle Linux 8 Ver 1 Rel 8のDISA STIGに対してOracle Linux 8.9の最初のリリースが強化されました。
  • システム・パッケージが、入手可能な最新バージョンに更新されました。セキュリティ修正が含まれています。
  • 追加のSTIGルールの修正がイメージに適用されました。「チェックリストを使用した追加構成の表示」を参照してください。
  • /usr/share/xml/stigのチェックリスト・ファイル:
    • OL8_SSG_STIG_V1R8_CHECKLIST_RELEASE.ckl
    • OL8_DISA_BENCHMARK_V1R7_CHECKLIST_RELEASE.ckl
コンプライアンスの情報

ターゲット: Oracle Linux 8バージョン1リリース8用のDISA STIGに準拠したSSG「STIG」プロファイル

  • x86_64のチェックリスト・コンプライアンス・スコア: 67.50%
  • aarch64のチェックリスト・コンプライアンス・スコア: 67.40%

目標: Oracle Linux 8バージョン1リリース7ベンチマーク・プロファイル用のDISA STIG

  • x86_64のチェックリスト・コンプライアンス・スコア: 78.92%
  • aarch64のチェックリスト・コンプライアンス・スコア: 78.92%
ノート

DISA STIGベンチマークのコンプライアンス・スコアが高いほど、完全なDISA STIGと比較してルールの範囲が制限されます。ただし、SSGの「STIG」プロファイルは完全なDISA STIGを考慮し、イメージのコンプライアンスをより包括的に評価します。
Oracle-Linux-8.8-STIG (2023年7月)
情報は次のとおりです。
  • Oracle Linux-8.8-2023.07.06-STIG (x86_64用)
  • Oracle Linux-8.8-aarch64-2023.07.06-STIG (aarch64用)
イメージの情報
  • kernel-uek: 5.15.0-102.110.5.1.el8uek
  • Oracle Linux 8 Ver 1 Rel 6のDISA STIGに対してOracle Linux 8.8の最初のリリースが強化されました。
  • システム・パッケージが、入手可能な最新バージョンに更新されました。セキュリティ修正が含まれています。
  • 追加のSTIGルールの修正がイメージに適用されました。チェックリストを使用した追加構成の表示を参照してください。
  • /usr/share/xml/stigのチェックリスト・ファイル:
    • OL8_SSG_STIG_V1R6_CHECKLIST_RELEASE.ckl
    • OL8_DISA_BENCHMARK_V1R5_CHECKLIST_RELEASE.ckl
コンプライアンスの情報

ターゲット: Oracle Linux 8バージョン1リリース6用のDISA STIGに準拠するSSGのSTIGプロファイル

  • x86_64のチェックリスト・コンプライアンス・スコア: 64.81%
  • aarch64のチェックリスト・コンプライアンス・スコア: 64.54%

ターゲット: Oracle Linux 8バージョン1リリース5ベンチマーク・プロファイル用のDISA STIG

  • x86_64のチェックリスト・コンプライアンス・スコア: 78.92%
  • aarch64のチェックリスト・コンプライアンス・スコア: 78.92%
ノート

DISA STIGベンチマークのコンプライアンス・スコアが高いほど、完全なDISA STIGと比較してルールの範囲が制限されます。ただし、SSGの「STIG」プロファイルは完全なDISA STIGを考慮し、イメージのコンプライアンスをより包括的に評価します。
Oracle-Linux-8.7-STIG (2023年4月)
情報は次のとおりです。
  • Oracle Linux-8.7-2023.04.26-STIG (x86_64用)
  • Oracle Linux-8.7-aarch64-2023.04.26-STIG (aarch64用)
イメージの情報
  • kernel-uek: 5.15.0-100.96.32.el8uek
  • Oracle Linux 8 Ver 1 Rel 5のDISA STIGに対してOracle Linux 8.7の最初のリリースが強化されました。
  • システム・パッケージが、入手可能な最新バージョンに更新されました。セキュリティ修正が含まれています。
  • 追加のSTIGルールの修正がイメージに適用されました。「チェックリストを使用した追加構成の表示」を参照してください。
  • /usr/share/xml/stigのチェックリスト・ファイル:
    • OL8_SSG_STIG_V1R5_CHECKLIST_RELEASE.ckl
    • OL8_DISA_BENCHMARK_V1R4_CHECKLIST_RELEASE.ckl
コンプライアンスの情報

ターゲット: Oracle Linux 8バージョン1リリース5用のDISA STIGに準拠するSSGのSTIGプロファイル

  • x86_64のチェックリスト・コンプライアンス・スコア: 63.78%
  • aarch64のチェックリスト・コンプライアンス・スコア: 63.50%

目標: Oracle Linux 8バージョン1リリース4ベンチマーク・プロファイル用のDISA STIG

  • x86_64のチェックリスト・コンプライアンス・スコア: 79.25%
  • aarch64のチェックリスト・コンプライアンス・スコア: 79.25%
ノート

DISA STIGベンチマークのコンプライアンス・スコアが高いほど、完全なDISA STIGと比較してルールの範囲が制限されます。ただし、SSGの「STIG」プロファイルは完全なDISA STIGを考慮し、イメージのコンプライアンスをより包括的に評価します。

Oracle Linux 7 (拡張サポート)

Oracle-Linux-7.9-STIG 2025年2月

情報は次のとおりです。

  • Oracle Linux-7.9-2025.02.06-STIG (x86_64用)
  • Oracle Linux-7.9-aarch64-2025.02.06-STIG (aarch64用)
イメージの情報
  • kernel-uek: 5.4.17-2136.339.5.1.el7uek (x86_64)および5.4.17-2136.338.4.2 (aarch64)
  • システム・パッケージが、入手可能な最新バージョンに更新されました。セキュリティ修正が含まれています。
  • x86_64イメージに追加された拡張Linuxサポート(ELS) yumチャネルまたはリポジトリ。
  • コンプライアンス・ターゲットは、Oracle Linux 7バージョン3リリース1用のDISA STIGに準拠するSSGプロファイルです。
  • 最小SSGバージョン: scap-security-guide-0.1.73-1.0.3
  • 追加のSTIGルールの修正がイメージに適用されました。「チェックリストを使用した追加構成の表示」を参照してください。
  • /usr/share/xml/stigのチェックリスト・ファイル:
    • OL7_SSG_STIG_V3R1_CHECKLIST_RELEASE.ckl
    • OL7_DISA_BENCHMARK_V3R1_CHECKLIST_RELEASE.ckl
コンプライアンスの情報

ターゲット: Oracle Linux 7バージョン3リリース1用のDISA STIGに準拠するSSGのSTIGプロファイル

  • チェックリスト・コンプライアンス・スコア x86_64: 81.65%
  • チェックリスト・コンプライアンス・スコア aarch64: 81.65%

ターゲット: Oracle Linux 7バージョン3リリース1ベンチマーク・プロファイル用のDISA STIG

  • チェックリスト・コンプライアンス・スコア x86_64: 91.71%
  • チェックリスト・コンプライアンス・スコア aarch64: 91.71%
ノート

DISAのSTIG標準には、Oracle Linux 7 Ver 3、Rel 1およびOracle Linux 7 Ver 2、Rel 14の間の文言以外に大きな変更はありませんでした。このため、Oracle Linux 7 Ver 2、Rel 14に準拠しているシステムも、Oracle Linux 7 Ver 3、Rel 1に準拠しています。
ノート

DISA STIGベンチマークのコンプライアンス・スコアが高いほど、完全なDISA STIGと比較してルールの範囲が制限されます。ただし、SSGの「STIG」プロファイルは完全なDISA STIGを考慮し、イメージのコンプライアンスをより包括的に評価します。
Oracle-Linux-7.9-STIG 2024年5月

この情報は、次のとおりです。

  • Oracle Linux-7.9-2024.05.31-STIG (x86_64用)
  • Oracle Linux-7.9-aarch64-2024.05.31-STIG (aarch64用)
イメージの情報
  • kernel-uek: 5.4.17-2136.331.7.el7uek
  • システム・パッケージが、入手可能な最新バージョンに更新されました。セキュリティ修正が含まれています。
  • コンプライアンス・ターゲットは、Oracle Linux 7バージョン2リリース14用のDISA STIGに準拠するSSGプロファイルです。
  • SSGの最小バージョン: scap-security-guide-0.1.72-2.0.1
  • 追加のSTIGルールの修正がイメージに適用されました。チェックリストを使用した追加構成の表示を参照してください。
  • /usr/share/xml/stigのチェックリスト・ファイル:
    • OL7_SSG_STIG_V2R14_CHECKLIST_RELEASE.ckl
    • OL7_DISA_BENCHMARK_V1R14_CHECKLIST_RELEASE.ckl
コンプライアンスの情報

目標: Oracle Linux 7バージョン2リリース14用のDISA STIGに準拠するSSGのSTIGプロファイル

  • チェックリスト・コンプライアンス・スコア x86_64: 81.36%
  • チェックリスト・コンプライアンス・スコア aarch64: 81.36%

目標: Oracle Linux 7バージョン2リリース14ベンチマーク・プロファイル用のDISA STIG

  • チェックリスト・コンプライアンス・スコア x86_64: 91.77%
  • チェックリスト・コンプライアンス・スコア aarch64: 91.77%
ノート

DISAのSTIG標準には、Oracle Linux 7 Ver 2、Rel 13およびOracle Linux 7 Ver 2、Rel 14の間の文言以外に重要な変更はありませんでした。このため、Oracle Linux 7 Ver 2、Rel 13に準拠しているシステムも、Oracle Linux 7 Ver 2、Rel 14に準拠しています。
ノート

DISA STIGベンチマークのコンプライアンス・スコアが高いほど、完全なDISA STIGと比較して、ルールの範囲が制限されます。ただし、SSGの「STIG」プロファイルは完全なDISA STIGを考慮し、イメージのコンプライアンスをより包括的に評価します。
Oracle-Linux-7.9-STIG (2023年12月)

次の情報があります。

  • Oracle Linux-7.9-2023.11.30-STIG (x86_64用)
  • Oracle Linux-7.9-aarch64-2023.11.30-STIG (aarch64用)
イメージの情報
  • kernel-uek: 5.4.17-2136.325.5.1.el7uek
  • システム・パッケージが、入手可能な最新バージョンに更新されました。セキュリティ修正が含まれています。
  • コンプライアンス・ターゲットは、Oracle Linux 7バージョン2リリース13用のDISA STIGに準拠するSSGプロファイルです。
  • SSGの最小バージョン: scap-security-guide-0.1.69-1.0.1
  • 追加のSTIGルールの修復がイメージに適用されました。「チェックリストを使用した追加構成の表示」を参照してください。
  • /usr/share/xml/stigのチェックリスト・ファイル:
    • OL7_SSG_STIG_V2R13_CHECKLIST_RELEASE.ckl
    • OL7_DISA_BENCHMARK_V1R13_CHECKLIST_RELEASE.ckl
コンプライアンスの情報

目標: Oracle Linux 7バージョン2リリース13用のDISA STIGに準拠するSSGのSTIGプロファイル

  • チェックリスト・コンプライアンス・スコア x86_64: 81.36%
  • チェックリスト・コンプライアンス・スコア aarch64: 81.36%

目標: Oracle Linux 7バージョン2リリース13ベンチマーク・プロファイル用のDISA STIG

  • チェックリスト・コンプライアンス・スコア x86_64: 91.71%
  • チェックリスト・コンプライアンス・スコア aarch64: 91.71%
ノート

DISAのSTIG標準には、Oracle Linux 7 Ver 2、Rel 12およびOracle Linux 7 Ver 2、Rel 13の間の文言以外に重要な変更はありませんでした。このため、Oracle Linux 7 Ver 2、Rel 12に準拠しているシステムも、Oracle Linux 7 Ver 2、Rel 13に準拠しています。
ノート

DISA STIGベンチマークのコンプライアンス・スコアが高いほど、完全なDISA STIGと比較して、より限定されたルールの範囲が反映されます。しかし、SSGの「STIG」プロファイルは、完全なDISA STIGを説明し、画像のコンプライアンスをより包括的に評価します。
Oracle-Linux-7.9-STIG 2023年5月

次の情報が含まれます。

  • Oracle Linux-7.9-2023.05.31-STIG (x86_64用)
  • Oracle Linux-7.9-aarch64-2023.05.31-STIG (aarch64用)
イメージの情報
  • kernel-uek: 5.4.17-2136.319.1.3.el7uek
  • システム・パッケージが、入手可能な最新バージョンに更新されました。セキュリティ修正が含まれています。
  • Oracle Linux 7バージョン2リリース11用のDISA STIGに準拠するSSGプロファイルに移行されたコンプライアンス・ターゲット。
  • イメージに適用されるその他のSTIGルール修正は、「チェックリストを使用した追加構成の表示」を参照してください。
  • /usr/share/xml/stigのチェックリスト・ファイル:
    • OL7_SSG_STIG_V2R11_CHECKLIST_RELEASE.ckl
    • OL7_DISA_BENCHMARK_V1R11_CHECKLIST_RELEASE.ckl
コンプライアンスの情報

目標: Oracle Linux 7バージョン2リリース11用のDISA STIGに準拠するSSGのSTIGプロファイル

  • チェックリスト・コンプライアンス・スコア x86_64: 81.36%
  • チェックリスト・コンプライアンス・スコア aarch64: 81.36%

目標: Oracle Linux 7バージョン2リリース11ベンチマーク・プロファイル用のDISA STIG

  • チェックリスト・コンプライアンス・スコア x86_64: 91.71%
  • チェックリスト・コンプライアンス・スコア aarch64: 91.71%
ノート

DISA STIGベンチマークのコンプライアンス・スコアが高いほど、完全なDISA STIGと比較して、より限定されたルールの範囲が反映されます。しかし、SSGの「STIG」プロファイルは、完全なDISA STIGを説明し、画像のコンプライアンスをより包括的に評価します。

古い画像

Oracle-Linux-7.9-aarch64-2022.08.29-STIG
  • kernel-uek: 5.4.17-2136.310.7.1.el7uek.aarch64
  • システム・パッケージが、入手可能な最新バージョンに更新されました。セキュリティ修正が含まれています。
  • 追加のSTIGルールの修正がイメージに適用されました。「追加の修正」を参照してください。
  • DISA STIGベンチマーク、バージョン2リリース4からOracle Linux 7バージョン2リリース8用のDISA STIGに準拠するSSGプロファイルにコンプライアンスが移行されました。

コンプライアンス情報

  • 目標: Oracle Linux 7バージョン2リリース8用のDISA STIGに準拠するSSGプロファイル
  • OpenSCAPコンプライアンス・スコア: 80.83%
追加の改善

適切なセキュリティ構成を適用する手順は、DISAによって定められたセキュリティ・ルールごとに、Oracle Linux 7セキュリティ技術導入ガイドで説明されています。

  1. 次の表を確認し、修正した場合にインスタンスに対する潜在的な影響を理解していることを確認します。

  2. https://public.cyber.mil/stigs/downloads/から最新のSTIGをダウンロードするには、Oracle Linuxを検索してバージョンを選択します。

  3. DISA STIG Viewerツールは、https://public.cyber.mil/stigs/srg-stig-tools/からダウンロードします。
  4. ViewerでSTIGのxccdf.xmlファイルを開きます。

  5. 次の表の修正するルールごとに、次を実行します:

    1. ガイドでルールのSTIG-IDを探し、ルール、脆弱性、およびルールに準拠するためのステップが説明されている適切な項に移動します。

    2. 記載されている構成ステップを実行します。

次の表では、Oracle Linux STIGイメージに含まれていないガイダンスの領域(追加構成が必要)について説明し、インスタンスのデフォルトのOracle Cloud Infrastructureアカウントに影響する可能性のある追加構成を示しています。

自動化サポートがあるとマークされたルールには、ルール要件をチェックし、必要に応じて必要な修正を適用するための自動化が組み込まれています。自動化サポートがないルールは、ルール要件に対する自動化チェックがサポートされていないか、使用可能な修正スクリプトがないため、システム上でユーザーによる手動による確認が必要です。

STIG-ID

ルールの説明

自動化サポート

除外理由

OL07-00-010050 Oracle Linuxオペレーティング・システムは、コマンドライン・ユーザー・ログオンによるローカル・アクセスまたはリモート・アクセスをシステムに許可する前に、Standard Mandatory DoD Notice and Consent Bannerを表示する必要があります。 はい Standard Mandatory DoD Notice and Consent Agreementのユーザー同意が必要です。

OL07-00-010230

新規ユーザーのパスワードの最短存続期間を24時間/1日に制限するように、Oracle Linuxオペレーティング・システムを構成する必要があります。

はい

Oracle Cloud Infrastructureインスタンスのアクセス用に構成されたデフォルトのOPCユーザー・ログイン・アカウントに影響します。

OL07-00-010240

パスワードの最短存続期間を24時間/1日に制限するように、Oracle Linuxオペレーティング・システムを構成する必要があります。

はい

Oracle Cloud Infrastructureインスタンスのアクセス用に構成されたデフォルトのOPCユーザー・ログイン・アカウントに影響します。

OL07-00-010250

新規ユーザーのパスワードの最長存続期間を60日に制限するように、Oracle Linuxオペレーティング・システムを構成する必要があります。

はい

Oracle Cloud Infrastructureインスタンスのアクセス用に構成されたデフォルトのOPCユーザー・ログイン・アカウントに影響します。

OL07-00-010260 1

既存パスワードの最長存続期間を60日に制限するように、Oracle Linuxオペレーティング・システムを構成する必要があります。

いいえ

Oracle Cloud Infrastructureインスタンスのアクセス用に構成されたデフォルトのOPCユーザー・ログイン・アカウントに影響します。同様に、PAMパスワードの存続期間ルールはSSHキーに影響します。

重要なOCIへの影響: 既存のパスワードの存続期間を最大60日に制限すると、アカウントのパスワードがない場合の設定の結果として、60日後にはOPCアカウントがロックされて回復不可能になることがあります。
OL07-00-010320 Oracle Linuxオペレーティング・システムは、15分の時間枠内に3つのログオン試行が失敗した後、少なくとも15分間アカウントをロックするように構成する必要があります。 はい Oracle Cloud Infrastructureインスタンスのアクセス用に構成されたデフォルトのOPCユーザー・ログイン・アカウントに影響します。
OL07-00-010330 Oracle Linuxオペレーティング・システムは、15分以内に3回のルート・ログオン試行が失敗した後、関連するアカウントをロックする必要があります。 はい Oracle Cloud Infrastructureインスタンスのアクセス用に構成されたデフォルトのOPCユーザー・ログイン・アカウントに影響します。

OL07-00-010340

ユーザーが特権エスカレーションのパスワードを指定しなければならないように、Oracle Linuxオペレーティング・システムを構成する必要があります。

はい

Oracle Cloud Infrastructureデフォルト・スキーマに応じて、NOPASSWDがOPCに設定されます。

OL07-00-010342

Oracle Linuxオペレーティング・システムは、sudoコマンドを使用するときに、特権エスカレーションのために呼出し元ユーザーのパスワードを使用する必要があります。

はい

デフォルトのOPCログイン・アカウントに影響します。

OL07-00-010491 1

Oracle Linuxオペレーティング・システム・バージョン7.2以降では、Unified Extensible Firmware Interface (UEFI)を使用するため、単一ユーザー・モードおよびメンテナンス・モードへの起動時に認証が必要です。

いいえ

デフォルト・イメージでは使用できないGRUB 2パスワードが必要です。

重要なOCIへの影響: GRUB 2パスワードを実装すると、インスタンスの起動時にパスワード・プロンプトが表示されます。
OL07-00-010492 Unified Extensible Firmware Interface (UEFI)で起動されたOracle Linuxオペレーティング・システム・バージョン7.2以降では、単一ユーザー・モードおよびメンテナンスへの起動時にgrubスーパーユーザー・アカウントの一意の名前が必要です。 いいえ デフォルトのスーパーユーザー名の変更が必要です。grubスーパーユーザーの起動に影響します。
OL07-00-010500 Oracle Linuxオペレーティング・システムは、マルチファクタ認証を使用して、組織ユーザー(または組織ユーザーのかわりに動作するプロセス)を一意に識別し、認証する必要があります。 はい マルチファクタ認証は、デフォルトのOracle Cloud Infrastructureイメージでは構成されていません。
OL07-00-020019 Oracle Linuxオペレーティング・システムは、Linux脅威防止ツールのエンドポイント・セキュリティを実装する必要があります。 いいえ Oracle Linuxには、ウィルス・スキャン・ソフトウェアは付属していません。ユーザー構成が必要です。
OL07-00-020020 Oracle Linuxオペレーティング・システムは、非特権ユーザーが特権機能(実装されたセキュリティ保護/対抗策の無効化、回避または変更を含む)を実行できないようにする必要があります。 いいえ ユーザーのISSOから認可ユーザーの特定のリストを取得する必要があります。

OL07-00-020021

Oracle Linuxオペレーティング・システムは、SELinuxユーザーを、最小限の権限に準拠したロールに限定する必要があります。

 いいえ SELinuxロール・マッピングの準拠状態を判断するには、ユーザーのSA/ISSOによる確認が必要です。

OL07-00-020023

Oracle Linuxオペレーティング・システムは、管理者がsudoコマンドをコールするときにSELinuxコンテキストを昇格する必要があります。

 いいえ

Oracle Cloud Infrastructureインスタンスのアクセス用に構成されたデフォルトのOPCユーザー・ログイン・アカウントに影響します。

OL07-00-020030

ファイル整合性ツールがベースライン・オペレーティング・システム構成を少なくとも週に1回検証するように、Oracle Linuxオペレーティング・システムを構成する必要があります。

はい

AIDEまたは他の侵入検出システムをターゲット・イメージに構成することが求められます。

OL07-00-020040 ベースライン構成が不正に変更された場合に指定された担当者に通知されるように、Oracle Linuxオペレーティング・システムを構成する必要があります。 はい 構成の前にAIDE検出システムをインストールする必要があります。
OL07-00-020270 Oracle Linuxオペレーティング・システムに不要なアカウントが含まれないようにする必要があります。 いいえ ユーザーのISSOから認可システム・アカウントの特定のリストを取得する必要があります

OL07-00-020680

ローカルの対話型ユーザー・ホーム・ディレクトリに含まれるすべてのファイルおよびディレクトリが750以下の許可モードになるように、Oracle Linuxオペレーティング・システムを構成する必要があります。

 いいえ

ファイル・アクセス権をシステム・サービスに制限します。

OL07-00-020720

すべてのローカルの対話型ユーザー初期化実行可能ファイルの検索パスに、ユーザーのホーム・ディレクトリに解決されるパスのみが含まれるように、Oracle Linuxオペレーティング・システムを構成する必要があります。

 いいえ

ユーザー・バイナリおよびユーティリティへのアクセスに影響します。
OL07-00-021000 ユーザーのホーム・ディレクトリを含むファイル・システムがマウントされてsetuidおよびsetgid bitが設定されたファイルが実行されないように、Oracle Linuxオペレーティング・システムを構成する必要があります。 はい ホーム・ディレクトリ内のバイナリ・ファイルを実行するためのユーザー・アクセスに影響します。
OL07-00-021300 Oracle Linuxオペレーティング・システムは、必要でないかぎり、カーネル・コア・ダンプを無効にする必要があります。 はい Kdumpサービスは、システム生成のカーネルがクラッシュした場合の診断のために必要です。

OL07-00-021350 1

Oracle Linuxオペレーティング・システムは、デジタル署名のプロビジョニング、暗号化ハッシュの生成、該当する連邦法、大統領命令、指令、方針、規制、標準に従って保存時保護が必要なデータの保護の目的で、NIST FIPS検証済暗号化を実装する必要があります。

いいえ

レスキュー・カーネル・コマンドラインでのfips=1パラメータの除外。

重要なOCIへの影響: レスキュー・カーネルのcmdlineにfips=1を追加すると、インスタンスが致命的なエラーで起動できなくなる可能性があります。
OL07-00-021600 アクセス制御リスト(ACL)を検証するためにファイル整合性ツールが構成されるように、Oracle Linuxオペレーティング・システムを構成する必要があります。 はい 構成の前にAIDE検出システムをインストールする必要があります。
OL07-00-021610 拡張属性を検証するためにファイル整合性ツールが構成されるように、Oracle Linuxオペレーティング・システムを構成する必要があります。 はい 構成の前にAIDE検出システムをインストールする必要があります。
OL07-00-021620 Oracle Linuxオペレーティング・システムでは、ファイルの内容およびディレクトリを検証するためにFIPS 140-2で承認された暗号化ハッシュを使用するように構成されたファイル整合性ツールを使用する必要があります。 はい 構成の前にAIDE検出システムをインストールする必要があります。

OL07-00-030010 1

可用性が最優先事項でないかぎり、監査処理が失敗したときにOracle Linuxオペレーティング・システムをシャットダウンする必要があります。可用性が重要な場合は、監査処理の失敗が発生したときに、指定されたスタッフ(少なくともシステム管理者(SA)および情報システム・セキュリティ担当者(ISSO))にシステムが警告する必要があります。

はい

failureパラメータのデフォルト設定は1です。この場合、インスタンスがシャットダウンされるのではなく、失敗に関する情報がカーネル・ログに送られるだけです。

重要なOCIへの影響: failureパラメータを2に設定すると、監査処理が失敗したときに、システム・パニックとシャットダウンが発生します。

OL07-00-030201

監査ログを監査対象システムから別のシステムまたはストレージ・メディアにオフロードするように、Oracle Linuxオペレーティング・システムを構成する必要があります。

 いいえ

au-remoteプラグイン構成では、リモート・サーバーの詳細が推定されます。

OL07-00-030300

Oracle Linuxオペレーティング・システムは、監査レコードを監査対象システムから別のシステムまたはメディアにオフロードする必要があります。

はい

au-remoteプラグイン構成では、リモート・サーバーの詳細が推定されます。

OL07-00-030310

Oracle Linuxオペレーティング・システムは、監査対象のシステムから別のシステムまたはメディアにオフロードされる監査レコードの転送を暗号化する必要があります。

はい

au-remoteプラグイン構成では、リモート・サーバーの詳細が推定されます。

OL07-00-030320

監査ストレージ・ボリュームがいっぱいになったときに監査システムが適切なアクションを実行するように、Oracle Linuxオペレーティング・システムを構成する必要があります。

いいえ

au-remoteプラグイン構成では、リモート・サーバーの詳細が推定されます。

OL07-00-030321

監査レコードをリモート・システムに送る際にエラーが発生したときに監査システムが適切なアクションを実行するように、Oracle Linuxオペレーティング・システムを構成する必要があります。

いいえ

au-remoteプラグイン構成では、リモート・サーバーの詳細が推定されます。

OL07-00-031000 Oracle Linuxオペレーティング・システムは、rsyslog出力をログ集計サーバーに送信する必要があります。 はい rsyslog情報を送信するためのリモート・サーバーが必要です。
OL07-00-032000 Oracle Linuxオペレーティング・システムは、ウィルス・スキャン・プログラムを使用する必要があります。 いいえ Oracle Linuxには、ウィルス・スキャン・ソフトウェアは付属していません。ユーザー構成が必要です。
OL07-00-040100 Ports, Protocols, and Services Management Component Local Service Assessment (PPSM CLSA)および脆弱性評価の定義に従って、機能、ポート、プロトコルまたはサービスの使用を禁止または制限するように、Oracle Linuxオペレーティングシステムを構成する必要があります。 いいえ ユーザーのPPSM CLSAによって定義されたポート、プロトコルまたはサービスの確認が必要です。
OL07-00-040160 ドキュメント化され検証されたミッション要件を満たす場合を除き、通信セッションに関連付けられたすべてのネットワーク接続が、セッションの最後またはコマンド・プロンプトでユーザーが非アクティブになってから15分後に終了するように、Oracle Linuxオペレーティング・システムを構成する必要があります。 はい ユーザー・ワークロードが中断する可能性があります。
OL07-00-040170 Oracle Linuxオペレーティング・システムは、リモート・アクセス・ログオン・プロンプトの直前に(またはその一部として)、Standard Mandatory DoD Notice and Consent Bannerを表示する必要があります。 はい Standard Mandatory DoD Notice and Consent Agreementのユーザー同意が必要です。

OL07-00-040420

SSH秘密ホスト・キー・ファイルが0600以下の許可モードになるように、Oracle Linuxオペレーティング・システムを構成する必要があります。

 はい システム・サービスによって生成されたSSH秘密ホスト・キーのデフォルト権限を変更します。

OL07-00-040600

Oracle Linuxオペレーティング・システムには、DNS解決を使用する2つ以上のネーム・サーバーを構成する必要があります。

いいえ

Oracle Cloud Infrastructureは、可用性の高いDNSサーバーを提供します。

OL07-00-040710 1

ドキュメント化され検証されたミッション要件を満たす場合を除き、リモートX接続が無効になるように、Oracle Linuxオペレーティング・システムを構成する必要があります

はい

インスタンスのシリアル・コンソール接続に影響します。

重要なOCIへの影響: リモートX接続を無効化すると、OCIインスタンスのシリアル・コンソールに接続できなくなる可能性があります。
OL07-00-040711 Oracle Linuxオペレーティング・システムのSSHデーモンは、リモート・ホストがプロキシ表示に接続できないようにする必要があります。 はい Oracle Cloud Infrastructureインスタンスへのユーザー・アクセスに影響します。

OL07-00-040810

特定のホストおよびサービスへのシステム・アクセスを許可または拒否するように、Oracle Linuxオペレーティングシステムのアクセス制御プログラムを構成する必要があります。

 いいえ 特定のホストおよびサービス・アクセスの確認が必要です。ユーザーの権限付与ポリシーでアクセスが許可されている必要があります。

OL07-00-040820

Oracle Linuxオペレーティング・システムには、認可されていないIPトンネルを構成しないようにする必要があります。

 いいえ 認可されたIPSecトンネル接続であるかどうかを判断するには、ユーザーのSA/ISSOによる確認が必要です。

OL07-00-041002

Oracle Linuxオペレーティング・システムは、プラガブル認証モジュール(PAM)を介した特権アカウントへのアクセスに対してマルチファクタ認証を実装する必要があります。

いいえ

マルチファクタ認証は、デフォルトのOracle Cloud Infrastructureイメージでは構成されていません。

OL07-00-041003

Oracle Linuxオペレーティング・システムは、PKI認証用の証明書ステータス・チェックを実装する必要があります。

はい

PKI認証用の証明書ステータス・チェックは、デフォルトのOracle Cloud Infrastructureイメージでは構成されていません。

1これらのルールを修正すると、システムのアクセシビリティに重大な影響を与える可能性があります。

変更履歴

STIG-ID

ルールの説明

除外理由

ステータス コメント
OL07-00-010050 Oracle Linuxオペレーティング・システムは、コマンドライン・ユーザー・ログオンによるローカル・アクセスまたはリモート・アクセスをシステムに許可する前に、Standard Mandatory DoD Notice and Consent Bannerを表示する必要があります。 Standard Mandatory DoD Notice and Consent Agreementのユーザー同意が必要です。 追加 V2R8の除外リストに追加されました
OL07-00-010320 Oracle Linuxオペレーティング・システムは、15分の時間枠内に3つのログオン試行が失敗した後、少なくとも15分間アカウントをロックするように構成する必要があります。 Oracle Cloud Infrastructureインスタンスのアクセス用に構成されたデフォルトのOPCユーザー・ログイン・アカウントに影響します。 追加 V2R8の除外リストに追加されました
OL07-00-010330 Oracle Linuxオペレーティング・システムは、15分以内に3回のルート・ログオン試行が失敗した後、関連するアカウントをロックする必要があります。 Oracle Cloud Infrastructureインスタンスのアクセス用に構成されたデフォルトのOPCユーザー・ログイン・アカウントに影響します。 追加 V2R8の除外リストに追加されました
OL07-00-010492 Unified Extensible Firmware Interface (UEFI)で起動されたOracle Linuxオペレーティング・システム・バージョン7.2以降では、単一ユーザー・モードおよびメンテナンスへの起動時にgrubスーパーユーザー・アカウントの一意の名前が必要です。 デフォルトのスーパーユーザー名の変更が必要です。grubスーパーユーザーの起動に影響します。 追加 V2R8の除外リストに追加されました
OL07-00-010500 Oracle Linuxオペレーティング・システムは、マルチファクタ認証を使用して、組織ユーザー(または組織ユーザーのかわりに動作するプロセス)を一意に識別し、認証する必要があります。 マルチファクタ認証は、デフォルトのOracle Cloud Infrastructureイメージでは構成されていません。 追加 V2R8の除外リストに追加されました
OL07-00-020019 Oracle Linuxオペレーティング・システムは、Linux脅威防止ツールのエンドポイント・セキュリティを実装する必要があります。 Oracle Linuxには、ウィルス・スキャン・ソフトウェアは付属していません。ユーザー構成が必要です。 追加 V2R8の除外リストに追加されました
OL07-00-020020 Oracle Linuxオペレーティング・システムは、非特権ユーザーが特権機能(実装されたセキュリティ保護/対抗策の無効化、回避または変更を含む)を実行できないようにする必要があります。 ユーザーのISSOから認可ユーザーの特定のリストを取得する必要があります。 追加 V2R8の除外リストに追加されました

OL07-00-020021

Oracle Linuxオペレーティング・システムは、SELinuxユーザーを、最小限の権限に準拠したロールに限定する必要があります。

 SELinuxロール・マッピングの準拠状態を判断するには、ユーザーのSA/ISSOによる確認が必要です。 追加 V2R8の除外リストに追加されました

OL07-00-020023

Oracle Linuxオペレーティング・システムは、管理者がsudoコマンドをコールするときにSELinuxコンテキストを昇格する必要があります。

Oracle Cloud Infrastructureインスタンスのアクセス用に構成されたデフォルトのOPCユーザー・ログイン・アカウントに影響します。

 追加 V2R8の除外リストに追加されました
OL07-00-020040 ベースライン構成が不正に変更された場合に指定された担当者に通知されるように、Oracle Linuxオペレーティング・システムを構成する必要があります。 構成の前にAIDE検出システムをインストールする必要があります。 追加 V2R8の除外リストに追加されました
OL07-00-020270 Oracle Linuxオペレーティング・システムに不要なアカウントが含まれないようにする必要があります。 ユーザーのISSOから認可システム・アカウントの特定のリストを取得する必要があります 追加 V2R8の除外リストに追加されました

OL07-00-020680

ローカルの対話型ユーザー・ホーム・ディレクトリに含まれるすべてのファイルおよびディレクトリが750以下の許可モードになるように、Oracle Linuxオペレーティング・システムを構成する必要があります。

ファイル・アクセス権をシステム・サービスに制限します。

追加 V2R8の除外リストに追加されました

OL07-00-020720

すべてのローカルの対話型ユーザー初期化実行可能ファイルの検索パスに、ユーザーのホーム・ディレクトリに解決されるパスのみが含まれるように、Oracle Linuxオペレーティング・システムを構成する必要があります。

ユーザー・バイナリおよびユーティリティへのアクセスに影響します。

 追加 V2R8の除外リストに追加されました
OL07-00-021000 ユーザーのホーム・ディレクトリを含むファイル・システムがマウントされてsetuidおよびsetgid bitが設定されたファイルが実行されないように、Oracle Linuxオペレーティング・システムを構成する必要があります。 ホーム・ディレクトリ内のバイナリ・ファイルを実行するためのユーザー・アクセスに影響します。 追加 V2R8の除外リストに追加されました
OL07-00-021300 Oracle Linuxオペレーティング・システムは、必要でないかぎり、カーネル・コア・ダンプを無効にする必要があります。 Kdumpサービスは、システム生成のカーネルがクラッシュした場合の診断のために必要です。 追加 V2R8の除外リストに追加されました
OL07-00-021600 アクセス制御リスト(ACL)を検証するためにファイル整合性ツールが構成されるように、Oracle Linuxオペレーティング・システムを構成する必要があります。 構成の前にAIDE検出システムをインストールする必要があります。 追加 V2R8の除外リストに追加されました
OL07-00-021610 拡張属性を検証するためにファイル整合性ツールが構成されるように、Oracle Linuxオペレーティング・システムを構成する必要があります。 構成の前にAIDE検出システムをインストールする必要があります。 追加 V2R8の除外リストに追加されました
OL07-00-021620 Oracle Linuxオペレーティング・システムでは、ファイルの内容およびディレクトリを検証するためにFIPS 140-2で承認された暗号化ハッシュを使用するように構成されたファイル整合性ツールを使用する必要があります。 構成の前にAIDE検出システムをインストールする必要があります。 追加 V2R8の除外リストに追加されました
OL07-00-031000 Oracle Linuxオペレーティング・システムは、rsyslog出力をログ集計サーバーに送信する必要があります。 rsyslog情報を送信するためのリモート・サーバーが必要です。 追加 V2R8の除外リストに追加されました
OL07-00-032000 Oracle Linuxオペレーティング・システムは、ウィルス・スキャン・プログラムを使用する必要があります。 Oracle Linuxには、ウィルス・スキャン・ソフトウェアは付属していません。ユーザー構成が必要です。 追加 V2R8の除外リストに追加されました
OL07-00-040100 Ports, Protocols, and Services Management Component Local Service Assessment (PPSM CLSA)および脆弱性評価の定義に従って、機能、ポート、プロトコルまたはサービスの使用を禁止または制限するように、Oracle Linuxオペレーティングシステムを構成する必要があります。 ユーザーのPPSM CLSAによって定義されたポート、プロトコルまたはサービスの確認が必要です。 追加 V2R8の除外リストに追加されました
OL07-00-040160 ドキュメント化され検証されたミッション要件を満たす場合を除き、通信セッションに関連付けられたすべてのネットワーク接続が、セッションの最後またはコマンド・プロンプトでユーザーが非アクティブになってから15分後に終了するように、Oracle Linuxオペレーティング・システムを構成する必要があります。 ユーザー・ワークロードが中断する可能性があります。 追加 V2R8の除外リストに追加されました
OL07-00-040170 Oracle Linuxオペレーティング・システムは、リモート・アクセス・ログオン・プロンプトの直前に(またはその一部として)、Standard Mandatory DoD Notice and Consent Bannerを表示する必要があります。 Standard Mandatory DoD Notice and Consent Agreementのユーザー同意が必要です。 追加 V2R8の除外リストに追加されました

OL07-00-040420

SSH秘密ホスト・キー・ファイルが0600以下の許可モードになるように、Oracle Linuxオペレーティング・システムを構成する必要があります。

 システム・サービスによって生成されたSSH秘密ホスト・キーのデフォルト権限を変更します。 追加 V2R8の除外リストに追加されました
OL07-00-040711 Oracle Linuxオペレーティング・システムのSSHデーモンは、リモート・ホストがプロキシ表示に接続できないようにする必要があります。 Oracle Cloud Infrastructureインスタンスへのユーザー・アクセスに影響します。 追加 V2R8の除外リストに追加されました

OL07-00-040810

特定のホストおよびサービスへのシステム・アクセスを許可または拒否するように、Oracle Linuxオペレーティングシステムのアクセス制御プログラムを構成する必要があります。

 特定のホストおよびサービス・アクセスの確認が必要です。ユーザーの権限付与ポリシーでアクセスが許可されている必要があります。 追加 V2R8の除外リストに追加されました

OL07-00-040820

Oracle Linuxオペレーティング・システムには、認可されていないIPトンネルを構成しないようにする必要があります。

 認可されたIPSecトンネル接続であるかどうかを判断するには、ユーザーのSA/ISSOによる確認が必要です。 追加 V2R8の除外リストに追加されました
Oracle-Linux-7.9-aarch64-2021.10.08-STIG

Oracle Linux STIGイメージOracle-Linux-7.9-aarch64-2021.10.08-STIGは、2021年12月16日にリリースされました。

イメージ情報

  • 5.4.17-2102.205.7.3.el7uek.aarch64 UEK R6カーネル・バージョン。

  • Armアーキテクチャ(aarch64)に基づくOracle Linux STIGイメージの最初のリリース。

  • セキュリティ修正が含まれるOracle Linux 7.9システム・パッケージの最新バージョン。

コンプライアンス情報

  • 目標: Oracle Linux 7 DISA STIGベンチマーク、バージョン2リリース4。

  • OpenSCAPコンプライアンス・スコア: 89.44%。

Oracle-Linux-7.9-2022.08.29-STIG

イメージ情報

  • kernel-uek: 5.4.17-2136.310.7.1.el7uek.x86_64
  • システム・パッケージが、入手可能な最新バージョンに更新されました。セキュリティ修正が含まれています。
  • 追加のSTIGルールの修正がイメージに適用されました。「追加の修正」を参照してください。
  • DISA STIGベンチマーク、バージョン2リリース4からOracle Linux 7バージョン2リリース8用のDISA STIGに準拠するSSGプロファイルにコンプライアンスが移行されました。

コンプライアンス情報

  • 目標: Oracle Linux 7バージョン2リリース8用のDISA STIGに準拠するSSGプロファイル
  • OpenSCAPコンプライアンス・スコア: 80.76%
  • SCCコンプライアンス・スコア: 80.77%
追加の改善

適切なセキュリティ構成を適用する手順は、DISAによって定められたセキュリティ・ルールごとに、Oracle Linux 7セキュリティ技術導入ガイドで説明されています。

  1. 次の表を確認し、修正した場合にインスタンスに対する潜在的な影響を理解していることを確認します。

  2. https://public.cyber.mil/stigs/downloads/から最新のSTIGをダウンロードするには、Oracle Linuxを検索してバージョンを選択します。

  3. DISA STIG Viewerツールは、https://public.cyber.mil/stigs/srg-stig-tools/からダウンロードします。
  4. ViewerでSTIGのxccdf.xmlファイルを開きます。

  5. 次の表の修正するルールごとに、次を実行します:

    1. ガイドでルールのSTIG-IDを探し、ルール、脆弱性、およびルールに準拠するためのステップが説明されている適切な項に移動します。

    2. 記載されている構成ステップを実行します。

次の表では、Oracle Linux STIGイメージに含まれていないガイダンスの領域(追加構成が必要)について説明し、インスタンスのデフォルトのOracle Cloud Infrastructureアカウントに影響する可能性のある追加構成を示しています。

自動化サポートがあるとマークされたルールには、ルール要件をチェックし、必要に応じて必要な修正を適用するための自動化が組み込まれています。自動化サポートがないルールは、ルール要件に対する自動化チェックがサポートされていないか、使用可能な修正スクリプトがないため、システム上でユーザーによる手動による確認が必要です。

STIG-ID

ルールの説明

自動化サポート

除外理由

OL07-00-010050 Oracle Linuxオペレーティング・システムは、コマンドライン・ユーザー・ログオンによるローカル・アクセスまたはリモート・アクセスをシステムに許可する前に、Standard Mandatory DoD Notice and Consent Bannerを表示する必要があります。 はい Standard Mandatory DoD Notice and Consent Agreementのユーザー同意が必要です。

OL07-00-010230

新規ユーザーのパスワードの最短存続期間を24時間/1日に制限するように、Oracle Linuxオペレーティング・システムを構成する必要があります。

はい

Oracle Cloud Infrastructureインスタンスのアクセス用に構成されたデフォルトのOPCユーザー・ログイン・アカウントに影響します。

OL07-00-010240

パスワードの最短存続期間を24時間/1日に制限するように、Oracle Linuxオペレーティング・システムを構成する必要があります。

はい

Oracle Cloud Infrastructureインスタンスのアクセス用に構成されたデフォルトのOPCユーザー・ログイン・アカウントに影響します。

OL07-00-010250

新規ユーザーのパスワードの最長存続期間を60日に制限するように、Oracle Linuxオペレーティング・システムを構成する必要があります。

はい

Oracle Cloud Infrastructureインスタンスのアクセス用に構成されたデフォルトのOPCユーザー・ログイン・アカウントに影響します。

OL07-00-010260 1

既存パスワードの最長存続期間を60日に制限するように、Oracle Linuxオペレーティング・システムを構成する必要があります。

いいえ

Oracle Cloud Infrastructureインスタンスのアクセス用に構成されたデフォルトのOPCユーザー・ログイン・アカウントに影響します。同様に、PAMパスワードの存続期間ルールはSSHキーに影響します。

重要なOCIへの影響: 既存のパスワードの存続期間を最大60日に制限すると、アカウントのパスワードがない場合の設定の結果として、60日後にはOPCアカウントがロックされて回復不可能になることがあります。
OL07-00-010320 Oracle Linuxオペレーティング・システムは、15分の時間枠内に3つのログオン試行が失敗した後、少なくとも15分間アカウントをロックするように構成する必要があります。 はい Oracle Cloud Infrastructureインスタンスのアクセス用に構成されたデフォルトのOPCユーザー・ログイン・アカウントに影響します。
OL07-00-010330 Oracle Linuxオペレーティング・システムは、15分以内に3回のルート・ログオン試行が失敗した後、関連するアカウントをロックする必要があります。 はい Oracle Cloud Infrastructureインスタンスのアクセス用に構成されたデフォルトのOPCユーザー・ログイン・アカウントに影響します。

OL07-00-010340

ユーザーが特権エスカレーションのパスワードを指定しなければならないように、Oracle Linuxオペレーティング・システムを構成する必要があります。

はい

Oracle Cloud Infrastructureデフォルト・スキーマに応じて、NOPASSWDがOPCに設定されます。

OL07-00-010342

Oracle Linuxオペレーティング・システムは、sudoコマンドを使用するときに、特権エスカレーションのために呼出し元ユーザーのパスワードを使用する必要があります。

はい

デフォルトのOPCログイン・アカウントに影響します。

OL07-00-010491 1

Oracle Linuxオペレーティング・システム・バージョン7.2以降では、Unified Extensible Firmware Interface (UEFI)を使用するため、単一ユーザー・モードおよびメンテナンス・モードへの起動時に認証が必要です。

いいえ

デフォルト・イメージでは使用できないGRUB 2パスワードが必要です。

重要なOCIへの影響: GRUB 2パスワードを実装すると、インスタンスの起動時にパスワード・プロンプトが表示されます。
OL07-00-010492 Unified Extensible Firmware Interface (UEFI)で起動されたOracle Linuxオペレーティング・システム・バージョン7.2以降では、単一ユーザー・モードおよびメンテナンスへの起動時にgrubスーパーユーザー・アカウントの一意の名前が必要です。 いいえ デフォルトのスーパーユーザー名の変更が必要です。grubスーパーユーザーの起動に影響します。
OL07-00-010500 Oracle Linuxオペレーティング・システムは、マルチファクタ認証を使用して、組織ユーザー(または組織ユーザーのかわりに動作するプロセス)を一意に識別し、認証する必要があります。 はい マルチファクタ認証は、デフォルトのOracle Cloud Infrastructureイメージでは構成されていません。
OL07-00-020019 Oracle Linuxオペレーティング・システムは、Linux脅威防止ツールのエンドポイント・セキュリティを実装する必要があります。 いいえ Oracle Linuxには、ウィルス・スキャン・ソフトウェアは付属していません。ユーザー構成が必要です。
OL07-00-020020 Oracle Linuxオペレーティング・システムは、非特権ユーザーが特権機能(実装されたセキュリティ保護/対抗策の無効化、回避または変更を含む)を実行できないようにする必要があります。 いいえ ユーザーのISSOから認可ユーザーの特定のリストを取得する必要があります。

OL07-00-020021

Oracle Linuxオペレーティング・システムは、SELinuxユーザーを、最小限の権限に準拠したロールに限定する必要があります。

 いいえ SELinuxロール・マッピングの準拠状態を判断するには、ユーザーのSA/ISSOによる確認が必要です。

OL07-00-020023

Oracle Linuxオペレーティング・システムは、管理者がsudoコマンドをコールするときにSELinuxコンテキストを昇格する必要があります。

 いいえ

Oracle Cloud Infrastructureインスタンスのアクセス用に構成されたデフォルトのOPCユーザー・ログイン・アカウントに影響します。

OL07-00-020030

ファイル整合性ツールがベースライン・オペレーティング・システム構成を少なくとも週に1回検証するように、Oracle Linuxオペレーティング・システムを構成する必要があります。

はい

AIDEまたは他の侵入検出システムをターゲット・イメージに構成することが求められます。

OL07-00-020040 ベースライン構成が不正に変更された場合に指定された担当者に通知されるように、Oracle Linuxオペレーティング・システムを構成する必要があります。 はい 構成の前にAIDE検出システムをインストールする必要があります。
OL07-00-020270 Oracle Linuxオペレーティング・システムに不要なアカウントが含まれないようにする必要があります。 いいえ ユーザーのISSOから認可システム・アカウントの特定のリストを取得する必要があります

OL07-00-020680

ローカルの対話型ユーザー・ホーム・ディレクトリに含まれるすべてのファイルおよびディレクトリが750以下の許可モードになるように、Oracle Linuxオペレーティング・システムを構成する必要があります。

 いいえ

ファイル・アクセス権をシステム・サービスに制限します。

OL07-00-020720

すべてのローカルの対話型ユーザー初期化実行可能ファイルの検索パスに、ユーザーのホーム・ディレクトリに解決されるパスのみが含まれるように、Oracle Linuxオペレーティング・システムを構成する必要があります。

 いいえ

ユーザー・バイナリおよびユーティリティへのアクセスに影響します。
OL07-00-021000 ユーザーのホーム・ディレクトリを含むファイル・システムがマウントされてsetuidおよびsetgid bitが設定されたファイルが実行されないように、Oracle Linuxオペレーティング・システムを構成する必要があります。 はい ホーム・ディレクトリ内のバイナリ・ファイルを実行するためのユーザー・アクセスに影響します。
OL07-00-021300 Oracle Linuxオペレーティング・システムは、必要でないかぎり、カーネル・コア・ダンプを無効にする必要があります。 はい Kdumpサービスは、システム生成のカーネルがクラッシュした場合の診断のために必要です。

OL07-00-021350 1

Oracle Linuxオペレーティング・システムは、デジタル署名のプロビジョニング、暗号化ハッシュの生成、該当する連邦法、大統領命令、指令、方針、規制、標準に従って保存時保護が必要なデータの保護の目的で、NIST FIPS検証済暗号化を実装する必要があります。

いいえ

レスキュー・カーネル・コマンドラインでのfips=1パラメータの除外。

重要なOCIへの影響: レスキュー・カーネルのcmdlineにfips=1を追加すると、インスタンスが致命的なエラーで起動できなくなる可能性があります。
OL07-00-021600 アクセス制御リスト(ACL)を検証するためにファイル整合性ツールが構成されるように、Oracle Linuxオペレーティング・システムを構成する必要があります。 はい 構成の前にAIDE検出システムをインストールする必要があります。
OL07-00-021610 拡張属性を検証するためにファイル整合性ツールが構成されるように、Oracle Linuxオペレーティング・システムを構成する必要があります。 はい 構成の前にAIDE検出システムをインストールする必要があります。
OL07-00-021620 Oracle Linuxオペレーティング・システムでは、ファイルの内容およびディレクトリを検証するためにFIPS 140-2で承認された暗号化ハッシュを使用するように構成されたファイル整合性ツールを使用する必要があります。 はい 構成の前にAIDE検出システムをインストールする必要があります。

OL07-00-030010 1

可用性が最優先事項でないかぎり、監査処理が失敗したときにOracle Linuxオペレーティング・システムをシャットダウンする必要があります。可用性が重要な場合は、監査処理の失敗が発生したときに、指定されたスタッフ(少なくともシステム管理者(SA)および情報システム・セキュリティ担当者(ISSO))にシステムが警告する必要があります。

はい

failureパラメータのデフォルト設定は1です。この場合、インスタンスがシャットダウンされるのではなく、失敗に関する情報がカーネル・ログに送られるだけです。

重要なOCIへの影響: failureパラメータを2に設定すると、監査処理が失敗したときに、システム・パニックとシャットダウンが発生します。

OL07-00-030201

監査ログを監査対象システムから別のシステムまたはストレージ・メディアにオフロードするように、Oracle Linuxオペレーティング・システムを構成する必要があります。

 いいえ

au-remoteプラグイン構成では、リモート・サーバーの詳細が推定されます。

OL07-00-030300

Oracle Linuxオペレーティング・システムは、監査レコードを監査対象システムから別のシステムまたはメディアにオフロードする必要があります。

はい

au-remoteプラグイン構成では、リモート・サーバーの詳細が推定されます。

OL07-00-030310

Oracle Linuxオペレーティング・システムは、監査対象のシステムから別のシステムまたはメディアにオフロードされる監査レコードの転送を暗号化する必要があります。

はい

au-remoteプラグイン構成では、リモート・サーバーの詳細が推定されます。

OL07-00-030320

監査ストレージ・ボリュームがいっぱいになったときに監査システムが適切なアクションを実行するように、Oracle Linuxオペレーティング・システムを構成する必要があります。

いいえ

au-remoteプラグイン構成では、リモート・サーバーの詳細が推定されます。

OL07-00-030321

監査レコードをリモート・システムに送る際にエラーが発生したときに監査システムが適切なアクションを実行するように、Oracle Linuxオペレーティング・システムを構成する必要があります。

いいえ

au-remoteプラグイン構成では、リモート・サーバーの詳細が推定されます。

OL07-00-031000 Oracle Linuxオペレーティング・システムは、rsyslog出力をログ集計サーバーに送信する必要があります。 はい rsyslog情報を送信するためのリモート・サーバーが必要です。
OL07-00-032000 Oracle Linuxオペレーティング・システムは、ウィルス・スキャン・プログラムを使用する必要があります。 いいえ Oracle Linuxには、ウィルス・スキャン・ソフトウェアは付属していません。ユーザー構成が必要です。
OL07-00-040100 Ports, Protocols, and Services Management Component Local Service Assessment (PPSM CLSA)および脆弱性評価の定義に従って、機能、ポート、プロトコルまたはサービスの使用を禁止または制限するように、Oracle Linuxオペレーティングシステムを構成する必要があります。 いいえ ユーザーのPPSM CLSAによって定義されたポート、プロトコルまたはサービスの確認が必要です。
OL07-00-040160 ドキュメント化され検証されたミッション要件を満たす場合を除き、通信セッションに関連付けられたすべてのネットワーク接続が、セッションの最後またはコマンド・プロンプトでユーザーが非アクティブになってから15分後に終了するように、Oracle Linuxオペレーティング・システムを構成する必要があります。 はい ユーザー・ワークロードが中断する可能性があります。
OL07-00-040170 Oracle Linuxオペレーティング・システムは、リモート・アクセス・ログオン・プロンプトの直前に(またはその一部として)、Standard Mandatory DoD Notice and Consent Bannerを表示する必要があります。 はい Standard Mandatory DoD Notice and Consent Agreementのユーザー同意が必要です。

OL07-00-040420

SSH秘密ホスト・キー・ファイルが0600以下の許可モードになるように、Oracle Linuxオペレーティング・システムを構成する必要があります。

 はい システム・サービスによって生成されたSSH秘密ホスト・キーのデフォルト権限を変更します。

OL07-00-040600

Oracle Linuxオペレーティング・システムには、DNS解決を使用する2つ以上のネーム・サーバーを構成する必要があります。

いいえ

Oracle Cloud Infrastructureは、可用性の高いDNSサーバーを提供します。

OL07-00-040710 1

ドキュメント化され検証されたミッション要件を満たす場合を除き、リモートX接続が無効になるように、Oracle Linuxオペレーティング・システムを構成する必要があります

はい

インスタンスのシリアル・コンソール接続に影響します。

重要なOCIへの影響: リモートX接続を無効化すると、OCIインスタンスのシリアル・コンソールに接続できなくなる可能性があります。
OL07-00-040711 Oracle Linuxオペレーティング・システムのSSHデーモンは、リモート・ホストがプロキシ表示に接続できないようにする必要があります。 はい Oracle Cloud Infrastructureインスタンスへのユーザー・アクセスに影響します。

OL07-00-040810

特定のホストおよびサービスへのシステム・アクセスを許可または拒否するように、Oracle Linuxオペレーティングシステムのアクセス制御プログラムを構成する必要があります。

 いいえ 特定のホストおよびサービス・アクセスの確認が必要です。ユーザーの権限付与ポリシーでアクセスが許可されている必要があります。

OL07-00-040820

Oracle Linuxオペレーティング・システムには、認可されていないIPトンネルを構成しないようにする必要があります。

 いいえ 認可されたIPSecトンネル接続であるかどうかを判断するには、ユーザーのSA/ISSOによる確認が必要です。

OL07-00-041002

Oracle Linuxオペレーティング・システムは、プラガブル認証モジュール(PAM)を介した特権アカウントへのアクセスに対してマルチファクタ認証を実装する必要があります。

いいえ

マルチファクタ認証は、デフォルトのOracle Cloud Infrastructureイメージでは構成されていません。

OL07-00-041003

Oracle Linuxオペレーティング・システムは、PKI認証用の証明書ステータス・チェックを実装する必要があります。

はい

PKI認証用の証明書ステータス・チェックは、デフォルトのOracle Cloud Infrastructureイメージでは構成されていません。

1これらのルールを修正すると、システムのアクセシビリティに重大な影響を与える可能性があります。

変更履歴

STIG-ID

ルールの説明

除外理由

ステータス コメント
OL07-00-010050 Oracle Linuxオペレーティング・システムは、コマンドライン・ユーザー・ログオンによるローカル・アクセスまたはリモート・アクセスをシステムに許可する前に、Standard Mandatory DoD Notice and Consent Bannerを表示する必要があります。 Standard Mandatory DoD Notice and Consent Agreementのユーザー同意が必要です。 追加 V2R8の除外リストに追加されました
OL07-00-010320 Oracle Linuxオペレーティング・システムは、15分の時間枠内に3つのログオン試行が失敗した後、少なくとも15分間アカウントをロックするように構成する必要があります。 Oracle Cloud Infrastructureインスタンスのアクセス用に構成されたデフォルトのOPCユーザー・ログイン・アカウントに影響します。 追加 V2R8の除外リストに追加されました
OL07-00-010330 Oracle Linuxオペレーティング・システムは、15分以内に3回のルート・ログオン試行が失敗した後、関連するアカウントをロックする必要があります。 Oracle Cloud Infrastructureインスタンスのアクセス用に構成されたデフォルトのOPCユーザー・ログイン・アカウントに影響します。 追加 V2R8の除外リストに追加されました
OL07-00-010492 Unified Extensible Firmware Interface (UEFI)で起動されたOracle Linuxオペレーティング・システム・バージョン7.2以降では、単一ユーザー・モードおよびメンテナンスへの起動時にgrubスーパーユーザー・アカウントの一意の名前が必要です。 デフォルトのスーパーユーザー名の変更が必要です。grubスーパーユーザーの起動に影響します。 追加 V2R8の除外リストに追加されました
OL07-00-010500 Oracle Linuxオペレーティング・システムは、マルチファクタ認証を使用して、組織ユーザー(または組織ユーザーのかわりに動作するプロセス)を一意に識別し、認証する必要があります。 マルチファクタ認証は、デフォルトのOracle Cloud Infrastructureイメージでは構成されていません。 追加 V2R8の除外リストに追加されました
OL07-00-020019 Oracle Linuxオペレーティング・システムは、Linux脅威防止ツールのエンドポイント・セキュリティを実装する必要があります。 Oracle Linuxには、ウィルス・スキャン・ソフトウェアは付属していません。ユーザー構成が必要です。 追加 V2R8の除外リストに追加されました
OL07-00-020020 Oracle Linuxオペレーティング・システムは、非特権ユーザーが特権機能(実装されたセキュリティ保護/対抗策の無効化、回避または変更を含む)を実行できないようにする必要があります。 ユーザーのISSOから認可ユーザーの特定のリストを取得する必要があります。 追加 V2R8の除外リストに追加されました

OL07-00-020021

Oracle Linuxオペレーティング・システムは、SELinuxユーザーを、最小限の権限に準拠したロールに限定する必要があります。

 SELinuxロール・マッピングの準拠状態を判断するには、ユーザーのSA/ISSOによる確認が必要です。 追加 V2R8の除外リストに追加されました

OL07-00-020023

Oracle Linuxオペレーティング・システムは、管理者がsudoコマンドをコールするときにSELinuxコンテキストを昇格する必要があります。

Oracle Cloud Infrastructureインスタンスのアクセス用に構成されたデフォルトのOPCユーザー・ログイン・アカウントに影響します。

 追加 V2R8の除外リストに追加されました
OL07-00-020040 ベースライン構成が不正に変更された場合に指定された担当者に通知されるように、Oracle Linuxオペレーティング・システムを構成する必要があります。 構成の前にAIDE検出システムをインストールする必要があります。 追加 V2R8の除外リストに追加されました
OL07-00-020270 Oracle Linuxオペレーティング・システムに不要なアカウントが含まれないようにする必要があります。 ユーザーのISSOから認可システム・アカウントの特定のリストを取得する必要があります 追加 V2R8の除外リストに追加されました

OL07-00-020680

ローカルの対話型ユーザー・ホーム・ディレクトリに含まれるすべてのファイルおよびディレクトリが750以下の許可モードになるように、Oracle Linuxオペレーティング・システムを構成する必要があります。

ファイル・アクセス権をシステム・サービスに制限します。

追加 V2R8の除外リストに追加されました

OL07-00-020720

すべてのローカルの対話型ユーザー初期化実行可能ファイルの検索パスに、ユーザーのホーム・ディレクトリに解決されるパスのみが含まれるように、Oracle Linuxオペレーティング・システムを構成する必要があります。

ユーザー・バイナリおよびユーティリティへのアクセスに影響します。

 追加 V2R8の除外リストに追加されました
OL07-00-021000 ユーザーのホーム・ディレクトリを含むファイル・システムがマウントされてsetuidおよびsetgid bitが設定されたファイルが実行されないように、Oracle Linuxオペレーティング・システムを構成する必要があります。 ホーム・ディレクトリ内のバイナリ・ファイルを実行するためのユーザー・アクセスに影響します。 追加 V2R8の除外リストに追加されました
OL07-00-021300 Oracle Linuxオペレーティング・システムは、必要でないかぎり、カーネル・コア・ダンプを無効にする必要があります。 Kdumpサービスは、システム生成のカーネルがクラッシュした場合の診断のために必要です。 追加 V2R8の除外リストに追加されました
OL07-00-021600 アクセス制御リスト(ACL)を検証するためにファイル整合性ツールが構成されるように、Oracle Linuxオペレーティング・システムを構成する必要があります。 構成の前にAIDE検出システムをインストールする必要があります。 追加 V2R8の除外リストに追加されました
OL07-00-021610 拡張属性を検証するためにファイル整合性ツールが構成されるように、Oracle Linuxオペレーティング・システムを構成する必要があります。 構成の前にAIDE検出システムをインストールする必要があります。 追加 V2R8の除外リストに追加されました
OL07-00-021620 Oracle Linuxオペレーティング・システムでは、ファイルの内容およびディレクトリを検証するためにFIPS 140-2で承認された暗号化ハッシュを使用するように構成されたファイル整合性ツールを使用する必要があります。 構成の前にAIDE検出システムをインストールする必要があります。 追加 V2R8の除外リストに追加されました
OL07-00-031000 Oracle Linuxオペレーティング・システムは、rsyslog出力をログ集計サーバーに送信する必要があります。 rsyslog情報を送信するためのリモート・サーバーが必要です。 追加 V2R8の除外リストに追加されました
OL07-00-032000 Oracle Linuxオペレーティング・システムは、ウィルス・スキャン・プログラムを使用する必要があります。 Oracle Linuxには、ウィルス・スキャン・ソフトウェアは付属していません。ユーザー構成が必要です。 追加 V2R8の除外リストに追加されました
OL07-00-040100 Ports, Protocols, and Services Management Component Local Service Assessment (PPSM CLSA)および脆弱性評価の定義に従って、機能、ポート、プロトコルまたはサービスの使用を禁止または制限するように、Oracle Linuxオペレーティングシステムを構成する必要があります。 ユーザーのPPSM CLSAによって定義されたポート、プロトコルまたはサービスの確認が必要です。 追加 V2R8の除外リストに追加されました
OL07-00-040160 ドキュメント化され検証されたミッション要件を満たす場合を除き、通信セッションに関連付けられたすべてのネットワーク接続が、セッションの最後またはコマンド・プロンプトでユーザーが非アクティブになってから15分後に終了するように、Oracle Linuxオペレーティング・システムを構成する必要があります。 ユーザー・ワークロードが中断する可能性があります。 追加 V2R8の除外リストに追加されました
OL07-00-040170 Oracle Linuxオペレーティング・システムは、リモート・アクセス・ログオン・プロンプトの直前に(またはその一部として)、Standard Mandatory DoD Notice and Consent Bannerを表示する必要があります。 Standard Mandatory DoD Notice and Consent Agreementのユーザー同意が必要です。 追加 V2R8の除外リストに追加されました

OL07-00-040420

SSH秘密ホスト・キー・ファイルが0600以下の許可モードになるように、Oracle Linuxオペレーティング・システムを構成する必要があります。

 システム・サービスによって生成されたSSH秘密ホスト・キーのデフォルト権限を変更します。 追加 V2R8の除外リストに追加されました
OL07-00-040711 Oracle Linuxオペレーティング・システムのSSHデーモンは、リモート・ホストがプロキシ表示に接続できないようにする必要があります。 Oracle Cloud Infrastructureインスタンスへのユーザー・アクセスに影響します。 追加 V2R8の除外リストに追加されました

OL07-00-040810

特定のホストおよびサービスへのシステム・アクセスを許可または拒否するように、Oracle Linuxオペレーティングシステムのアクセス制御プログラムを構成する必要があります。

 特定のホストおよびサービス・アクセスの確認が必要です。ユーザーの権限付与ポリシーでアクセスが許可されている必要があります。 追加 V2R8の除外リストに追加されました

OL07-00-040820

Oracle Linuxオペレーティング・システムには、認可されていないIPトンネルを構成しないようにする必要があります。

 認可されたIPSecトンネル接続であるかどうかを判断するには、ユーザーのSA/ISSOによる確認が必要です。 追加 V2R8の除外リストに追加されました
Oracle-Linux-7.9-2021.07.27-STIG

The Oracle Linux STIGイメージOracle-Linux-7.9-2021.07.27-STIGは、2021年8月10日にリリースされました。

更新に関する次の記載は、以前のOracle-Linux-7.9-2021.03.02-STIGリリースと比較したものです。

イメージ更新

  • kernel-uek: 5.4.17-2102.203.6.el7uek.x86_64 Unbreakable Enterprise Kernelリリース6 (UEK R6)カーネル・バージョン、CVE-2021-33909の修正が含まれます。

  • Oracle Linux 7.9システム・パッケージが、入手可能な最新バージョンに更新されました。セキュリティ修正が含まれています。

コンプライアンスの更新

  • 目標:ベンチマーク・バージョン: Oracle Linux7 DISA STIGベンチマーク、バージョン2リリース4。

  • SCCコンプライアンス・スコア: 89.44%。

  • 最新STIGイメージが変更されました。

    次の表で、Oracle-Linux-7.9-2021.07.27-STIGリリースで行われた変更について説明します。

    ノート

    このリリースの更新は、Oracle Linux 7の追加構成でも反映されています。この項では、最新イメージの手動構成が必要な領域について説明しています。次の表に示すルールに適用される可能性がある重要な情報については、この項を参照してください。

    STIG-ID

    ルールの説明

    除外理由

    ステータス

    コメント

    OL07-00-010090

    Oracle Linuxオペレーティング・システムにスクリーン・パッケージをインストールする必要があります。

    Oracle Cloud Infrastructureインスタンスのアクセス用に構成されたデフォルトのOracle Public Cloud (OPC)ユーザー・ログイン・アカウントに影響します。

    削除

    V2R4の除外リストから削除されました

    OL07-00-021350

    Oracle Linuxオペレーティング・システムは、デジタル署名のプロビジョニング、暗号化ハッシュの生成、該当する連邦法、大統領命令、指令、方針、規制、標準に従って保存時保護が必要なデータの保護の目的で、NIST FIPS検証済暗号化を実装する必要があります。

    レスキュー・カーネル・コマンドラインでのfips=1パラメータの除外。

    追加

    V2R4の除外リストから削除されました

    重要: 救助カーネルのcmdlineにfips=1を追加すると、インスタンスが致命的なエラーで起動できなくなる可能性があります。

    OL07-00-030200

    au-remoteプラグインを使用するようにOracle Linuxオペレーティング・システムを構成する必要があります。

    au-remoteプラグイン構成では、リモート・サーバーの詳細が推定されます。

    削除

    V2R4の除外リストから削除されました

    OL07-00-030201

    監査ログを監査対象システムから別のシステムまたはストレージ・メディアにオフロードするように、Oracle Linuxオペレーティング・システムを構成する必要があります。

    au-remoteプラグイン構成では、リモート・サーバーの詳細が推定されます。

    更新

    V2R4でルール・タイトルが変更されました

    OL07-00-040600

    DNS解決を使用しているOracle Linuxオペレーティング・システムでは、2つ以上のネーム・サーバーを構成する必要があります。

    Oracle National Security Regions (ONSR)イメージでは、信頼できるDNSホストが1つだけ提供されます。

    更新

    V2R4でルール・タイトルが変更されました

    OL07-00-041001

    Oracle Linuxオペレーティング・システムに、マルチファクタ認証に必要なパッケージをインストールする必要があります。

    マルチファクタ認証は、デフォルトのOracle Cloud Infrastructureイメージでは構成されていません。

    削除

    V2R4の除外リストから削除されました

    イメージで修正済: インスタンスにpam_pkcs11 package がインストールされました。

    OL07-00-040710

    ドキュメント化され検証されたミッション要件を満たす場合を除き、リモートX接続が無効になるように、Oracle Linuxオペレーティング・システムを構成する必要があります

    インスタンスのシリアル・コンソール接続に影響します。

    追加

    		V2R4の除外リストに追加されました

    OL07-00-010342

    Oracle Linuxオペレーティング・システムは、sudoコマンドを使用するときに、特権エスカレーションのために呼出し元ユーザーのパスワードを使用する必要があります。

    デフォルトのOPCログイン・アカウントに影響します。

    追加

    V2R4の除外リストに追加されました
Oracle-Linux-7.9-2021.03.02-STIG

Oracle Linux STIGイメージOracle-Linux-7.9-2021.03.02-STIGは、2021年3月10日にリリースされました。

イメージ情報

  • 5.4.17-2036.103.3.1.el7uek.x86_64 UEK R6カーネル・バージョン。

  • セキュリティ修正が含まれるOracle Linux 7.9システム・パッケージの最新バージョン。

コンプライアンス情報

  • 目標: ベンチマーク・バージョン: Oracle Linux 7 DISA STIGベンチマーク、バージョン1リリース2。

  • SCCコンプライアンス・スコア: 89.44%。