※ 本記事は2017年5月25日に公開されたものです。
セキュリティ関連の初期化パラメータの説明の5回目です。
別のコンピュータ上にあるリスナーにデータベースサービスを登録する際に利用するパラメータです。主にRAC環境で接続時フェイルオーバーや接続ロードバランシングを提供するために利用します。リモートリスナーに想定外のリスナーが設定されていると、そのリスナー経由で想定外のデータベースへの接続試行がおこなわれてしまいますので、想定されたリスナーが登録されているかどうかを確認してください。
管理者としての接続(SYSDBAなど)時にパスワードファイルを利用するかどうかを指定します。パスワードファイルがない場合やパラメータの値をNONEに設定した場合には、データベースを起動するために管理者として接続する際にOS認証を利用する必要があります。パスワードを利用して接続しようとしても、下記のようにエラーとなります。
[puku@catvari ~]$ sqlplus sys/oracle as sysdba SQL*Plus: Release 12.2.0.1.0 Production on 水 5月 17 10:31:21 2017 Copyright (c) 1982, 2016, Oracle. All rights reserved. ERROR: ORA-01017: ユーザー名/パスワードが無効です。ログオンは拒否されました。
パスワードを利用して認証する場合、データベースサーバーのOSにdbaグループのユーザーとしてログインすることなく管理ツールなどを利用して管理者として接続しデータベースを管理することができ、運用性が向上します。Enterprise Managerなどの管理ツールを利用する場合など、パスワードファイルの利用が前提条件になっているものもあります。逆にパスワードファイルを利用しないことで、強力な管理者として接続するためにはOSのdbaグループのユーザーとしてまずOSにログインしなければならないという強力な接続制限ができるようになります。このパラメータの値に関しては第5回「データベース管理者と認証」でも紹介していますのでご参照ください。
このパラメータは11gR1から非推奨で、下位互換のために残されているパラメータです。デフォルトはFALSEですが、TRUEに設定されている場合、リモートホストのOS認証を信頼し、OS認証でデータベースに接続できるようになります。たとえばリモートホストでoracleユーザーとしてログインしている場合、ローカルホストのoracleユーザーと同一とみなされ、改めて認証されることなく管理者として接続できてしまう可能性があります。特別な必要性がない限りは値を設定しない(FALSEを設定する)ことを推奨します。
REMOTE_OS_AUTHENTと併せて利用するパラメータでリモートホストからのOS認証だけではなく権限(ロール)の付与もリモートホストに移譲する機能です。OS_ROLESパラメータのリモートホスト版になります。なりすましの危険性があるためこのパラメータのデフォルト値もFALSEです。特別な必要性がない限りは値を設定しない(FALSEを設定する)ことを推奨します。
プロファイルのリソース制限を実施するかどうかを指定します。デフォルトはTRUEですが、FALSEに設定している場合、リソース制限は実施されません。プロファイルのリソース制限を利用して特定のプロセスの暴走などでデータベース全体に影響を与えないようサービス拒否攻撃対策を実施している場合には、併せてこのパラメータがFALSEに設定されていないことを確認してください。
11gR1から追加されたパラメータですが、12cR1から非推奨で、下位互換のために残されているパラメータです。
Oracle Databaseでは11gR1からデータベースユーザーのパスワードを大文字、小文字区別するようになりました。デフォルト値はTRUEでデフォルトの状態では大文字と小文字を区別します。ただし、パスワードの大文字、小文字を区別しない古いプログラムやツールにも対応できるように、このパラメータをFALSEに変更するとパスワードの大文字、小文字を区別しない昔の動作に戻すことができます。近年のプログラムやツールはパスワードの大文字、小文字を区別できるものがほとんどですので、特別な必要性がない限りは設定しない(TRUEを設定する)ことを推奨します。
11gR1から追加されたパラメータです。パスワード推測攻撃によるログイン試行は一昔前は同じデータベースユーザーに対してパスワードを次々変えてログイン試行するものでした。この場合、一定回数以上パスワードを間違えるとアカウントをロックするという対策がとれましたが、パスワードを固定してデータベースユーザー名を次々に変えてログイン試行をする新しいパターンの攻撃が見受けられるようになりました。この場合、接続を試みるデータベースユーザーが異なるためユーザーはロックされません。このような攻撃に対応するために、複数回ログインに失敗すると接続を強制的に切断する機能が11gR1から追加されました。パラメータの値で指定した回数接続に失敗すると接続は切断されます。デフォルト値は11gでは10でしたが、12cから3に変更になりました。不必要に大きな値になっていないかどうか確認してください。また、この設定は攻撃を遅らせるだけで、攻撃を防止したり、検地したりすることはできません。ログイン失敗を監査・監視して不正なログイン試行に気づく仕組みは別途必要です。詳細は「認証の最大試行回数の構成」も併せてご確認ください。