このトピックでは、STIG コンプライアンスのセキュリティ規格および対策について説明します。
STIG コンプライアンスは、サーバおよび各種ネットワーク アプライアンスについてセキュリティ性の高い規格、対策を求めています。STIG 準拠の構成は、通常のサーバ操作ではほとんど表示されません。ただし、STIG 準拠の変更が表示され、サーバの操作に影響する 3 つの領域があります。
- ユーザ アカウントのパスワードと利用
- ルート アカウントへの直接ログイン
- カーネル監査ログ注: 以前の BlueCat リリースとの機能の下位互換性を維持するために、BlueCat アプライアンスと VM は、これら 3 つの STIG の機能が無効になった状態で出荷されます。これらの STIG の機能をアクティブにするには、STIG コンプライアンスを有効にする必要があります。
ユーザ アカウントのパスワードと利用
ユーザ アカウントには、14 文字以上で、特殊文字を使用するパスワードが必要です。ユーザ アカウントは、連続して 3 回失敗するとアカウントがロックされます。35 日間ログインしていないアカウントもロックアウトされます。
注: ロックされたアカウントの解放の詳細については、ロックされたユーザ アカウントのリセットを参照してください。
ルート アカウントへの直接ログイン
コンソールまたは SSH セッションを介したルート アカウントへのログインは無効になっています。この制限が有効になっている場合、特権でないログイン アカウント (ユーザ名とパスワードは bluecat) が自動的に作成され、サーバへのログインが許可されます。サーバへのルート アクセスを得るには、bluecat としてログインし、su – コマンドを使用してルート シェルへアクセスする必要があります。
カーネル監査ログ
ファイル アクセスと他のカーネル サービスの監査ログは有効になっています。現在、DISA SRR スキャン スクリプトで必要なデフォルトの監査ルールでは、診断ログを広範囲にわたって取得していると重大なパフォーマンスの低下が発生します。システムへの影響を最小限に抑えながら、監査ログの要件を満たす一連の監査ルールを定義することをお薦めします。詳しくは、BlueCat カスタマー ケアのナレッジベースの記事 5472 を参照してください。