pat98's always & forever

Exadata Image 21.2.0 부터 host_access_control 명령어를 통해 SElinux 설정 가능
-> 기본은 SElinux 가 disable 되어있다.

- permissive Mode (SELinux가 감사로그에 위반사항을 시스템에 능동적으로 모니터링하고 정책을 기록한다. 그러나 차단되는 작업은 없다)
/opt/oracle.cellos/host_access_control selinux --permissive

- enforcing Mode (정책 위반을 적극적으로 차단하고 감사 로그에 개입 기록)
/opt/oracle.cellos/host_access_control selinux --enforcing

- relabel  (SELinux를 처음 사용하도록 설정한 경우 시스템에 파일 레이블을 다시 지정해야 한다)
/opt/oracle.cellos/host_access_control selinux --relabel
-> relabel 은 시스템 리부팅이 필요

- Disabling SELinux
/opt/oracle.cellos/host_access_control selinux --disabled

- SElinux Status 확인
/opt/oracle.cellos/host_access_control selinux --status

- Configured Status 확인
/opt/oracle.cellos/host_access_control selinux --config

Exadata 의 시스템 보안설정

# /opt/oracle.cllos/host_access_control --help

주요 설정 항목
• access             - 호스트, 네트워 크 등의 사용자 액세스 
• auditd-options     - auditd 옵션
• banner             - 로그인 배너 관리
• fips-mode          - openSSH FIPS 모드
• idle-timeout       - Shell 및 SSH 클라이언트 유휴 시간 제한시간 제어
• pam-auth           - PAM 인증 설정
• password-aging     - 현재 사용자 비밀번호의 에이징 조정
• rootssh            - 루트 사용자의 SSH 액세스 제어
• ssh-access         - 사용자 및 그룹의 SSH 액세스 허용 또는 거부
• sshciphers         - SSH 암호화 지원 제어
• ssh-macs           - SSH에서 지원되는 MAC
• sudo               - sudo로 사용자 권한 제어
• get-runtime        - 시스템 구성설정을 가져와 host_access_control 매개변수 설정파일에 저장

# /opt/oracle.cellos/host_access_control apply-defaults --strict_compliance_only

-> host_access_control 명령어로 시스템 보안설정을 누출없이 일괄 정의 가능

• INACTIVE=0
• 로그인 시도 실패 수를 5로 설정
• 로그인 시도를 한 번 실패한 후 계정의 lock_time을 600으로 설정
• 비 밀번호 기록(pam_unix remember)을 10으로 설정
• 암호 강도 :  pam_pwquality.so minlen=15 minclass=4 dcredit=-1 ucredit=-1 lcredit=-1 ocredit=-1 difok=8 maxrepeat=3
maxclassrepeat=4 local_users_only retry=3 authtok_type=
• PermitRootLogin no
• hard maxlogins 10
• hmac-sha2-256,hmac-sha2-512(서버와 클라이언트 모두)
• 암호 에이징 -M 60, -m 1, -W 7