※ 本記事は2017年4月3日に公開されたものです。

DBSATレポートの「Database Configuration」セクションの「Initialization Parameters for Security」は、その名の通りセキュリティ関連の初期化パラメータがリストされます。

 

 

このセクションでセキュリティ関連の初期化パラメータとしてリストされるものは以下の30個です。今回からそれぞれのパラメータを説明していきます。

 

  • AUDIT_FILE_DEST
  • AUDIT_SYSLOG_LEVEL
  • AUDIT_SYS_OPERATIONS
  • AUDIT_TRAIL
  • COMPATIBLE
  • DBFIPS_140
  • DISPATCHERS
  • ENCRYPT_NEW_TABLESPACES
  • GLOBAL_NAMES
  • LDAP_DIRECTORY_ACCESS
  • LDAP_DIRECTORY_SYSAUTH
  • O7_DICTIONARY_ACCESSIBILITY
  • OS_AUTHENT_PREFIX
  • OS_ROLES
  • PDB_LOCKDOWN
  • PDB_OS_CREDENTIAL
  • REMOTE_LISTENER
  • REMOTE_LOGIN_PASSWORDFILE
  • REMOTE_OS_AUTHENT
  • REMOTE_OS_ROLES
  • RESOURCE_LIMIT
  • SEC_CASE_SENSITIVE_LOGON
  • SEC_MAX_FAILED_LOGIN_ATTEMPTS
  • SEC_PROTOCOL_ERROR_FURTHER_ACTION
  • SEC_PROTOCOL_ERROR_TRACE_ACTION
  • SEC_RETURN_SERVER_RELEASE_BANNER
  • SQL92_SECURITY
  • UNIFIED_AUDIT_SGA_QUEUE_SIZE
  • UTL_FILE_DIR
  • _TRACE_FILES_PUBLIC

 

今回は監査関連のパラメータを説明します。なお、マニュアルもリンクしますので詳細はマニュアルを参照して下さい。なるべくマニュアルに記載されていない情報を書くようにします。

 

  • AUDIT_FILE_DEST
    監査証跡をファイル出力(OS、XML)に設定している場合の出力ディレクトリを設定します。デフォルト監査、標準監査、ファイングレイン監査、DBA監査(SYS監査)の監査証跡を出力します。また、Data Guardのスタンバイなどデータベースが読み取り専用状態の場合、監査証跡の出力先をデータベースに指定していても、このディレクトリにファイル出力されます。
    DBSATレポートの「Auditing」セクションの「Audit Records」にも設定値が表示されます。

     
  • AUDIT_SYSLOG_LEVEL
    DBA監査(SYS監査)および出力先がOSの場合の標準監査をSYSLOGに出力します。標準監査の出力がOSの場合、実行されたSQL文本文が取得できなかったり、12cからの統合監査(Unified Auditing)に対応していなかったりと、下位互換のために残されている感の強いパラメータです。
    DBSATレポートの「Auditing」セクションの「Audit Records」にも設定値が表示されます。
     
  • AUDIT_SYS_OPERATIONS
    特権(SYSASM、SYSBACKUP、SYSDBA、SYSDG、SYSKMまたはSYSOPER権限)を利用して接続しているユーザーによって直接発行されたトップレベルSQLを監査しOSファイルに出力します。DBA監査(SYS監査)機能と呼ばれます。標準監査の出力がXML形式に指定している場合、DBA監査の出力もXML形式となります。標準監査、ファイングレイン監査ではSYSユーザーの操作は監査対象外なので、SYSユーザーの操作を監査するためにはこのDBA監査機能を利用するか、12c以降の統合監査(Unified Auditing)を利用する必要があります。デフォルト値はTRUEですが、FALSEに変更されているシステムを良く見かけます。
    DBSATレポートの「Auditing」セクションの「Administrative User Audit」にも設定値が表示されます。AUDIT_SYS_OPERATIONSの値がfalseで、かつ統合監査(Unified Auditing)でSYSユーザーの監査をしていない場合、Significant Riskと判断されます。

     
  • AUDIT_TRAIL
    標準監査の出力先を指定します。標準監査の監査証跡はデータベース内に出力するよりもXMLにファイル出力したほうが性能がよい(オーバーヘッドが小さい)という検証結果もあり、またSQL文本文を監査証跡に残せるため推奨値はxml,extendedですが、12c以降では統合監査(Unified Auditing)を利用することを推奨します。デフォルト値はnoneですが、11gR1以降のDatabase Configuration Assistant(DBCA)で作成したデータベースでは初期設定としてdbが設定されます。
    DBSATレポートの「Auditing」セクションの「Audit Records」にも設定値が表示されます。AUDIT_TRAILの値がnoneの場合、Significant Riskと判断されます。

監査に関しての詳細はまた別エントリで今後説明する予定です。

 

「もくじ」にもどる