suse linux enterprise server sap hana 向けに開発...2 サーバソリューションガイド...
TRANSCRIPT
SAP HANA向けOS セキュリティ強化ガイドSUSE® Linux Enterprise Server上で実行する SAP HANA向けに開発
ソリューションガイド
ガイドwww.suse.com
サーバ
目次 ページ
はじめに . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2HANA向け SUSE Linux Enterpriseセキュリティ 強化設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3SAP HANAファイアウォール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .10最小限のOSパッケージ選択 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15セキュリティアップデート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15展望 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17著者について . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17追加情報と参照資料 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
2
サーバソリューションガイドSAP HANA向けOSセキュリティ強化ガイド
マスコミによって報じられている攻撃に加え、公にはされていないインシデントも大量に発生しています。特に、スパイ行為関連のインシデントの場合、被害者は公表しません。公表することにメリットがないからです。
機密データを保護するためには、包括的なセキュリティコンセプトを整備して、セキュリティリスクにつながる可能性のあるすべての不測の事態に備える必要があるとセキュリティ専門家は述べています。そのためにはまず、ユーザおよびシステム管理者向けにポリシー (パスワードポリシーやデータ保護ポリシーなど )を適切に設定する必要があります。次に、通信プロトコルでファイアウォール、VPN、SSLなどを使用して IT環境を保護します。そして最後に、サーバ、侵入検知システム、データ暗号化、自動セキュリティレポーティングを強化します。さらに、組織の多くは、セキュリティ監査を定期的に実施することで IT環境のセキュリティを最大限高めています。
通常、包括的なセキュリティコンセプトではデータベースシステムに多くの注意が払われます。データベースは各 IT環境における最も重要なコンポーネントの 1つだからです。機密データが格納される可能性のあるデータベースシステムは、当然、ハッカーから狙われやすくなります。したがって、データベースシステムの保護は特に強化する必要があります。
一般に、SAP HANAデータベースにはビジネス関連の情報 (多くの場合は非常に重要性の高い情報 )が格納されます。特に、SAP HANAをデータベースとして使用する ERPシステムの場合はその傾向が顕著です。また、Business Warehouse (BW)システムな
ど、SAP HANAを使用するその他の SAPアプリケーションでも、データベースに機密データが格納されていることがあります。
SAP HANAのセキュリティSAPはセキュリティを非常に重視しています。SAP HANAをデータベースの観点から保護する方法を詳しく紹介した包括的な『SAP HANA Security Guide (SAP HANAセキュリティガイド )』があります 1。このガイドは、SAP HANAデータベース以外の層 (ネットワーク層やストレージ層など )のセキュリティコンセプトについても紹介しています。ただし、これらのトピックについては一般的な説明しかなく、記載された推奨事項をOSレベルに適用するための具体的なガイドはありません。
SUSE® Linux Enterprise ServerのセキュリティSAP HANAデータベースのセキュリティと同等以上に重要となるのが、基盤となるOSのセキュリティです。ハッカーの多くは、データベースそのものではなく、OSをターゲットとして攻撃を仕掛けてきます。OSにアクセスし、必要な権限を獲得できれば、ハッカーはそのOS上で実行されているデータベースアプリケーションを攻撃することが可能になります。
SUSE Linux Enterprise Serverは SAP HANAで推奨、サポートされるOSです。SUSEは、Linux OSの ITセキュリティに関して長年の経験を有し、SUSE Linux Enterprise Serverをあらゆる種類のセキュリティインシデントから保護するための包括的なセキュリティパッケージを提供しています。このパッケージは次のコンポーネントで構成されます。
セキュリティ認定 : SUSE Linux Enterprise 11 OSは、キャリアグレード Linux (CGL)の登録、OpenSSLの FIPS (連邦情報処理標準 ) 140-2認定、Common Criteriaセキュリティ認定EAL4+など、数多くの重要なセキュリティ認定を取得しています。
セキュリティアップデートおよびパッチ : SUSEは、SUSE Linux Enterprise OS向けのセキュリティアップデートとパッチを継続的に提供し、製品ライフサイクル全体にわたって最高水準のセキュリティ基準を保証しています。
マニュアル : SUSEは、SUSE Linux Enterprise Server 11 OSのセキュリティコンセプトおよび特長について記載したセキュリティガイドを発行しています (www.suse.com/documentation/sles11/singlehtml/book_hardening/book_hardening.html)。このセキュリティガイドでは、SAP HANAだけでなく、すべてのワークロードで役立つ一般的なセキュリティ情報を紹介しています。
はじめにITセキュリティは、あらゆる組織にとって非常に重要なトピックです。Webサイトへのハッキング、サービス拒否攻撃、ユーザデータ (パスワード、銀行の口座番号、その他の機密データ )の盗難などの新たな ITセキュリティインシデントが紙面をにぎわしています。
__________
1 http://help.sap.com/hana/SAP_HANA_Security_Guide_en.pdf
図1. 企業ITセキュリティの要素
3www.suse.com
このガイドについてこのガイドは、SAP HANAのセキュリティ基準を強化することを目的に作成されており、SAP HANAデータベースを実行する SUSE Linux Enterprise Server 11のセキュリティ強化について重点的に説明しています。一般的な内容を扱う『SUSE Linux Enterprise Server Security Guide (SUSE Linux Enterprise Serverセキュリティガイド )』および『SAP HANA Security Guide (SAP HANAセキュリティガイド )』では網羅できなかった内容をカバーしています。SUSEは、関連するすべてのセキュリティ設定を特定し、実環境での問題を回避するために、大規模なパイロット顧客と協力して作業を進めました。また、SAP Linux Labの SAPと緊密に連携して、SAP HANAとの最大限の互換性を実現しています。
このガイドでは、次のトピックについて詳しく説明しています。
SAP HANAシステムのセキュリティ強化設定 : Linux OSには、OSやホストアプリケーションのセキュリティをさらに強化するための調整や設定が数多く用意されています。特定のアプリケーションワークロードに対応するため、デフォルト設定ではセキュリティを最大限に高めるように調整されていません。このガイドでは、OSを調整して、SAP HANAを実行する際にセキュリティを最大限に高める方法について説明しています。また、システム管理などへの影響、および各設定の優先順位についても紹介しています。
SAP HANAのローカルファイアウォール : SUSEは SAP HANAシステム専用のローカルファイアウォールを開発しました。このファイアウォールにより、SAP HANAやその他のサービスで必要となる外部ネットワークインタフェースのネットワークポートを選択的に開くことができるため、SAP HANAデータ
ベースのネットワークセキュリティが強化されます。残りのネットワークポートはすべて閉じたままになります。このファイアウォールは幅広い機能を備え、設定も容易です。RPMパッケージとして使用可能で、SUSEサーバからダウンロードできます。
最小限のパッケージ選択 : SAP HANAシステムにインストールされているOSパッケージの数が少ないほど、セキュリティホールが生じる可能性も低くなります。この原則に則り、このガイドではどのパッケージが必要不可欠で、どのパッケージがセキュリティの観点で不要かを紹介します。また、パッケージ数を最小限に抑えることで、システムに適用するアップデートやパッチの数を減らせるというメリットもあります。
セキュリティアップデートおよびパッチ : オープンソースのソフトウェアは頻繁に見直しが行われ、セキュリティ上の脆弱性がないかテストされています。脆弱性を見つけようとするのは、オープンソースの開発者、オープンソースコミュニティのセキュリティエンジニア、セキュリティ企業、そしてもちろん悪意を持つ者です。脆弱性が検出および報告されると、セキュリティアドバイザリに記載されます。そして通常はすぐに修正されます。SUSEは、SUSE Linux Enterprise Server上のすべてのサポート対象パッケージについて、セキュリティアップデートとパッチを継続的に提供しています。このガイドでは、最適なアップデートおよびパッチ戦略について、そして関連するすべてのセキュリティアップデートを頻繁に受信するための SUSE Linux Enterprise Serverの設定方法について説明しています。
さらに、SAP HANAシステムのOS強化に関連するあらゆる重要トピックについて詳しく紹介しています。セキュリティ認定 (CGL、FIPS、EAL4+)や継続的に提供されるセキュリティアップデートおよびパッチなど、SUSE Linux Enterprise Server 11のセキュリティに関するその他の特長を併せて活用することにより、SAP HANAを非常にセキュアな環境で実行して、最高水準のセキュリティ基準を満たし、あらゆる規模の組織の企業セキュリティコンセプトに準拠できます。
HANA向け SUSE Linux Enterpriseセキュリティ 強化設定Linuxセキュリティ強化の概要SUSE Linux Enterprise Serverは標準インストールの時点で高水準のセキュリティを備えています。ただし、あらゆるLinuxサーバワークロードへの対応を念頭に置いているため、標準では一般的なセキュリティ設定になっています。また、セキュリティ設定の多くは、システム管理者、そして場合によってはシステムユーザの操作性にも影響します。そのため、SUSE Linux Enterprise Server 11の標準セキュリティ設定では、すべてのワークロードとの互換性、管理の容易性、OSのセキュリティの 3点の最適なバランスが考慮されています。
図2. SUSE Linux Enterprise Serverのセキュリティコンポーネント
図3. SAP HANAのOSセキュリティ強化に関する3つの主要トピック
図4. SAP HANA+OSセキュリティ
4
サーバソリューションガイドSAP HANA向けOSセキュリティ強化ガイド
SAP HANAは要件が明確に定義された専用ワークロードです。このようなワークロードの場合、一般的な設定よりも厳格なセキュリティ設定を適用することが可能になります。目的は、SAP HANAとの互換性を損なうことなく、セキュリティを強化することです。
セキュリティを強化すればセキュリティは向上しますが、その代償として、管理の容易性が低下し、システム機能が制限されます。この事実についてはすべてのシステム管理者が認識する必要があります。ただし、システムのセキュリティを厳格にすれば、保護レベルが向上し、攻撃が成功するリスクを軽減できます。多くの場合、企業のセキュリティポリシー、ガイドライン、セキュリティ監査などで非常に厳格なセキュリティ基準が規定されており、システム設定が制限されています。
Linux OSには、OSとアプリケーションの全体的なセキュリティを高めるための調整や設定が数多く用意されています。各設定は次のカテゴリに分類できます。
認証設定 : ログインできるユーザの定義、パスワードポリシーの設定など
システムアクセス設定 : さまざまなログイン方法 (コンソール ttyからのローカルログイン、sshを使用したリモートログイン )によってローカルおよびリモートからシステムにログインできるユーザを定義
ネットワーク設定 : ネットワークスタックの特定の層 (IP層、TCP/UDP層 )の動作を定義
サービス許可 : 特定のシステムサービス (atジョブの無効化 )の許可を定義
ファイル許可 : セキュリティ上重要なシステムファイルに対するファイルアクセス権限を定義
ログとレポーティング : システムログ記録、中央 syslogサーバへの syslog転送、レポート (セキュリティレポート )の自動作成、セキュリティ関連情報の eメール転送などの動作を変更
SUSE Linux Enterprise Server 11は高度なYaST®モジュールを備えているため、さまざまなセキュリティ設定が可能です。このYaSTモジュールは、次のコマンドで起動できます。
yast2 security
このモジュールにより、強化設定、パスワード強化設定、ログイン設定など、複数のセキュリティカテゴリの設定を選択することが可能になります。
ただし、SAP HANAシステムのセキュリティを強化するために必要な追加設定のいくつかは YaST2セキュリティモジュールでは設定できません。そのため、このガイドでは YaSTではなく、 Linuxコマンドラインを使用したセキュリティ強化設定手順について説明しています。
SAP HANAシステムのセキュリティ強化設定次のセキュリティ強化設定は、SAP HANAデータベースを実行するSUSE Linux Enterprise Serverシステムのセキュリティを強化するためのものです。各設定は、SAP HANAデータベースを実行するSUSE Linux Enterprise Serverの標準インストールに対して実施されたセキュリティ監査の推奨事項に従って開発されています。
各セキュリティ強化設定の詳細は次のとおりです。
説明 : 各設定の詳細 手順 : 設定の適用方法 影響 : システム管理者またはユーザに与える可能性のある影響 優先度 : 高、中、低
各設定の影響に基づいて、システム管理者またはセキュリティエンジニアは、セキュリティを強化するために管理容易性を犠牲にするだけの価値があるかどうかを判断できます。判断基準は、システムの使用方法やシステム管理タスクの実行方法によって大きく異なります。
優先度を通じて、各セキュリティ要件を満たすために適用する設定を決定できます。優先度の高い設定は可能な限り適用し、優先度の低い設定は任意で適用できます。
免責事項 : このガイドに記載されているセキュリティ強化設定は、まず非生産システム (DEVシステムまたはQAシステム )で実行することを強く推奨します。また、変更を行う前にシステム (少なくとも /etcディレクトリ )のバックアップを実行することをお勧めします。さらに、設定を適用したら、SAP HANAデータベース、すべてのHANAアプリケーション、およびその他すべてのアプリケーション /サービスの機能をテストすることをお勧めします。SAP HANAのインストール、バージョン、ユースケース、ハードウェア、インストール済みサービスは、弊社テストシナリオとは異なる可能性があるため、すべての設定が正常に動作することを保証するものではありません。また、場合によってはシステム機能に悪影響を及ぼす可能性もあります。
設定を非生産システムでテストできない場合は、適切なシステム機能テストおよびシステム (または /etcディレクトリ )の復元を実行できるだけの保守時間内で変更を行うようにしてください。
ssh経由の rootログインを禁止説明デフォルトでは、「root」ユーザによる ssh経由でのリモートログインが許可されています。これには 2つのデメリットがあります。1つ目のデメリットは、rootログインは記録されるが、特定のユーザと関連付けることができないことです。複数のシステム管理者がシステムに変更を加える場合、これは特に大きなデメリットとなります。2つ目のデメリットは、rootパスワードが盗まれると、攻撃者が直接システムにログインできてしまうことです。攻撃者は rootパスワード
強化設定の概要ssh経由の rootログインを禁止 .................................................. 4SUSEセキュリティチェッカーをインストール ......................... 5rootユーザへのメール転送を設定 ............................................... 5ローカルネットワーク設定に従って、hosts.allowおよびhosts.denyを設定 ......................................................................... 5syslogファイルを中央 syslogサーバに転送 ........................... 5/etc/inittabを変更して、ctrl+alt+del trapを コメントアウト ................................................................................. 6cron.allowを実装 .......................................................................... 6at.allowを実装 ............................................................................... 6通常ユーザによる sudoを制限 ..................................................... 6デフォルトの umaskを調整 ......................................................... 6企業のセキュリティポリシーに従ってログイン定義を変更 .......7デフォルトの非アクティブ時間を 1日に設定 ...............................7ユーザのパスワード失敗回数を設定 ..............................................7企業ポリシーに従ってユーザアカウントのパスワードを強化 .....7ユーザログイン制限を設定 ............................................................. 8シングルユーザモードのパスワードを設定 ................................. 8sysctl変数を調整 ............................................................................ 8第 1ローカルコンソール (tty1)からの「root」ログイン のみを許可 ......................................................................................... 9ホームディレクトリの許可を 775から 700に変更 ................. 9新規ユーザを追加する際のホームディレクトリのアクセス 権限をデフォルトで 700に設定 .................................................. 9特定のシステムファイルの許可を変更 ......................................... 9
5www.suse.com
さえ入手できればよいため、通常のユーザとしてログインしてから「su」コマンドや「sudo」コマンドを実行する必要がありません。
手順/etc/ssh/sshd.confを編集して、次のパラメータを設定します。
PermitRootLogin no
影響rootでのリモートログインができなくなるため、ssh経由で rootログインするためには「su」コマンドまたは「sudo」コマンドを実行する必要があります。
優先度 : 高
SUSEセキュリティチェッカーをインストール説明SUSEセキュリティチェッカーにより、セキュリティチェックが定期的に実行され、レポートが生成されます。レポート結果は cronに記録され、通常は eメールで rootに転送されます。
手順seccheckパッケージをインストールします。
zypper in seccheck
影響rootユーザに日次レポートが eメールで転送されます。eメール転送が適切に設定されている必要があります。
優先度 : 中
rootユーザへのメール転送を設定説明セキュリティ関連の変更やインシデントに関する情報を受信するには、rootユーザへのメール転送を有効化することを強く推奨します。転送先には、システムメール収集のための専用アカウントなどを指定できます。
手順 YaST2メールアドオンをインストールします。
zypper in yast2-mail yast2-mail-plugins
Start yast: yast mail.
「stdard」設定を選択します。 内部メールゲートウェイのアドレスを入力して、必要に応じて認証を設定します。
「accept external SMTP connections (外部 SMTP接続を許可 )」を有効化しないでください。
root eメールの転送先アドレスを入力します (通常はシステムメール収集のための専用アカウント )。
設定を保存します。 次のコマンドを実行して設定をテストします。 mail root
subject: test test .
mailqコマンドを実行して、eメールが送信されたかどうかを 確認します。
影響アクセス可能な SMTPサーバ、および「root」ユーザのメールを定期的に確認する人物が必要になります。
優先度 : 高
ローカルネットワーク設定に従って、hosts.allowおよびhosts.denyを設定説明hosts.allowファイルおよび hosts.denyファイルは、特定のサービスやアプリケーションへのアクセスを許可または拒否するためのものです。これらのファイルでアクセス制御を設定するのではなく、ローカルの SAP HANAファイアウォールを使用することをお勧めします。iptableに基づく SAP HANAファイアウォールを使用することで、よりきめ細かいアクセス制御、強固なセキュリティ、および優れたログ記録方法が実現します。
syslogファイルを中央 syslogサーバに転送説明ログファイルを SAP HANAノードから中央 syslogサーバに転送します。これにより、攻撃者による syslogファイルの不正操作を防止し、管理者が syslogファイルを一元表示することが可能になります。
手順ここでは基本的な syslog転送設定について説明します。詳細な設定については syslog-ngマニュアルを参照してください。
(SUSE Linux Enterprise Serverを実行する )ターゲットサーバで次の手順を実行します。 /etc/syslog-ng/syslog-ng.confを編集します。 環境設定ファイルの「source」セクションにある次の行をアンコメントします。
udp(ip(“0.0.0.0”) port(514));
次のコマンドを実行して syslog-ngを再起動します。
rcsyslog restart
SAP HANAノードで次の手順を実行します。 /etc/syslog-ng/syslog-ng.confを編集します。 次の行を追加して、<logserver>を有効な syslogサーバの IPまたはホスト名に置き換えます。
# # Enable this and adopt IP to send log messages to a log server. #
destination logserver { udp(“<リモート syslog サーバのホスト名または IP>” port(514)); }; log { source(src); destination(logserver); };
次のコマンドを実行して syslog-ngを再起動します。
rcsyslog restart
次のコマンドを実行して、syslog転送が正常に機能することを 確認します。
logger “hello world”
6
サーバソリューションガイドSAP HANA向けOSセキュリティ強化ガイド
「hello world」というログメッセージが中央 syslogサーバに表示されるはずです。
影響中央 syslogサーバが必要になります。
優先度 : 中
/etc/inittabを変更して、ctrl+alt+del trapをコメントアウト説明シリアルコンソールや外部キーボードからのシステム再起動を防止します。
手順 /etc/inittabファイルの次の行をアンコメントします。
ca::ctrlaltdel:/sbin/shutdown -r -t 4 now
次のコマンドを実行して、inittabのコンテンツを再ロードします。 cnit q
影響ローカルキーボードやリモート管理セッションからシステムを再起動できなくなります。システム管理者にとっては不便かもしれませんが、意図しない再起動を防止できるというメリットもあります。
優先度 : 中
cron.allowを実装説明cron.allowファイルは、Linux cronシステムで cronジョブを実行する権限を持つユーザを指定するホワイトリストです。デフォルトでは、cronジョブの作成権限を持つユーザはいません。
手順次のコマンドを実行して、/etc/cron.allowという空のファイルを作成します。
touch /etc/cron.allow
情報ユーザ crontabの場所 : /var/spool/cron/tabs
影響SAP HANAユーザ (<sid>adm)およびその他のユーザが独自のcronジョブを作成できなくなります。
優先度 : 低
at.allowを実装説明at.allowファイルは、Linux atジョブ実行システムで「at」ジョブ (スケジュールに従って 1回限り実行されるジョブ )を実行する権限を持つユーザを指定するホワイトリストです。デフォルトでは、「at」ジョブの作成権限を持つユーザはいません。
手順次のコマンドを実行して、/etc/at.allowという空のファイルを作成します。
touch /etc/at.allow
影響1回限りのジョブに関するUNIX機能が無効化されます。
優先度 : 中
通常ユーザによる sudoを制限説明sudoコマンドは、別のユーザ (通常は rootユーザ )としてコマンドを実行するためのものです。sudo設定は、実行するコマンドと許可されたソース /ターゲットのユーザ /グループのマッピングを定義するルールセットで構成されます。設定は /etc/sudoersファイルに格納されます。suコマンドと同様、sudoコマンドを実行する際にはデフォルトで rootパスワードが要求されます。ただし、suコマンドとは異なり、1度パスワードを入力すると、5分間はパスワードの再入力を求められることなく、rootとしてその他のコマンドも実行することが可能になります。そのため、sudoの実行権限は一部のユーザ (管理者 )にのみ付与する必要があります。
手順 /etc/sudoersファイルを編集します。 次の行をコメントアウトします。
ALL ALL=(ALL) ALL # WARNING! Only use this together with ‘Defaults targetpw’!
次の行をコメントインします。 # %wheel ALL=(ALL) ALL
/etc/groupファイルを編集して、すべてのシステム管理者ユーザをwheelグループに追加します。
wheel:x:10:<sysadminユーザのユーザ名 >
影響wheelグループのメンバー以外のすべてのユーザが sudoコマンドを実行できなくなります。ただし、suコマンドは実行できます。
優先度 : 高
デフォルトの umaskを調整説明umaskは、新規作成ファイルに対するアクセス権限のデフォルトXORマスクを指定するものです。値を 077に変更することをお勧めします。
これにより、グループユーザおよび全ユーザによる新規作成ファイルおよびディレクトリの読み取り /書き込み /実行が無効化されます。
手順
/etc/login.defsファイルを編集して、umask値を変更します。
UMASK 077
影響Umask設定 : 作成したユーザ以外は、新規作成のファイルやディレクトリの読み取り、書き込み、実行ができなくなります。
備考変更内容を適用するには、すべてのユーザセッションのログアウト /再ログインが必要になります。
7www.suse.com
優先度 : 高
企業のセキュリティポリシーに従ってログイン定義を変更説明/etc/login.defsファイルは、パスワードの有効期限、許可されたログイン再試行回数、umask設定など、ユーザのログイン設定を定義するものです。パスワードポリシーを設定するためのオプションはありません。
企業のセキュリティポリシーに従って設定を調整してください。
手順/etc/login.defsファイルを編集して、ポリシーに従って設定を変更します。例 : PASS_MAX_DAYS 90 PASS_MIN_DAYS 7 PASS_WARN_AGE 14
この例では、すべての新規作成ユーザのデフォルトのパスワード有効期限値が次のように設定されます。
パスワードの有効期限が 90日で切れる パスワードの有効期限が切れる 14日前に警告が送信される ユーザは 7日ごとにパスワードを変更できる
chageコマンドにより、特定のユーザの現在のパスワード有効期限に関する情報を表示できます。
chage -l <ユーザ名 >
備考パスワード有効期限などの設定は、useraddコマンドを使用して、ユーザごとに指定することもできます。パスワード有効期限の詳細については、『SUSE Linux Enterprise Server Security Guide (SUSE Linux Enterprise Serverセキュリティガイド )』のセクション「3.31. Enabling Password Aging (パスワード有効期限の有効化 )」を参照してください。
影響パスワード有効期限などの login.defs設定により、パスワード有効期限が切れた後にログインしようとするユーザは拒否されます。そのため、システム管理者はパスワードの有効期限についてユーザに通知し、ユーザは定期的にパスワードを変更する必要があります。
優先度 : 中
デフォルトの非アクティブ時間を 1日に設定説明デフォルトでは、非アクティブのユーザセッションはタイムアウトになりません。この設定では、非アクティブのユーザセッションを終了させる時間を秒単位で指定します。タイムアウトを 1日に設定することをお勧めします。
手順/etc/profile.d/timeout.shファイルを作成して、次の内容を記述します。
# /etc/profile.d/timeout.sh for SuSE Linux # # Timeout in seconds till the bash session is terminated # in case of inactivity. # 24h = 86400 sec TMOUT=86400
影響長時間実行中のユーザセッションが 1日経過すると終了します。「screen」を使用してセッションを切断してからログアウトすることをお勧めします。screenセッションは終了されず、必要に応じていつでも再接続できます。
優先度 : 中
ユーザのパスワード失敗回数を設定説明パスワード失敗回数は、ログインの失敗が指定回数に達したユーザをログインできなくするものです。SUSE Linux Enterprise Serverでは、このメカニズムとして PAMシステムを使用しています。パスワード失敗回数は特定のユーザアカウントに対するサービス拒否攻撃に悪用される可能性があるため、弊社では原則として使用を推奨していません。
企業ポリシーによりユーザのパスワード失敗回数を設定する必要がある場合は、『SUSE Linux Enterprise Server Security Guide (SUSE Linux Enterpriseセキュリティガイド )』のセクション「3.33.3. Locking User Accounts after Too Many Login Failures (ログイン失敗回数に達したユーザアカウントのロック )」を参照してください。
企業ポリシーに従ってユーザアカウントのパスワードを強化説明SUSE Linux Enterprise Serverシステムでは、ユーザアカウントに対してデフォルトの状態で強力なパスワードポリシーが設定されています。たとえば、パスワード解析ライブラリにより、簡単すぎるパスワードや短すぎるパスワードは設定できないようになっています。しかし場合によっては、企業のパスワードポリシーに従って、パスワードを強化する必要があります。そのような場合は、/etc/pam.d/common-passwordファイルで PAMパスワード認証設定を変更します。
手順pam-configユーティリティを使用して、PAMパスワード強化設定を変更します。変更内容は /etc/pam.d/common-passwordファイルに適用されます。要件に従って設定を変更します。
例 :
pam-config --add \ --cracklib-retry=3 \ --cracklib-minlen=8 \ --cracklib-lcredit=-1 \ --cracklib-ucredit=-1 \ --cracklib-dcredit=-1 \ --cracklib-ocredit=0 \ --cracklib-difok=5
この例では、次のルールに従ってパスワードを強化します。
有効な新規パスワードを最大 3回入力することをユーザに求める パスワードは合計 8文字以上でなければならない 大文字の英字を 1文字以上含めなければならない 小文字の英字を 1文字以上含めなければならない 数字を 1文字以上含めなければならない その他の文字 (「_、!、%」など )の数は無制限 新規パスワードには、旧パスワードと異なる文字が 5文字以上含まれていなければならない
8
サーバソリューションガイドSAP HANA向けOSセキュリティ強化ガイド
パスワード強化オプションの詳細については、次の pam_cracklib manページを参照してください。
man pam_cracklib
影響定義したポリシーに従って、システムユーザのパスワードを設定する必要があります。rootユーザはパスワードポリシーを却下できます。パスワード有効期限を設定した場合、パスワードの有効期限が切れたユーザはログインできなくなります。
優先度 : 中
ユーザログイン制限を設定説明access.confを使用して、ホワイトリストに記載されたユーザアカウントを除くすべての rootアカウントおよびその他のユーザアカウントによるシステムへのアクセスを拒否します。ホワイトリストに記載されたアカウントが特定の IPサブネットからのみアクセスできるようになります。
手順 pam_access.soを起動します。 /etc/pam.d/common-auth-pcファイルを編集します。
auth required pam_access.so
設定の詳細については、man access.confを参照してください。
/etc/security/access.confファイルを編集します (設定の詳細については、man access.confを参照してください )。
+ : <sid>adm : <ネットワーク /ネットマスク > + : sapadm : <ネットワーク /ネットマスク > + : <管理者ユーザ > : <ネットワーク /ネットマスク > - : ALL : ALL
影響指定の IPサブネットを使用するホワイトリスト記載ユーザだけがログインできるようになります。rootログインは禁止されます。
優先度 : 中
シングルユーザモードのパスワードを設定説明シングルユーザモードでシステムにアクセスするためには rootパスワードが必要です。SUSE Linux Enterprise Server OSに変更を加える必要はありません。
sysctl変数を調整説明sysctl (システム制御 )変数は、OSのさまざまな部分 (Linuxネットワークスタック )の動作に影響する特定のカーネルパラメータを変更するためのものです。sysctl変数は /etc/sysctl.confファイルで定義します。対応するカーネルパラメータは、サブディレクトリ /proc/sysにある /proc filesystemで確認できます。カーネルパラメータの多くは、パラメータファイルに値をエコーすることで直接変更できます。ただし、この方法で行われた変更は永続的なものではなく、システムを再起動すると失われます。そのため、変更はすべて sysctl.confファイルで行うことをお勧めします。
手順/etc/sysctl.confファイルを編集して、次の変数を設定または変更します。 net.ipv4.conf.default.rp_filter = 1 net.ipv4.conf.all.rp_filter = 1
この設定により、strictモードで戻り経路フィルタが有効化されます。受信した IPパケットへの応答が、常にパケットを受信したインタフェース経由で送信されます。システムが経路制御表に従って応答パケットを異なる送信インタフェースにダイレクトした場合、そのパケットは破棄されます。この設定により、(DoS攻撃に使用される )特定の IPスプーフィング攻撃を防止できます。 net.ipv4.conf.default.accept_source_route = 0 net.ipv4.conf.all.accept_source_route = 0
この設定により、IPv4パケットヘッダに SRRオプションが設定されたパケットの受信を拒否できます。「ソースルーティング」を使用するパケットは拒否されます。これにより、IPパケットのリダイレクト (ファイアウォールの内側にある直接アクセスできないホストへのリダイレクト )を防止できます。 net.ipv4.tcp_syncookies = 1
TCP SYN Cookie保護はデフォルトで有効になっています。「SYN攻撃」とは、マシン上のすべてのリソースを消費させるサービス拒否攻撃です。ネットワークに接続されたすべてのサーバがこの攻撃の対象となる可能性があります。 net.ipv4.icmp_echo_ignore_broadcasts = 1
ICMPエコー要求 (ping)をブロードキャストアドレスに送信して、ネットワーク上のホスト /IPをスキャンしたり、ネットワークセグメント内で ICMP Flood攻撃を実行したりできます。この設定により、ブロードキャストアドレスに送信された icmpエコーパケットが無視されます。 net.ipv4.icmp_ignore_bogus_error_responses = 1
この設定により、ブロードキャストフレームに対する無効な応答に起因する不要なエラーメッセージでログファイルが埋まってしまう事態を回避できます。詳細については、RFC 1122「Requirements for Internal Hosts̶Communication Layers (内部ホスト -通信層の要件 )」を参照してください。 net.ipv4.conf.default.secure_redirects = 0 net.ipv4.conf.all.secure_redirects = 0
経路制御表に記載されたゲートウェイからのリダイレクトのみを許可することで、ルーティング経路のハイジャックを防止します。 net.ipv4.conf.default.accept_redirects = 0 net.ipv4.conf.all.accept_redirects = 0
9www.suse.com
ICMPリダイレクトメッセージの受信を無効化します。ICMPリダイレクトメッセージは通常、外部ネットワークへのより優れた経路についてホストに通知するためにゲートウェイから送信されます。このリダイレクトが悪用される場合があります (中間者攻撃など )。 net.ipv4.tcp_max_syn_backlog = 4096
TCP synバックログは、追加処理のためにキューに入れられる synパケットの数を定義します。キューがいっぱいの状態で新たに受信した synパケットはすべて破棄されます。これにより、TCP syn-flood攻撃に対する保護が向上します。 net.ipv4.ip_forward = 0
IP転送は、Linuxシステムの IPルーティング機能です。SAP HANAデータベースはルータとして使用すべきではないため、IP転送は無効になっています。 net.ipv4.conf.default.send_redirects = 0 net.ipv4.conf.all.send_redirects = 0
IPリダイレクトを送信するのはルータ /ゲートウェイだけです。SAP HANAデータベースはゲートウェイとしては機能しないため、リダイレクトは無効になっています。
影響IPネットワークスタックの動作が変更されます。ネットワークの設定およびデバイス (ファイアウォールなど )によってはまれにネットワークまたはパフォーマンス上の問題が発生する場合があります。
優先度 : 高
第 1ローカルコンソール (tty1)からの「root」ログインのみを許可説明ttyを使用することで、KVMスイッチまたはリモート管理カード(ILOやDRACなど )経由でコンソール (通常は接続キーボード )からシステムにアクセスできます。デフォルトでは、Linuxには 6種類のコンソールがあり、Alt+F1~Alt+F6キーで切り替えることができます。この設定により、アクセスを単一のコンソール (tty1)に制限します。このアクセス方法はシステムへの緊急アクセスを想定したものです。したがって、一般的なシステム管理タスクのために使用すべきではありません。
手順/etc/securettyファイルに記載された、tty1を除くすべてのttyをコメントアウトまたは削除します。
影響ローカル KVMセッションまたはリモート管理セッションで複数のログインセッションを開くことができなくなります。ローカル作業の管理性が低下する可能性があります。
優先度 : 低
ホームディレクトリの許可を 775から 700に変更説明デフォルトでは、ユーザのホームディレクトリは、システム内のすべてのユーザがアクセス (読み取り、実行 )できるようになっています。このままではセキュリティ侵害が発生する可能性があるため、所有者のみがホームディレクトリにアクセスできるように変更する必要があります。
SAP HANAシステムユーザ (<sid>adm)のホームディレクトリは /usr/sap/<sid>/homeディレクトリです。このディレクトリ構造は SAPの領域であるため、ここでは変更方法に触れません。
手順次のコマンドを実行すると、/homeのすべてのホームディレクトリの許可が 700 (ユーザのみがディレクトリにアクセス可能 )に設定されます。 chmod 755 /home for a in $(ls /home); do echo “Changing rights for directory $a”; chmod 700 /home/$a; done
影響システムユーザは他のユーザのホームディレクトリにアクセスできなくなります。ホームディレクトリが /usr/sap/<sid>/homeである <sid>admユーザは例外となります。
優先度 : 中
新規ユーザを追加する際のホームディレクトリのアクセス権限をデフォルトで 700に設定説明/etc/login.defsのUMASK設定を 077に設定して、所有者のみがファイルやディレクトリにアクセスできるようにする必要があります (8 ページの「デフォルトの umask を調整」も参照 )。adduserコマンドを実行してホームディレクトリを新規作成した場合も 077に設定します。
特定のシステムファイルの許可を変更説明デフォルトでは、システムファイルの多くが、グループユーザまたは全ユーザによって読み取り可能な状態になっています。特に機密情報が含まれるファイルの場合、これはセキュリティリスクになる可能性があります。これらのファイル許可をより厳格な値に変更することで、ファイルのセキュリティを強化できます。
SUSEは、特定のファイルに対する許可を確認および設定するための chkstatツールを提供しています。許可は次のいずれかの環境設定ファイルで定義します。
permissions.local permissions.easy permissions.paranoid permissions.secure
permissions.localファイルは、ユーザがファイル許可を定義するためのファイルです。
10
サーバソリューションガイドSAP HANA向けOSセキュリティ強化ガイド
手順SAP HANAシステムでは、permissions.easyパターン、およびpermissions.localパターン内に格納されるいくつかのファイル許可を組み合わせて使用することをお勧めします。
まず、/etc/permissions.localファイルに次の許可を追加します。 # # HANA Security Hardening # /etc/at.allow root:root 0400 /etc/bash.bashrc root:root 0444 /etc/csh.cshrc root:root 0444 /etc/csh.login root:root 0444 /etc/shadow root:root 0400 /etc/inittab root:root 0400 /etc/syslog-ng/syslog-ng.conf root:root 0400 /etc/crontab root:root 0400 /etc/cron.d root:root 0700 /etc/cron.hourly root:root 0700 /etc/cron.daily root:root 0700 /etc/cron.weeky root:root 0700 /etc/cron.monthly root:root 0700 /etc/login.defs root:root 0400 /etc/security/access.conf root:root 0400 /etc/sysctl.conf root:root 0400 /etc/X11/xdm/Xservers root:root 0444 /root root:root 0700 /root/.cshrc root:root 0400 /var/log/boot.log root:root 0640 /var/log/sa root:root 0770 # # Changing permissions of utmp files would cause the commands # w, who and last not to work anymore for non-root users # # Uncomment these lines, if you are really sure about that # /var/run/utmp root:tty 0600 # /var/log/wtmp root:tty 0600
次に、permissions.secure パターンと permission.local パターンを正しい順序でインストールします。 chkstat --set permissions.secure chkstat --set permissions.local
影響上記ファイルへのアクセスを必要とする一部のシステム管理タスクは、通常のシステムユーザとしてではなく、rootユーザとして実行する必要があります。
優先度 : 中
SAP HANAファイアウォールSAP HANAネットワーク通信『SAP HANA Security Guide (SAP HANAセキュリティガイド )』(セクション 4.2「Network Security (ネットワークセキュリティ )」)では、SAP HANAデータベースのコンポーネントをそれぞれ異なるネットワークゾーンで実行することを推奨しています。また、ネットワーク通信を厳格にフィルタリングして、通信を最小限に抑える必要があります。
具体的には、特定のSAP HANAコンポーネントのネットワーク通信を複数の専用 IPネットワーク(ISO/OSI第3層)にセグメント化します。SAP HANAデータベースは、厳密に 1つのインタフェースを使用して各 IPネットワークに接続されます。このインタフェースは通常、複数の物理インタフェースによって冗長性を確保した論理結合インタフェースです。物理インタフェースはそれぞれ異なるイーサネットネットワークセグメント (ISO/OSI第 2層 )に接続されます。物理インタフェースの代わりに仮想インタフェースを使用することもできます。
SAP HANAネットワークはすべて分離するか (分散システムネットワーク )、または他のネットワークからの通信 (ユーザ通信 )を必要とする場合は外部ファイアウォールの内側に配置する必要があります。この外部ファイアウォールでは、このネットワーク上で受信する SAP HANAサービスとの通信に必要な SAP HANAネットワークのトラフィックのみ許可します。
外部ファイアウォールを設定できない場合または特定のネットワークが SAP HANAデータベースシステムだけでなく複数のサーバで共有される場合なども考えられます。このような場合には、外部ファイアウォールの機能の一部をローカルファイアウォールで実行します。
SAP HANAのローカルファイアウォール SAP HANAデータベースのセキュリティは、ローカルで実行しているファイアウォールの設定によって大幅に強化できます。このファイアウォールでは、HANAサービスまたはその他のシステムサービスがリスンしているポート上のネットワーク通信のみを許可する必要があります。その他のすべてのポートへの通信は遮断し、必要に応じてログに記録する必要があります。これは、『SAP HANA Security Guide (SAP HANAセキュリティガイド )』で推奨されている「最小限の通信アプローチ」を順守するものです。
SUSEは SAP HANA専用のローカルファイアウォールを、Linux iptablesをベースに開発しました。このファイアウォールでは、一般的な SAP HANAシステムのすべての要件が考慮されています。
提供される機能は次のとおりです。
SAP HANAサービスを事前に定義 (『SAP HANA Master Guide (SAP HANAマスタガイド )』に準拠 )
1つのサーバ上で実行している複数の SAP HANAインスタンスを保護可能
無数のインタフェースに対するインタフェースとサービスをマッピング
/etc/servicesから直接サービス定義を使用可能 サービスへのアクセスを特定のソースネットワークに限定可能 遮断されたパケットをオプションでファイアウォールのログファイルに記録可能
図5. 外部ファイアウォールを使ったSAP HANAネットワーク図の例
11www.suse.com
シミュレーションオプションとして、iptablesコマンドを実行するのではなくコンソールに表示可能 (仮定 ...)
すべての SAPシナリオで SAP HANAサーバに専用のローカルファイアウォールが必要というわけではありません。たとえば、すべての SAP HANAネットワークが適切に設定された外部ファイアウォールの内側にある場合、ローカルファイアウォールは必ずしも必要ではありません。
ただし、ローカルファイアウォールを置くことでネットワークのセキュリティが強化され、さらにはネットワークのデバッグ機能の向上に役立つ場合があります ( →遮断されたパケットのログ記録 )。次に、ローカルで実行されるファイアウォールが適している最も一般的な例を挙げます。
独立していない SAP HANAネットワークを他のネットワーク(ユーザネットワーク )から保護する外部ファイアウォールが利用できない場合
特定の SAP HANAネットワークの特定の SAP HANAポートにおけるネットワーク通信のみを許可するように、外部ファイアウォールを十分限定的に設定できない場合
外部ファイアウォールが十分なセキュリティゾーンを提供していない場合 (すべての SAP HANAネットワークにとって内部ファイアウォール、外部ファイアウォール、DMZが十分とは限らない場合があります )
保護されたネットワークに多くの異なるサーバが含まれる (SAP以外のサーバが同じネットワークに含まれる )場合
ローカルファイアウォールが適切な状況は他にもあります。たとえば、ローカルファイアウォールにおいて、予定外のサービスやデーモンが TCPやUDPポート上でリスンしたり接続を受け入れたりしないようにする場合です。これは、明確に許可されたネットワークポートのすべてが、デフォルトでブロックされるわけではないからです。また、ブロックされているポートで受信した不正なネットワークトラフィックをログに記録することができます。これにより、予定外の接続試行を簡単に特定できます。最後に重要なことは、ローカルファイアウォールが企業のセキュリティポリシーまたはセキュリティ監査で定められる要件になり得るという点です。
ダウンロードとインストールSAP HANAファイアウォールは RPMパッケージとして利用できま す。 パ ッ ケ ー ジ の ベ ー ス URL は 次 の と お り で す。 http://download.opensuse.org/repositories/home:/abergmann:/HANA
注 : この URLは将来変更される可能性があります。ダウンロード場所が見つからない場合は、このドキュメントの最新版を確認してください。
SAP HANAファイアウォールをインストールする前に、まずSuSEFirewall2パッケージをアンインストールすることをお勧めします。2つのファイアウォールを並行して実行することはできません。次のコマンドを実行して SuSEFirewall2をアンインストールします。 # Stop possibly running SUSE Firewall rcSuSEfirewall2 stop # Remove the SuSEFirewall2 package zypper rm SuSEFirewall2
SAP HANAファイアウォールパッケージは、手動でダウンロードしてインストールすることも、それぞれのパッケージリポジトリ、アップデートリポジトリのリストに追加してから、YaSTまたはZypperを使用してインストールすることもできます。後者の方法では、システムがインターネットに直接アクセス可能な必要があります。 # Manually download & installation of the package wget http://download.opensuse.org/repositories/ home:/abergmann:/HANA/SLE_11_SP3/noarch/HANA- Firewall-1.0-0.2.1.noarch.rpm zypper install HANA-Firewall-1.0-0.2.1.noarch.rpm # Adding the HANA firewall update repository and install via zypper zypper addrepo -f ‘http://download.opensuse.org/ repositories/home:/abergmann:/HANA/SLE_11_SP3/’ HANA-Tools zypper refresh -s zypper install HANA-Firewall
図6. SAP HANAファイアウォールネットワーク図の例
図7. SAP HANAファイアウォールネットワークのトラフィックフローの例
12
サーバソリューションガイドSAP HANA向けOSセキュリティ強化ガイド
このパッケージは、SuSEFirewall2パッケージと競合するようになっています。SuSEFirewall2パッケージを最初に削除せずにSAP HANAファイアウォールパッケージをインストールしようとすると、インストールの競合警告とともに、いくつかの解決オプ
設定前提条件他にローカルファイアウォールが実行されていないこと、再起動後に自動的に起動される他のファイアウォールがないことを確認してください。次のコマンドを実行して確認します。 # Check for enabled firewalls in SysVinit chkconfig -a |grep -i firewall # Check for possibly running firewall iptables -L
クイック設定ガイドこのクイック設定ガイドでは、シンプルな SAP HANAファイアウォールセットアップの手順を紹介します。
1. 環境設定ファイル /etc/sysconfig/hana_firewallを開きます。2. インストールしたすべての SAP HANAシステムと、パラメータ
HANA_SYSTEMSへのインスタンスをスペース区切りのリストとして追加します。<sid><インスタンス番号 >の形式を使用します (HDB00)。
3. ネットワークインタフェースとサービスのマッピングを、INTERFACE_<n>および INTERFACE_<n>_SERVICESパラメータを使って編集します。
1. ネットワークインタフェースが 1つ (名前が eth0)の場合、 次のように設定して次の手順に進みます。
# Interface eth0 INTERFACE_0=”eth0” # Enable all HANA services for all HANA instances + ssh service on eth0 INTERFACE_0_SERVICES=”HANA_* ssh”
2. ネットワークインタフェースが複数ある場合は、それぞれに対 して INTERFACE_<n>と INTERFACE_<n>_SERVICES パラメータを設定します。
3. 定義済みの SAP HANAサービスと特定のインタフェース上 で起動すべきその他のすべてのサービス (ssh)を、スペース区 切りのリストとして追加します。
4. hana_firewall設定を保存します。5. 次のコマンドを実行してファイアウォールをテストします。
ションが表示されます。その場合、SuSEFirewall2パッケージをアンインストールしてから SAP HANAファイアウォールパッケージをインストールするオプションを選択してください。
hana_firewall --simulate start hana_firewall start hana_firewall show
6. すべてが適切に動作したら、/etc/sysconfig/hana_firewallファイルをもう一度編集して、グローバルパラメータを設定します。
OPEN_ALL_SSH=”no”
7. sshサービスが少なくとも 1つのインタフェースで設定されていることを確認してください。設定されていない場合、ログインできなくなる場合があります。
8. 次のコマンドを実行してファイアウォールを再起動します。 hana_firewall restart
9. システムの起動時にファイアウォールが起動することを確認してください。
chkconfig hana_firewall on
設定の詳細な手順SAP HANAファイアウォールの設定は、/etc/sysconfig/hana_firewallファイルに保存されます。これは、viエディタまたはYaST2 Sysconfigエディタを使用して手動で編集できます。 yast2 sysconfig
この設定は、グローバルパラメータとインタフェースの 2つのカテゴリに分けられます。グローバルパラメータセクションでは、インストールした SAP HANAシステムおよびインスタンスなどのパラメータを設定します。インタフェースセクションでは、ネットワークインタフェースとサービスのマッピングを定義します。
グローバルパラメータセクション
SAP HANAシステムとインスタンス番号のリスト説明 :この設定では、SAP HANAシステムとインスタンス番号のリストがスペース区切りのリストに含まれます。形式は、<SID><インスタンス番号 >です (HNA00)。これらの値に基づいて、ファイアウォールは次に示す SAP HANAファイアウォールサービスのポートおよびポート範囲を自動的に作成します。
例 : HANA_SYSTEMS=”HNA00”
このパッケージは次のファイルをインストールします。
/usr/sbin/hana_firewall ファイアウォールの実行ファイル。/usr/sbin/hana_firewall –helpコマンドで使い方を表示できます。
/etc/init.d/hana_firewall SysVinitの起動 /停止スクリプト。引数なしでスクリプトを呼び出すと使い方を表示できます。
/etc/sysconfig/hana_firewall メイン環境設定ファイル
/etc/sysconfig/hana_firewall.d SAP HANAサービスおよびユーザ定義サービスのディレクトリ
/etc/sysconfig/hana_firewall.d/create_new_service.pl 新しい SAP HANAサービスを作成するときの小さなヘルパースクリプト
/etc/sysconfig/hana_firewall.d/* SAP HANAサービスおよびユーザ定義サービスの定義ファイル
13www.suse.com
すべてのデバイスで sshを開く説明 :すべてのインタフェースで ssh (セキュアシェル )ポートを開きます。これは、管理者ユーザを誤ってロックアウトすることがないかをテストする場合に便利です。ファイアウォールの設定では、1つのインタフェースに対してのみ sshを有効にすべきです。つまり、最終的な設定では、このグローバル設定を必ずオフにする必要があります。
例 : OPEN_ALL_SSH=”yes”
遮断されたパケットを syslogに記録説明 :このオプションを有効にすると、SAP HANAファイアウォールは遮断したパケットを /var/log/firewallの syslogに記録します。syslogのストームを回避するために、ログに記録するパケットの数は毎分 5パケット、バースト率は 10パケットに制限されています。
このオプションは、攻撃やポートスキャンの特定に便利なだけでなく、ファイアウォールで新たなポートのオープンを必要とする有効なリモート接続の試行を特定するのにも役立ちます。
例 : ENABLE_LOGGING=”yes”
インタフェースセクションINTERFACEおよび INTERFACE SERVICESパラメータは、サービスをネットワークインタフェースにマッピングします。INTERFACEパラメータには、INTERFACE_<0-n>の形式を適用し、eth0や bond0などの有効なネットワークインタフェースの名前を含める必要があります。
INTERFACE SERVICESパラメータには、INTERFACE_<0-n>_SERVICESの形式を適用し、コンマ区切りのリストに 1つ以上のサービス名を含める必要があります。サービス名には
/etc/sysconfig/hana_firewall.d
ディレクトリに定義されているすべてのサービスと、/etc/servicesからのすべてのサービス名を指定できます。
HANA_*という特殊な SAP HANAサービスには、すべてのSAP HANAサービスが含まれます。
サービスの説明に関する詳細は、/etc/sysconfig/hana_firewall.dディレクトリ内の該当するサービス定義ファイル、またはこのページの「事前定義されたサービス」セクションに記載されています。
すべてのサービス名の先頭には、オプションとしてネットワークまたはホストの定義を <ネットワーク >[/<cidrネットマスク >]の形式で付加できます。
例 :
INTERFACE_0=”eth0” INTERFACE_0_SERVICES=”HANA_* ssh”
INTERFACE_1=”bond1” INTERFACE_1_SERVICES=”smtp ssh:10.0.0.0/24 ntp:10.10.10.1 HANA_HTTP_CLIENT_ACCESS”
INTERFACE_2=”eth0:1” INTERFACE_2_SERVICES=”HANA_SYSTEM_REPLICATION HANA_DISTRIBUTED_SYSTEMS HANA_SAP_SUPPORT”
サービスサービスの定義サービスは、/etc/servicesファイルからのサービス名にするか、または SAP HANAファイアウォールサービスとして定義することができます。
SAP HANA ファイアウォールサービスの定義は、/etc/sysconfig/hana_firewall.dディレクトリに保存されます。それぞれのファイル (大文字 )は 1つのサービスを定義します。サービス名はファイル名であるため、メイン設定のインタフェースセクションにそのまま使用できます。
現在、各サービスファイルには tcpおよび udpポートとポート範囲、またはそのいずれかを指定する 2つのパラメータ (TCP、UDP)が必要です。ポートとポート範囲は、スペース区切りのリストとして入力する必要があります。ポート範囲は、<開始ポート >:<終了ポート >の形式 (10000:20000)で定義します。
例 : TCP=”22” UDP=””
TCP=”10050:10054 111 2049” UDP=”10050:10054 111 2049”
ユーザ定義サービスを新たに作成する場合は、create_new_service.plスクリプトを使用できます。 cd /etc/sysconfig/hana_firewall.d
./create_new_service.pl
その後、画面に表示される指示に従ってください。サービスは、作成直後から使用できます。
事前定義されたサービス
SAP HANAサービス『SAP HANA Master Guide (SAP HANAマスタガイド )』には、SAP HANAが使用するすべてのサービスと必要なTCP/UDPポートが記載されています。これらのサービスはすべて、事前定義サービスとして SAP HANAファイアウォールで利用できます。
次に、すべての SAP HANAサービスの一覧と簡単な説明を示します。 詳 細 に つ い て は、『SAP HANA Master Guide (SAP HANA マスタガイド )』のセクション「2. The SAP HANA Network (SAP HANAネットワーク )」を参照してください。
ほとんどの SAP HANAサービスは、SAP HANAシステムのインスタンス番号に応じてポート番号を選択します。ファイアウォールは、SAP HANAインスタンス番号で定義されたメイン設定のすべてを適切なポート番号に自動的に展開します。
14
サーバソリューションガイドSAP HANA向けOSセキュリティ強化ガイド
テストとアクティベーションファイアウォールをテストファイアウォールを適切に設定したら、慎重にテストする必要があります。基本的なタスクの実行には、SysVinitスクリプト /etc/init.d/hana_firewallを実行できます。ただし、テストの際にはSAP HANAファイアウォールの実行ファイル /usr/bin/hana_firewallを直接使用することをお勧めします。
まず、「--simulate」オプションを使ってシミュレーションを開始します。このオプションは、iptablesのコマンドを実行するのではなく、STDOUTに出力するだけです。 hana_firewall --simulate start
ルールに問題がなければ、次のコマンドを実行してファイアウォールをテストします。 hana_firewall start
注 : 設定にエラーがある場合、問題の詳細が表示されます。
ファイアウォールが問題なく起動したら、次のコマンドを実行してインストールしたすべての iptablesルールを一覧表示します。 hana_firewall show
設定に変更を加えた場合、ファイアウォールを再起動する必要があります。 hana_firewall restart
ファイアウォールのルールセットが最終的に決定したら、ファイアウォール環境設定ファイルのグローバルパラメータ「OPEN_ALL_SSH」を「no」に変更することが可能です。sshサービスが少なくとも 1つのインタフェースで設定されていることを確認してください。
ファイアウォールを有効化システムの起動時にファイアウォールを自動的に起動させるには、SysVinitで次のコマンドを実行してファイアウォールサービスを有効にする必要があります。 chkconfig hana_firewall on
自動的に起動するよう有効にされているファイアウォールが他にないことを確認してください。
サービス名 説明 (詳細については、『SAP HANA Master Guide (SAP HANA マスタガイド )』を参照 )
ポート (xx=インスタンス番号、 xy=インスタンス番号+ 1)
HANA_DATABASE_CLIENT SAP HANAをデータベースとして使用するアプリケーションサーバの ポートを開きます。
TCP=” 3xx15 3xx16”
HANA_DATA_PROVISIONING この接続はイベントストリーミングに使用されます。プロトコルは QLDBC (ODBC/JDBC)です。
TCP=” 3xx15 3xx17”
HANA_HTTP_CLIENT_ACCESS Webブラウザの SAP HANAへのクライアントアクセスのポートを開き ます。
TCP=” 80xx 43xx”
HANA_SAP_SUPPORT
この接続は、特定のサポートケースでのみ必要なため、デフォルトでアクティ ブになりません。サポート接続の開き方については、『SAP HANA Administration Guide (SAP HANA管理ガイド )』を参照してください。
TCP=” 3xx09”
HANA_DISTRIBUTED_SYSTEMS
分散シナリオ : 社内ネットワークの通信は、1つのサイトの分散システムの ホスト間で行われます。SAP HANA認定ホストには、個別の IPアドレス およびポートを使ってプライベートネットワークの一部として設定された、 個別のネットワークインタフェースカードが含まれます。
TCP=” 3xx00 3xx01 3xx02 3xx03 3xx04 3xx05 3xx07 3xx10 3xx40:3xx99”
HANA_STUDIO
インスタンスエージェントへの接続は、低いレベルで SAP HANAインス タンスにアクセス可能な管理チャネルとして機能するため、SAP HANA データベースの起動または停止などの機能を実行できます。この接続に使用 されるプロトコルは、SQLDBC (ODBC/JDBC)です。
TCP=” 5xx13 5xx14”
HANA_STUDIO_LIFECYCLE_ MANAGER
これは、SAP Host Agentを介した SAP HANA Lifecycle Manager への接続です。SAP HANA Lifecycle Managerの詳細については、 『SAP HANA Update and Configuration Guide (SAP HANAアッ プデートおよび設定ガイド』)を参照してください。この接続に使用される プロトコルは、SQLDBC (ODBC/JDBC)です。
TCP=” 1128 1129”
HANA_SYSTEM_REPLICATION
分散シナリオ : 社内ネットワークの通信は、1つのサイトの分散システムの ホスト間で行われます。SAP HANA認定ホストには、個別の IPアドレス およびポートを使ってプライベートネットワークの一部として設定された、 個別のネットワークインタフェースカードが含まれます。
TCP=” 3xy01 3xy02 3xy03 3xy04 3xy05 3xy07 3xy40:3xy99”
HANA_* すべての SAP HANAサービスを含む特殊なサービスです。
サービス名 説明 ポート NFS_SERVER
NFSサーバへのアクセスを許可にするには、特定のNFSサービスの固定 ポートも /etc/sysconfig/nfsで設定する必要があります。NFSは通常、 ランダムなポート番号を使用するため、ファイアウォールを限定的に有効に することが難しくなります。 MOUNTD_PORT=” 10050” STATD_PORT=” 10051” LOCKD_TCPPORT=” 10052” LOCKD_UDPPORT=” 10052” RQUOTAD_PORT=” 10053” STATD_OUTGOING_PORT=” 10054”
TCP=” 10050:10054 10050:10054 111 111 2049 2049” UDP=” 10050:10054 10050:10054 111 111 2049 2049”
ユーザサービス現時点で、ローカルで実行しているNFSサーバ向けのユーザサービスは事前定義されたサービス 1つだけです。
15www.suse.com
最小限のOSパッケージ選択背景一般的な Linuxのインストールには、セキュリティに関連する可能性のあるファイルが多数あります。これは特にバイナリファイルや実行ファイルに当てはまることです。また、サービスを実行するすべてのファイルが、ローカルやリモートの攻撃に脆弱である可能性があります。そのため、インストールするファイル (バイナリファイル、実行ファイル、環境設定ファイル )と実行するサービスはできるだけ少なくすることをお勧めします。
SUSE Linux Enterprise Serverは、Linuxアプリケーションやサービス、ライブラリなどの各論理コンポーネント向けの RPMパッケージを提供しています。RPMパッケージは、実行ファイル、その他のバイナリファイル、環境設定ファイル、およびドキュメントファイルを含め、特定のコンポーネントに属するすべてのファイルをグループ化します。最も一般的なパッケージは、「インストールパターン」としてユースケースによってグループ化されています。このパターンは、たとえば SAPサーバと開発ツールなど、特定のユースケースの要件に適した簡単なインストールを実現するために、OSのインストール中に選択することも、インストール後に YaSTを使って選択することもできます。
インストールする RPMパッケージの数を最小限に抑えることで、システム上の脆弱な可能性のあるファイルの数を減らすことができ、その結果、システム全体のセキュリティが大幅に向上します。さらに、インストールするパッケージの数が少なければ、定期的にシステムに適用すべき (セキュリティの )アップデートやパッチの数も少なくて済みます。
SAP HANAは、出荷されるバージョンもさまざまで、標準インストールの一部ではないコンポーネントも数多く追加できる、非常に複雑なアプリケーションです。このため、JeOSアプローチに従うの は困難です。JeOSとは、「Just enough Operating System (必要最低限のOS)」の略で、Linuxシステムのインストールにボトムアップアプローチを定義しています。これはつまり、最初のOSのインストールは最小限のパッケージセットに基づき、どうしても必要になった場合にのみパッケージを追加するというものです。SAP HANAシステムの場合、JeOSアプローチは採用できません。なぜなら、異なる設定、バージョン、アドオンなど、特定の SAP HANAインストールのあらゆる事態を考慮しなければならないからです。このアプローチでは、パッケージの不足によって非互換性を招く可能性が高くなり過ぎてしまいます。
そのため、最小限のパッケージを選択するという現在のアプローチは、SUSE Linux Enterprise Server の標準インストールとJeOSインストールとの中間にあると言えます。この戦略では、SUSE Linux Enterprise Serverのインストールパターン「Base System」+「Minimal System」を使用し、オプションでサポートに連絡していくつかの必要なパッケージを追加します。
必要なインストールパターンとパッケージSAPでサポートされるSAP HANAの最小限のOSパッケージインストールについては、SAP Note「#1855805̶Recommended SLES 11 packages for HANA support on OS level (OSレベルでの HANAサポートで推奨される SLES 11パッケージ )」に記載されています。
少なくとも次の 2つのパターンをインストールすることを強く推奨します。
Base System Minimal System (Appliances)
標準のインストールでは 1200パッケージですが、この方法では合計約 500パッケージがインストールされます。
サポートに問い合わせた場合、いくつかのパッケージの追加インストールを担当者から求められることがあります。これらのパッケージを次の表に示します。
これらのパッケージの中には、一部の X11ライブラリとの依存関係を追加的に持つものがあり、その結果、合計パッケージ数は約 750個になります。これらの追加パッケージは、OSのインストール中にデフォルトでインストールすることをお勧めします。
SSLをサポートするには、SAPCYPTOLIB (SAPパッケージ )とSARアーカイブツールも併せてインストールする必要があります。
まれに、サポートから追加パッケージのインストールを求められる場合があります。そのため、一般的に SUSE Linux Enterprise Serverアップデートリポジトリを SAP HANAシステムで設定し、新しいパッケージを迅速にインストールできるようにすることをお勧めしています。
ヒント : リモート ssh接続で X11転送を有効にしたい場合 (「ssh -X」または「ssh -Y」)、追加パッケージ xorg-x11-xauth isが必要です。ssh経由の X11転送は、SAP HANAグラフィカルインストーラを使用する場合などに便利です。
セキュリティアップデートSUSE Linux Enterprise Server 11のセキュリティアップデート他の商用ソフトウェアと同様に、オープンソースソフトウェアはハッカーやセキュリティエキスパートによって脆弱性が頻繁に試され、脆弱性が見つかってしまうことも珍しくありません。また、オープンソースソフトウェアにはプログラミングエラーが含まれ、セキュリティリークの原因になるものもあります。おそらく、脆弱性の要因になることが多い最も一般的なプログラミングエラーは、バッファオーバーフローです。攻撃者は、保護されたメモリ領域を自身のコー
bing ポイント間の帯域幅測定ツール
bonnie ファイルシステムのベンチマーク
cairo ベクタグラフィックスライブラリ
findutils-locate ファイル検索ツール
graphviz グラフ描画ツール
iptraf TCP/IPネットワークモニタ
krb5-32bit MIT Kerberos5実装 - ライブラリ
krb5-client MIT Kerberos5実装 - クライアントプログラム
nfs-client NFS向けサポートユーティリティ
sensors Linux向けハードウェアヘルスモニタリング
図8. 特定のパッケージの選択によるインストールパッケージ数の比較
16
サーバソリューションガイドSAP HANA向けOSセキュリティ強化ガイド
ドを使って上書きすることができます。ここ数年で最も話題になったバッファオーバーフローの脆弱性の 1つに、OpenSSLライブラリで見つかったものがあります。これは「Heart Bleedバグ」として広く知られています。SUSE Linux Enterprise Server 11は、幸運にもこの脆弱性の影響を受けませんでした。
新たに発見されたセキュリティの脆弱性がセキュリティメーリングリスト上、またはセキュリティアドバイザリによって報告されるとすぐに、影響を受けるコードが、ときには数時間以内という速さで修正されます。この修正は、影響を受けるアプリケーションの作成者、コミュニティのセキュリティエキスパート、または Linuxディストリビュータによって実行されます。
SUSE Linux Enterprise Serverの場合、報告を受けて作成されるセキュリティパッチが該当するソフトウェアパッケージに迅速に組み込まれ、アップデートチャネルを通じてセキュリティアップデートとして公開されます。アップデートは届き次第、SUSE Linux Enterprise Serverのすべてのお客様にご利用いただけるようになります。
SUSE Linux Enterprise ServerのアップデートチャネルSAP HANAシステムのセキュリティアップデート (およびその他のアップデート済みパッケージ )を受け取るには、SUSEアップデートチャネルを適切に設定する必要があります。通常、SAP HANAシステムにはインターネットへのダイレクトアクセスがありません。企業のネットワークと、SUSE SMTサーバやSUSE Managerインスタンスなどのインターネット間にアップデートプロキシが必要です。
お使いの SAP HANAシステムがセキュリティアップデートを受け取れるように適切に設定されており、SUSEアップデートチャネルに登録されているかを確認するには、次のコマンドを実行します。 zypper lr
このコマンドは、SUSE Linux Enterprise Serverインスタンスの利用可能なソフトウェアリポジトリをリスンします。出力には、SUSE Linux Enterprise Server 11 SP3システムのアップデートチャネル「SLE11-SP3-Updates」が表示されます。SUSE Linux Enterprise Server for SAP Applications 11 SP3システムの場合、「SLE11-SP3-SAP-Updates」 と「SLES11-SP3-SAP-Updates」チャネルも表示されます。
新しいパッチや選択したセキュリティアップデートのインストールには、さまざまな方法があります。セキュリティアップデートのみをインストールする最も一般的な方法は、次のコマンドを実行することです。 zypper ref # Refreshes the update sources zypper patch -g security # Install security patches only
アップデートを受け取るための SAP HANAシステムの適切な設定方法について詳しくは、リソースライブラリ 2の『SUSE Linux Enterprise Server Maintenance Made Simple (SUSE Linux Enterprise Serverのシンプルな保守 )』を参照してください。
アップデートおよびパッチ戦略多くの場合、組織には Linuxサーバのアップデートおよびパッチに関する要件を示す企業ポリシーがあります。またそのほとんどにおいて、保守時間の間隔を短くするなどのセキュリティ対策が考慮されています。
次の概要では、最も一般的なアップデートおよびパッチ戦略のいくつかを示すとともに、その利点と欠点について説明します。
定期的にすべての新しいアップデートとパッチをインストール説明 : 新しいアップデートとパッチを、たとえば 1日 1回や 1週間に一度、システム管理者が手動で、または YOU (YaST Online Update)やSUSE Managerなどの自動アップデートツールを使ってインストールします。SUSEはサービスパック間で新しい機能を実装することがないため、アップデートとパッチ (セキュリティアップデートを含む )がシステムに悪影響を及ぼすことは通常ありません。しかしまれに、アップデートによって問題が生じ、システムの安定性が損なわれる場合があります。
利点 : システムは常に最新の状態で、最新のセキュリティアップデートがすばやく適用されます。これにより、システムのセキュリティが非常に高まります。
欠点 : まれに、アップデートやパッチによって問題が発生する場合があります。
推奨 : 非生産的なすべての SAP HANAシステムには優れた戦略ですが、本番運用中のシステムには適しません。
保守時間にすべての新しいアップデートとパッチをインストール説明 : この戦略は前述の戦略と非常に似ていますが、SAP HANAシステムが本番運用中でないこと、またはアップデートサイクル中は可用性が限定されることを保証します。大規模データベースを実行しているシステムで一般的に使用されます。
利点 : 問題のあるアップデートが本番運用中の SAP HANAシステムを危険にさらすことがありません。
欠点 : 保守時間は通常、頻繁には設けられていないため (1カ月に一度など )、セキュリティの観点から見てシステムが最新の状態にない可能性があります。
推奨 : この戦略は、重要なセキュリティアップデートを通常の保守時間外にインストールする場合にのみ有効です。
新しいアップデートとパッチを選択的にインストール (セキュリティアップデートのみ )説明 : セキュリティアップデートのみなど、パッチとアップデートを選択してインストールする方法で、問題のあるアップデートがインストールされる可能性がさらに低くなります。この戦略は、定期的なシステムアップデートと組み合わせることが一般的です。パッケージの選択的なインストールは、Zypper (例は「SUSE Linux Enterprise Serverのアップデートチャネル」セクションを参照 )、またはSUSE Managerを使って実行できます。残りのすべてのパッケージアップデート (バグ修正によるアップデート )も同様に、保守時間中などにインストールする必要があります。
利点 : 大部分のセキュリティパッチがインストールされ、システムをほぼ最新の状態に保つことができます。
__________
2 https://www.suse.com/ja-jp/products/sles-for-sap/resource-library/
17www.suse.com
欠点 : 選択しなかったパッケージ (セキュリティカテゴリに属するパッケージ )はすべて、即時にはインストールされません。
推奨 : アップデート戦略としては最善と言えるでしょう。
SAP HANAシステムをアップデートしない説明 : システムは SUSEアップデートチャネルに登録されず、いかなるアップデートも適用されません。
利点 : ありません。
欠点 : 既知のセキュリティ脆弱性は常に増え続けているため、システムがハッカーによる攻撃の絶好の標的になります。
推奨 : SUSEアップデートチャネルに登録し、少なくともセキュリこのパッケージは次のファイルをインストールします。ティアップデートは定期的にインストールすることを強く推奨します。
組織の SAP HANAシステムにとってどのアップデート戦略が最適かは、その企業のアップデートおよびパッチポリシー /ガイドラインと、個々の SAP HANAシステムの要件に大きく左右されます。重要なSAP HANAシステム (本番運用中のERPデータベースなど )には、さらに保守的なアップデート戦略を選択する必要があります。テストシステムの場合、YOU (YaST Online Update)などを使って、アップデートが定期的に自動適用されることもあります。
展望このガイドではセキュリティ強化についてほとんどのトピックを取り上げていますが、今後も改良を予定しています。また、SAP HANAの新しいバージョンでは、強化設定、ファイアウォール、または最小限のパッケージ選択に関して、要件が変更されたり、新たな要件が追加されたりしている場合があります。これらの新しい要件は生じ次第、組み込んでいく予定です。
次のリストは、このドキュメントの今後の改訂版で取り扱う可能性のある、機能強化予定の概要です。
強化設定 : さまざまなSAP HANAインストールおよびユースケースに向けた、さらなる強化設定および強化設定パターンを提供
ファイアウォール : ファイアウォールの設定では、インストールされた SAP HANAデータベースシステムの自動検出などの機能を改善
最小限のパッケージ選択 : SAP HANAのインストールに必要なパッケージ数をさらに削減
このドキュメントの最新バージョンを、SUSE Webサイト 3のリソースライブラリで適宜チェックすることをお勧めします。
著者についてこのドキュメントは、SAP Linux Labでアーキテクト兼テクニカルマネージャとして勤務するMarkus Guertlerと、SUSE保守およびセキュリティチームのソフトウェアセキュリティエンジニアであるAlexander Bergmannによって作成されました。
追加情報と参照資料次の表に、このガイドで説明したトピックの追加情報の参照先を示します。
このドキュメントに関してご不明な点、コメント、フィードバックなどがございましたら、[email protected] まで eメールでご連絡ください。
__________
3 https://www.suse.com/ja-jp/products/sles-for-sap/resource-library/
SUSEセキュリティポータル www.suse.com/security SUSE Linux Enterprise Server Security Guide (SUSE Linux Enterprise Serverセキュリティガイド )
www.suse.com/documentation/sles11/singlehtml/book_security/ book_security.html
SAP HANA Security Guide (SAP HANAセキュリティガイド ) http://help.sap.com/hana/SAP_HANA_Security_Guide_en.pdf SAP HANA Master Guide (SAP HANAマスタガイド ) http://help.sap.com/hana/SAP_HANA_Master_Guide_en.pdf Recommended SLES 11 packages for HANA support on OS level (OSレベルでのHANAサポートで推奨される SLES 11 パッケージ )
SAP Note #1855805
SUSE Linux Enterprise Server 11 Installation Notes (SUSE LINUX Enterprise Server 11インストールの注意事項 )
SAP Note #1310037
18
サーバソリューションガイドSAP HANA向けOSセキュリティ強化ガイド
264-JA0003-002 | 01/15 | © 2015 SUSE LLC. All rights reserved. SUSE、SUSEロゴ、およびYaSTは、米国およびその他の国におけるSUSE LLCの登録商標です。すべての第三者の商標は、それぞれの商標権者に帰属します。
www.suse.com
お近くのSUSEソリューションプロバイダまたはノベル 株式会社までお問い合わせください。
ノベル株式会社〒 162-0845東京都新宿区市谷本村町 1-1住友市ヶ谷ビル 12階電話 0800-100-5575(フリーダイアル)www.suse.com/ja-jp/
SUSEMaxfeldstrasse 590409 NurembergGermany