ガイド - SuSE

SAP HANA 向け OS
セキュリティ強化ガイド
SUSE® Linux Enterprise Server 上で実行する SAP HANA 向けに開発
ガイド
www.suse.com
ソリューションガイド
サーバ
目次
ページ
はじめに . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
HANA 向け SUSE Linux Enterprise セキュリティ
強化設定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
SAP HANA ファイアウォール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
最小限の OS パッケージ選択 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
セキュリティアップデート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
展望. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
著者について . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
追加情報と参照資料 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
サーバソリューションガイド
SAP HANA 向け OS セキュリティ強化ガイド
はじめに
IT セキュリティは、あらゆる組織にとって非常に重要なト
ピックです。Web サイトへのハッキング、サービス拒否攻
撃、ユーザデータ ( パスワード、銀行の口座番号、その他
の機密データ ) の盗難などの新たな IT セキュリティインシ
デントが紙面をにぎわしています。
マスコミによって報じられている攻撃に加え、公にはされていない
インシデントも大量に発生しています。特に、スパイ行為関連のイン
シデントの場合、被害者は公表しません。公表することにメリット
がないからです。
機密データを保護するためには、包括的なセキュリティコンセプトを
整備して、セキュリティリスクにつながる可能性のあるすべての不
測の事態に備える必要があるとセキュリティ専門家は述べています。
そのためにはまず、ユーザおよびシステム管理者向けにポリシー ( パ
スワードポリシーやデータ保護ポリシーなど ) を適切に設定する必
要があります。次に、通信プロトコルでファイアウォール、VPN、
SSL などを使用して IT 環境を保護します。そして最後に、サーバ、
侵入検知システム、データ暗号化、自動セキュリティレポーティン
グを強化します。さらに、組織の多くは、セキュリティ監査を定期
的に実施することで IT 環境のセキュリティを最大限高めています。
通常、包括的なセキュリティコンセプトではデータベースシステム
に多くの注意が払われます。データベースは各 IT 環境における最も
重要なコンポーネントの 1 つだからです。機密データが格納される
可能性のあるデータベースシステムは、当然、ハッカーから狙われ
やすくなります。したがって、データベースシステムの保護は特に
強化する必要があります。
ど、SAP HANA を使用するその他の SAP アプリケーションでも、
データベースに機密データが格納されていることがあります。
SAP HANA のセキュリティ
SAP はセキュリティを非常に重視しています。SAP HANA をデー
タベースの観点から保護する方法を詳しく紹介した包括的な『SAP
HANA Security Guide (SAP HANA セキュリティガイド )』が
あります 1。このガイドは、SAP HANA データベース以外の層 ( ネッ
トワーク層やストレージ層など ) のセキュリティコンセプトについ
ても紹介しています。ただし、これらのトピックについては一般的
な説明しかなく、記載された推奨事項を OS レベルに適用するため
の具体的なガイドはありません。
SUSE® Linux Enterprise Server のセキュリティ
SAP HANA データベースのセキュリティと同等以上に重要となる
のが、基盤となる OS のセキュリティです。ハッカーの多くは、デー
タベースそのものではなく、OS をターゲットとして攻撃を仕掛け
てきます。OS にアクセスし、必要な権限を獲得できれば、ハッカー
はその OS 上で実行されているデータベースアプリケーションを攻
撃することが可能になります。
SUSE Linux Enterprise Server は SAP HANA で推奨、サポー
トされる OS です。SUSE は、Linux OS の IT セキュリティに関
して長年の経験を有し、SUSE Linux Enterprise Server をあら
ゆる種類のセキュリティインシデントから保護するための包括的な
セキュリティパッケージを提供しています。このパッケージは次の
コンポーネントで構成されます。
セキュリティ認定 : SUSE Linux Enterprise 11 OS は、キャリ
アグレード Linux (CGL) の登録、OpenSSL の FIPS ( 連邦情報
処理標準 ) 140-2 認定、Common Criteria セキュリティ認定
EAL4+ など、数多くの重要なセキュリティ認定を取得しています。
セ キ ュ リ テ ィ ア ッ プ デ ー ト お よ び パ ッ チ : SUSE は、SUSE
Linux Enterprise OS 向けのセキュリティアップデートとパッ
チを継続的に提供し、製品ライフサイクル全体にわたって最高水
準のセキュリティ基準を保証しています。
マ ニ ュ ア ル : SUSE は、SUSE Linux Enterprise Server 11
OS のセキュリティコンセプトおよび特長について記載したセ
キ ュ リ テ ィ ガ イ ド を 発 行 し て い ま す (www.suse.com/
図1. 企業ITセキュリティの要素
一般に、SAP HANA データベースにはビジネス関連の情報 ( 多く
の場合は非常に重要性の高い情報 ) が格納されます。特に、SAP
HANA をデータベースとして使用する ERP システムの場合はその
傾向が顕著です。また、Business Warehouse (BW) システムな
2
documentation/sles11/singlehtml/book_hardening/
book_hardening.html)。このセキュリティガイドでは、SAP
HANA だけでなく、すべてのワークロードで役立つ一般的なセ
キュリティ情報を紹介しています。
__________
1 http://help.sap.com/hana/SAP_HANA_Security_Guide_en.pdf
図2. SUSE Linux Enterprise Serverのセキュリティコンポーネント
このガイドについて
このガイドは、SAP HANA のセキュリティ基準を強化することを目
的に作成されており、SAP HANA データベースを実行する SUSE
Linux Enterprise Server 11 のセキュリティ強化について重点的に
説明しています。一般的な内容を扱う『SUSE Linux Enterprise
Server Security Guide (SUSE Linux Enterprise Server セキュ
リ テ ィ ガ イ ド )』 お よ び『SAP HANA Security Guide (SAP
HANA セキュリティガイド )』では網羅できなかった内容をカバー
しています。SUSE は、関連するすべてのセキュリティ設定を特定し、
実環境での問題を回避するために、大規模なパイロット顧客と協力し
て作業を進めました。また、SAP Linux Lab の SAP と緊密に連携
して、SAP HANA との最大限の互換性を実現しています。
ベースのネットワークセキュリティが強化されます。残りのネッ
トワークポートはすべて閉じたままになります。このファイア
ウォールは幅広い機能を備え、設定も容易です。RPM パッケー
ジとして使用可能で、SUSE サーバからダウンロードできます。
最小限のパッケージ選択 : SAP HANA システムにインストール
されている OS パッケージの数が少ないほど、セキュリティホー
ルが生じる可能性も低くなります。この原則に則り、このガイド
ではどのパッケージが必要不可欠で、どのパッケージがセキュリ
ティの観点で不要かを紹介します。また、パッケージ数を最小限
に抑えることで、システムに適用するアップデートやパッチの数を
減らせるというメリットもあります。
セキュリティアップデートおよびパッチ : オープンソースのソフ
トウェアは頻繁に見直しが行われ、セキュリティ上の脆弱性がな
いかテストされています。脆弱性を見つけようとするのは、オー
プンソースの開発者、オープンソースコミュニティのセキュリティ
エンジニア、セキュリティ企業、そしてもちろん悪意を持つ者です。
脆弱性が検出および報告されると、セキュリティアドバイザリに
記載されます。そして通常はすぐに修正されます。SUSE は、
SUSE Linux Enterprise Server 上のすべてのサポート対象
パッケージについて、セキュリティアップデートとパッチを継続
的に提供しています。このガイドでは、最適なアップデートおよ
びパッチ戦略について、そして関連するすべてのセキュリティアッ
プ デ ー ト を 頻 繁 に 受 信 す る た め の SUSE Linux Enterprise
Server の設定方法について説明しています。
さらに、SAP HANA システムの OS 強化に関連するあらゆる重要
トピックについて詳しく紹介しています。セキュリティ認定 (CGL、
FIPS、EAL4+) や継続的に提供されるセキュリティアップデート
およびパッチなど、SUSE Linux Enterprise Server 11 のセキュ
リティに関するその他の特長を併せて活用することにより、SAP
HANA を非常にセキュアな環境で実行して、最高水準のセキュリ
ティ基準を満たし、あらゆる規模の組織の企業セキュリティコンセ
プトに準拠できます。
図3. SAP HANAのOSセキュリティ強化に関する3つの主要トピック
このガイドでは、次のトピックについて詳しく説明しています。
SAP HANA システムのセキュリティ強化設定 : Linux OS には、
OS やホストアプリケーションのセキュリティをさらに強化するた
めの調整や設定が数多く用意されています。特定のアプリケー
ションワークロードに対応するため、デフォルト設定ではセキュリ
ティを最大限に高めるように調整されていません。このガイドでは、
OS を調整して、SAP HANA を実行する際にセキュリティを最大
限に高める方法について説明しています。また、システム管理など
への影響、および各設定の優先順位についても紹介しています。
SAP HANA の ロ ー カ ル フ ァ イ ア ウ ォ ー ル : SUSE は SAP
HANA システム専用のローカルファイアウォールを開発しまし
た。このファイアウォールにより、SAP HANA やその他のサー
ビスで必要となる外部ネットワークインタフェースのネットワー
クポートを選択的に開くことができるため、SAP HANA データ
www.suse.com
図4. SAP HANA+OSセキュリティ
HANA 向 け SUSE Linux Enterprise セ キ ュ リ テ ィ
強化設定
Linux セキュリティ強化の概要
SUSE Linux Enterprise Server は標準インストールの時点で高水
準のセキュリティを備えています。ただし、
あらゆる Linux サーバワー
クロードへの対応を念頭に置いているため、標準では一般的なセキュ
リティ設定になっています。また、セキュリティ設定の多くは、シス
テム管理者、そして場合によってはシステムユーザの操作性にも影響
します。そのため、SUSE Linux Enterprise Server 11 の標準セキュ
リティ設定では、すべてのワークロードとの互換性、管理の容易性、
OS のセキュリティの 3 点の最適なバランスが考慮されています。
3
サーバソリューションガイド
SAP HANA 向け OS セキュリティ強化ガイド
SAP HANA は要件が明確に定義された専用ワークロードです。こ
各設定の影響に基づいて、システム管理者またはセキュリティエンジ
ニアは、セキュリティを強化するために管理容易性を犠牲にするだけ
の価値があるかどうかを判断できます。判断基準は、システムの使用
方法やシステム管理タスクの実行方法によって大きく異なります。
セキュリティを強化すればセキュリティは向上しますが、その代償
として、管理の容易性が低下し、システム機能が制限されます。こ
の事実についてはすべてのシステム管理者が認識する必要がありま
す。ただし、システムのセキュリティを厳格にすれば、保護レベル
が向上し、攻撃が成功するリスクを軽減できます。多くの場合、企
業のセキュリティポリシー、ガイドライン、セキュリティ監査など
で非常に厳格なセキュリティ基準が規定されており、システム設定
が制限されています。
優先度を通じて、各セキュリティ要件を満たすために適用する設定を
決定できます。優先度の高い設定は可能な限り適用し、優先度の低
い設定は任意で適用できます。
のようなワークロードの場合、一般的な設定よりも厳格なセキュリ
ティ設定を適用することが可能になります。目的は、SAP HANA
との互換性を損なうことなく、セキュリティを強化することです。
Linux OS には、OS とアプリケーションの全体的なセキュリティを
高めるための調整や設定が数多く用意されています。各設定は次の
カテゴリに分類できます。
認証設定 : ログインできるユーザの定義、パスワードポリシーの
設定など
システムアクセス設定 : さまざまなログイン方法 ( コンソール tty
からのローカルログイン、ssh を使用したリモートログイン ) に
よってローカルおよびリモートからシステムにログインできる
ユーザを定義
ネットワーク設定 : ネットワークスタックの特定の層 (IP 層、
TCP/UDP 層 ) の動作を定義
サービス許可 : 特定のシステムサービス (at ジョブの無効化 ) の
許可を定義
ファイル許可 : セキュリティ上重要なシステムファイルに対する
ファイルアクセス権限を定義
ログとレポーティング : システムログ記録、中央 syslog サーバ
への syslog 転送、レポート ( セキュリティレポート ) の自動作成、
セキュリティ関連情報の e メール転送などの動作を変更
SUSE Linux Enterprise Server 11 は高度な YaST® モジュールを
備えているため、さまざまなセキュリティ設定が可能です。この
YaST モジュールは、次のコマンドで起動できます。
yast2 security このモジュールにより、強化設定、パスワード強化設定、ログイン
設定など、複数のセキュリティカテゴリの設定を選択することが可
能になります。
ただし、SAP HANA システムのセキュリティを強化するために必
要な追加設定のいくつかは YaST2 セキュリティモジュールでは設
定できません。そのため、このガイドでは YaST ではなく、Linux
コマンドラインを使用したセキュリティ強化設定手順について説明
しています。
SAP HANA システムのセキュリティ強化設定
次のセキュリティ強化設定は、SAP HANA データベースを実行する
SUSE Linux Enterprise Server システムのセキュリティを強化す
るためのものです。各設定は、SAP HANA データベースを実行する
SUSE Linux Enterprise Server の標準インストールに対して実施
されたセキュリティ監査の推奨事項に従って開発されています。
各セキュリティ強化設定の詳細は次のとおりです。
説明 : 各設定の詳細
手順 : 設定の適用方法
影響 : システム管理者またはユーザに与える可能性のある影響
優先度 : 高、中、低
4
免責事項 : このガイドに記載されているセキュリティ強化設定は、
まず非生産システム (DEV システムまたは QA システム ) で実行す
ることを強く推奨します。また、変更を行う前にシステム ( 少なく
とも /etc ディレクトリ ) のバックアップを実行することをお勧めし
ます。さらに、設定を適用したら、SAP HANA データベース、す
べての HANA アプリケーション、およびその他すべてのアプリケー
ション / サービスの機能をテストすることをお勧めします。SAP
HANA のインストール、バージョン、ユースケース、ハードウェア、
インストール済みサービスは、弊社テストシナリオとは異なる可能
性があるため、すべての設定が正常に動作することを保証するもの
ではありません。また、場合によってはシステム機能に悪影響を及
ぼす可能性もあります。
設定を非生産システムでテストできない場合は、適切なシステム機
能テストおよびシステム ( または /etc ディレクトリ ) の復元を実行
できるだけの保守時間内で変更を行うようにしてください。
強化設定の概要
ssh 経由の root ログインを禁止 .................................................. 4
SUSE セキュリティチェッカーをインストール......................... 5
root ユーザへのメール転送を設定 ............................................... 5
ローカルネットワーク設定に従って、hosts.allow および
hosts.deny を設定 ......................................................................... 5
syslog ファイルを中央 syslog サーバに転送 ........................... 5
/etc/inittab を変更して、ctrl+alt+del trap を
コメントアウト ................................................................................. 6
cron.allow を実装 .......................................................................... 6
at.allow を実装 ............................................................................... 6
通常ユーザによる sudo を制限..................................................... 6
デフォルトの umask を調整 ......................................................... 6
企業のセキュリティポリシーに従ってログイン定義を変更 .......7
デフォルトの非アクティブ時間を 1 日に設定 ...............................7
ユーザのパスワード失敗回数を設定 ..............................................7
企業ポリシーに従ってユーザアカウントのパスワードを強化 .....7
ユーザログイン制限を設定 ............................................................. 8
シングルユーザモードのパスワードを設定 ................................. 8
sysctl 変数を調整 ............................................................................ 8
第 1 ローカルコンソール (tty1) からの「root」ログイン
のみを許可 ......................................................................................... 9
ホームディレクトリの許可を 775 から 700 に変更 ................. 9
新規ユーザを追加する際のホームディレクトリのアクセス
権限をデフォルトで 700 に設定 .................................................. 9
特定のシステムファイルの許可を変更 ......................................... 9
ssh 経由の root ログインを禁止
説明
デフォルトでは、
「root」ユーザによる ssh 経由でのリモートログイン
が許可されています。これには 2 つのデメリットがあります。1 つ目
のデメリットは、root ログインは記録されるが、特定のユーザと関
連付けることができないことです。複数のシステム管理者がシステム
に変更を加える場合、これは特に大きなデメリットとなります。2 つ
目のデメリットは、root パスワードが盗まれると、攻撃者が直接シ
ステムにログインできてしまうことです。攻撃者は root パスワード
さえ入手できればよいため、通常のユーザとしてログインしてから
「su」コマンドや「sudo」コマンドを実行する必要がありません。
影響
アクセス可能な SMTP サーバ、および「root」ユーザのメールを
定期的に確認する人物が必要になります。
手順
/etc/ssh/sshd.conf を編集して、次のパラメータを設定します。
PermitRootLogin no 影響
root でのリモートログインができなくなるため、ssh 経由で root
ログインするためには「su」コマンドまたは「sudo」コマンドを
実行する必要があります。
優先度 : 高
SUSE セキュリティチェッカーをインストール
説明
SUSE セキュリティチェッカーにより、セキュリティチェックが定
期的に実行され、レポートが生成されます。レポート結果は cron
に記録され、通常は e メールで root に転送されます。
手順
seccheck パッケージをインストールします。
zypper in seccheck 優先度 : 高
ローカルネットワーク設定に従って、hosts.allow および
hosts.deny を設定
説明
hosts.allow ファイルおよび hosts.deny ファイルは、特定のサー
ビスやアプリケーションへのアクセスを許可または拒否するための
ものです。これらのファイルでアクセス制御を設定するのではなく、
ローカルの SAP HANA ファイアウォールを使用することをお勧め
します。iptable に基づく SAP HANA ファイアウォールを使用す
ることで、よりきめ細かいアクセス制御、強固なセキュリティ、お
よび優れたログ記録方法が実現します。
syslog ファイルを中央 syslog サーバに転送
説明
ログファイルを SAP HANA ノードから中央 syslog サーバに転送し
ます。これにより、
攻撃者による syslog ファイルの不正操作を防止し、
管理者が syslog ファイルを一元表示することが可能になります。
手順
影響
ここでは基本的な syslog 転送設定について説明します。詳細な設
定については syslog-ng マニュアルを参照してください。
送が適切に設定されている必要があります。
(SUSE Linux Enterprise Server を実行する ) ターゲットサー
root ユーザに日次レポートが e メールで転送されます。e メール転
優先度 : 中
root ユーザへのメール転送を設定
説明
セキュリティ関連の変更やインシデントに関する情報を受信するに
は、root ユーザへのメール転送を有効化することを強く推奨します。
転送先には、システムメール収集のための専用アカウントなどを指
定できます。
手順
YaST2 メールアドオンをインストールします。
zypper in yast2-mail yast2-mail-plugins
Start yast: yast mail.
「stdard」設定を選択します。
内部メールゲートウェイのアドレスを入力して、必要に応じて認
証を設定します。
「accept external SMTP connections ( 外部 SMTP 接続を
許可 )」を有効化しないでください。
root e メールの転送先アドレスを入力します ( 通常はシステム
メール収集のための専用アカウント )。
設定を保存します。
次のコマンドを実行して設定をテストします。
mail root
subject: test
test
.
バで次の手順を実行します。
/etc/syslog-ng/syslog-ng.conf を編集します。
環境設定ファイルの「source」セクションにある次の行をアンコ
メントします。
udp(ip(“0.0.0.0”) port(514)); 次のコマンドを実行して syslog-ng を再起動します。
rcsyslog restart SAP HANA ノードで次の手順を実行します。
/etc/syslog-ng/syslog-ng.conf を編集します。
次の行を追加して、<logserver> を有効な syslog サーバの IP
またはホスト名に置き換えます。
#
# Enable this and adopt IP to send log messages
to a log server.
#
destination logserver { udp(“< リモート syslog
サーバのホスト名または IP>” port(514)); };
log { source(src); destination(logserver); };
次のコマンドを実行して syslog-ng を再起動します。
rcsyslog restart 次のコマンドを実行して、syslog 転送が正常に機能することを
確認します。
logger “hello world” mailq コマンドを実行して、e メールが送信されたかどうかを
確認します。
www.suse.com
5
サーバソリューションガイド
SAP HANA 向け OS セキュリティ強化ガイド
「hello world」というログメッセージが中央 syslog サーバに表
示されるはずです。
影響
中央 syslog サーバが必要になります。
優先度 : 中
/etc/inittab を変更して、ctrl+alt+del trap をコメントアウト
説明
シリアルコンソールや外部キーボードからのシステム再起動を防止
します。
手順
/etc/inittab ファイルの次の行をアンコメントします。
ca::ctrlaltdel:/sbin/shutdown -r -t 4 now 次のコマンドを実行して、
inittab のコンテンツを再ロードします。
cnit q
影響
1 回限りのジョブに関する UNIX 機能が無効化されます。
優先度 : 中
通常ユーザによる sudo を制限
説明
sudo コマンドは、別のユーザ ( 通常は root ユーザ ) としてコマン
ドを実行するためのものです。sudo 設定は、実行するコマンドと
許可されたソース / ターゲットのユーザ / グループのマッピングを
定義するルールセットで構成されます。設定は /etc/sudoers ファ
イルに格納されます。su コマンドと同様、sudo コマンドを実行す
る際にはデフォルトで root パスワードが要求されます。ただし、
su コマンドとは異なり、1 度パスワードを入力すると、5 分間はパ
スワードの再入力を求められることなく、root としてその他のコ
マンドも実行することが可能になります。そのため、sudo の実行
権限は一部のユーザ ( 管理者 ) にのみ付与する必要があります。
手順
/etc/sudoers ファイルを編集します。
次の行をコメントアウトします。
影響
ローカルキーボードやリモート管理セッションからシステムを再起
動できなくなります。システム管理者にとっては不便かもしれません
が、意図しない再起動を防止できるというメリットもあります。
優先度 : 中
cron.allow を実装
説明
cron.allow ファイルは、Linux cron システムで cron ジョブを実
行する権限を持つユーザを指定するホワイトリストです。デフォル
トでは、cron ジョブの作成権限を持つユーザはいません。
手順
ALL ALL=(ALL) ALL # WARNING! Only use this together
with ‘Defaults targetpw’!
次の行をコメントインします。
# %wheel ALL=(ALL) ALL
/etc/group ファイルを編集して、すべてのシステム管理者ユー
ザを wheel グループに追加します。
wheel:x:10:<sysadmin ユーザのユーザ名 >
影響
wheel グループのメンバー以外のすべてのユーザが sudo コマン
ドを実行できなくなります。ただし、su コマンドは実行できます。
優先度 : 高
次のコマンドを実行して、/etc/cron.allow という空のファイルを
作成します。
デフォルトの umask を調整
touch /etc/cron.allow
説明
情報
めします。
影響
これにより、グループユーザおよび全ユーザによる新規作成ファイル
およびディレクトリの読み取り / 書き込み / 実行が無効化されます。
ユーザ crontab の場所 : /var/spool/cron/tabs
SAP HANA ユーザ (<sid>adm) およびその他のユーザが独自の
cron ジョブを作成できなくなります。
優先度 : 低
umask は、新規作成ファイルに対するアクセス権限のデフォルト
XOR マスクを指定するものです。値を 077 に変更することをお勧
手順
/etc/login.defs ファイルを編集して、umask 値を変更します。
UMASK 077
at.allow を実装
説明
at.allow ファイルは、Linux at ジョブ実行システムで「at」ジョ
ブ ( スケジュールに従って 1 回限り実行されるジョブ ) を実行する
権限を持つユーザを指定するホワイトリストです。デフォルトでは、
「at」ジョブの作成権限を持つユーザはいません。
手順
次のコマンドを実行して、/etc/at.allow という空のファイルを作
成します。
touch /etc/at.allow
6
影響
Umask 設定 : 作成したユーザ以外は、新規作成のファイルやディ
レクトリの読み取り、書き込み、実行ができなくなります。
備考
変更内容を適用するには、すべてのユーザセッションのログアウト /
再ログインが必要になります。
優先度 : 高
影響
企業のセキュリティポリシーに従ってログイン定義を変更
説明
/etc/login.defs ファイルは、パスワードの有効期限、許可された
ログイン再試行回数、umask 設定など、ユーザのログイン設定を定
義するものです。パスワードポリシーを設定するためのオプション
はありません。
企業のセキュリティポリシーに従って設定を調整してください。
手順
/etc/login.defs ファイルを編集して、ポリシーに従って設定を変
更します。例 :
PASS_MAX_DAYS
PASS_MIN_DAYS
PASS_WARN_AGE
90
7
14
この例では、すべての新規作成ユーザのデフォルトのパスワード有
効期限値が次のように設定されます。
パスワードの有効期限が 90 日で切れる
パスワードの有効期限が切れる 14 日前に警告が送信される
ユーザは 7 日ごとにパスワードを変更できる
chage コマンドにより、特定のユーザの現在のパスワード有効期限
に関する情報を表示できます。
chage -l < ユーザ名 >
備考
パスワード有効期限などの設定は、useradd コマンドを使用して、
ユーザごとに指定することもできます。パスワード有効期限の詳細
については、『SUSE Linux Enterprise Server Security Guide
(SUSE Linux Enterprise Server セキュリティガイド )』のセク
ション「3.31. Enabling Password Aging ( パスワード有効期限
の有効化 )」を参照してください。
影響
パスワード有効期限などの login.defs 設定により、パスワード有効
期限が切れた後にログインしようとするユーザは拒否されます。そ
のため、システム管理者はパスワードの有効期限についてユーザに
通知し、ユーザは定期的にパスワードを変更する必要があります。
長時間実行中のユーザセッションが 1 日経過すると終了します。
「screen」を使用してセッションを切断してからログアウトするこ
とをお勧めします。screen セッションは終了されず、必要に応じ
ていつでも再接続できます。
優先度 : 中
ユーザのパスワード失敗回数を設定
説明
パスワード失敗回数は、ログインの失敗が指定回数に達したユーザを
ロ グ イ ン で き な く す る も の で す。SUSE Linux Enterprise
Server では、このメカニズムとして PAM システムを使用していま
す。パスワード失敗回数は特定のユーザアカウントに対するサービ
ス拒否攻撃に悪用される可能性があるため、弊社では原則として使
用を推奨していません。
企業ポリシーによりユーザのパスワード失敗回数を設定する必要が
ある場合は、『SUSE Linux Enterprise Server Security Guide
(SUSE Linux Enterprise セキュリティガイド )』のセクション
「3.33.3. Locking User Accounts after Too Many Login
Failures ( ロ グ イ ン 失 敗 回 数 に 達 し た ユ ー ザ ア カ ウ ン ト の ロ ッ
ク )」を参照してください。
企業ポリシーに従ってユーザアカウントのパスワードを強化
説明
SUSE Linux Enterprise Server システムでは、ユーザアカウン
トに対してデフォルトの状態で強力なパスワードポリシーが設定さ
れています。たとえば、パスワード解析ライブラリにより、簡単す
ぎるパスワードや短すぎるパスワードは設定できないようになって
います。しかし場合によっては、企業のパスワードポリシーに従って、
パスワードを強化する必要があります。そのような場合は、/etc/
pam.d/common-password ファイルで PAM パスワード認証設
定を変更します。
手順
pam-config ユーティリティを使用して、PAM パスワード強化設
定を変更します。変更内容は /etc/pam.d/common-password
ファイルに適用されます。要件に従って設定を変更します。
例:
説明
pam-config --add \
--cracklib-retry=3 \
--cracklib-minlen=8 \
--cracklib-lcredit=-1 \
--cracklib-ucredit=-1 \
--cracklib-dcredit=-1 \
--cracklib-ocredit=0 \
--cracklib-difok=5
手順
この例では、次のルールに従ってパスワードを強化します。
優先度 : 中
デフォルトの非アクティブ時間を 1 日に設定
デフォルトでは、非アクティブのユーザセッションはタイムアウト
になりません。この設定では、非アクティブのユーザセッションを
終了させる時間を秒単位で指定します。タイムアウトを 1 日に設定
することをお勧めします。
/etc/profile.d/timeout.sh ファイルを作成して、次の内容を記述
します。
# /etc/profile.d/timeout.sh for SuSE Linux
#
# Timeout in seconds till the bash session is
terminated
# in case of inactivity.
# 24h = 86400 sec
TMOUT=86400
www.suse.com
有効な新規パスワードを最大 3 回入力することをユーザに求める
パスワードは合計 8 文字以上でなければならない
大文字の英字を 1 文字以上含めなければならない
小文字の英字を 1 文字以上含めなければならない
数字を 1 文字以上含めなければならない
その他の文字 (「_、!、%」など ) の数は無制限
新規パスワードには、旧パスワードと異なる文字が 5 文字以上含
まれていなければならない
7
サーバソリューションガイド
SAP HANA 向け OS セキュリティ強化ガイド
パスワード強化オプションの詳細については、次の pam_cracklib
man ページを参照してください。
man pam_cracklib
影響
定義したポリシーに従って、システムユーザのパスワードを設定す
る必要があります。root ユーザはパスワードポリシーを却下できま
す。パスワード有効期限を設定した場合、パスワードの有効期限が
切れたユーザはログインできなくなります。
手順
/etc/sysctl.conf ファイルを編集して、次の変数を設定または変更
します。
net.ipv4.conf.default.rp_filter = 1
net.ipv4.conf.all.rp_filter = 1
優先度 : 中
この設定により、strict モードで戻り経路フィルタが有効化されま
す。受信した IP パケットへの応答が、常にパケットを受信したイン
タフェース経由で送信されます。システムが経路制御表に従って応
答パケットを異なる送信インタフェースにダイレクトした場合、そ
のパケットは破棄されます。この設定により、(DoS 攻撃に使用さ
れる ) 特定の IP スプーフィング攻撃を防止できます。
ユーザログイン制限を設定
net.ipv4.conf.default.accept_source_route = 0
net.ipv4.conf.all.accept_source_route = 0
説明
access.conf を使用して、ホワイトリストに記載されたユーザアカ
ウントを除くすべての root アカウントおよびその他のユーザアカ
ウントによるシステムへのアクセスを拒否します。ホワイトリスト
に記載されたアカウントが特定の IP サブネットからのみアクセスで
きるようになります。
手順
pam_access.so を起動します。
/etc/pam.d/common-auth-pc ファイルを編集します。
auth required pam_access.so
設定の詳細については、man access.conf を参照してください。
/etc/security/access.conf ファイルを編集します ( 設定の詳細
については、man access.conf を参照してください )。
+
+
+
-
:
:
:
:
<sid>adm : < ネットワーク / ネットマスク >
sapadm : < ネットワーク / ネットマスク >
< 管理者ユーザ > : < ネットワーク / ネットマスク >
ALL : ALL
影響
指定の IP サブネットを使用するホワイトリスト記載ユーザだけがロ
グインできるようになります。root ログインは禁止されます。
優先度 : 中
シングルユーザモードのパスワードを設定
説明
シングルユーザモードでシステムにアクセスするためには root パス
ワードが必要です。SUSE Linux Enterprise Server OS に変更を
加える必要はありません。
sysctl 変数を調整
説明
sysctl ( システム制御 ) 変数は、OS のさまざまな部分 (Linux ネッ
トワークスタック ) の動作に影響する特定のカーネルパラメータを
変更するためのものです。sysctl 変数は /etc/sysctl.conf ファイ
ルで定義します。対応するカーネルパラメータは、サブディレクト
リ /proc/sys にある /proc filesystem で確認できます。カーネ
ルパラメータの多くは、パラメータファイルに値をエコーすること
で直接変更できます。ただし、この方法で行われた変更は永続的な
ものではなく、システムを再起動すると失われます。そのため、変
更はすべて sysctl.conf ファイルで行うことをお勧めします。
8
この設定により、IPv4 パケットヘッダに SRR オプションが設定さ
れたパケットの受信を拒否できます。「ソースルーティング」を使用
するパケットは拒否されます。これにより、IP パケットのリダイレ
クト ( ファイアウォールの内側にある直接アクセスできないホスト
へのリダイレクト ) を防止できます。
net.ipv4.tcp_syncookies = 1
「SYN
TCP SYN Cookie 保護はデフォルトで有効になっています。
攻撃」とは、マシン上のすべてのリソースを消費させるサービス拒
否攻撃です。ネットワークに接続されたすべてのサーバがこの攻撃
の対象となる可能性があります。
net.ipv4.icmp_echo_ignore_broadcasts = 1
ICMP エコー要求 (ping) をブロードキャストアドレスに送信して、
ネットワーク上のホスト /IP をスキャンしたり、ネットワークセグ
メント内で ICMP Flood 攻撃を実行したりできます。この設定によ
り、ブロードキャストアドレスに送信された icmp エコーパケット
が無視されます。
net.ipv4.icmp_ignore_bogus_error_responses = 1
この設定により、ブロードキャストフレームに対する無効な応答に
起因する不要なエラーメッセージでログファイルが埋まってしまう
事態を回避できます。詳細については、RFC 1122「Requirements
for Internal Hosts̶Communication Layers ( 内部ホスト 通信層の要件 )」を参照してください。
net.ipv4.conf.default.secure_redirects = 0
net.ipv4.conf.all.secure_redirects = 0
経路制御表に記載されたゲートウェイからのリダイレクトのみを許
可することで、ルーティング経路のハイジャックを防止します。
net.ipv4.conf.default.accept_redirects = 0
net.ipv4.conf.all.accept_redirects = 0
ICMP リダイレクトメッセージの受信を無効化します。ICMP リダ
イレクトメッセージは通常、外部ネットワークへのより優れた経路
についてホストに通知するためにゲートウェイから送信されます。
このリダイレクトが悪用される場合があります ( 中間者攻撃など )。
net.ipv4.tcp_max_syn_backlog = 4096
TCP syn バックログは、追加処理のためにキューに入れられる syn
パケットの数を定義します。キューがいっぱいの状態で新たに受信
した syn パケットはすべて破棄されます。これにより、TCP synflood 攻撃に対する保護が向上します。
net.ipv4.ip_forward = 0
IP 転 送 は、Linux シ ス テ ム の IP ル ー テ ィ ン グ 機 能 で す。SAP
HANA データベースはルータとして使用すべきではないため、IP
転送は無効になっています。
net.ipv4.conf.default.send_redirects = 0
net.ipv4.conf.all.send_redirects = 0
IP リダイレクトを送信するのはルータ / ゲートウェイだけです。
SAP HANA データベースはゲートウェイとしては機能しないため、
リダイレクトは無効になっています。
影響
IP ネットワークスタックの動作が変更されます。ネットワークの設
定およびデバイス ( ファイアウォールなど ) によってはまれにネッ
トワークまたはパフォーマンス上の問題が発生する場合があります。
優先度 : 高
第 1 ローカルコンソール (tty1) からの「root」ログインのみを
許可
説明
tty を使用することで、KVM スイッチまたはリモート管理カード
(ILO や DRAC など ) 経由でコンソール ( 通常は接続キーボード )
からシステムにアクセスできます。デフォルトでは、Linux には 6
種類のコンソールがあり、Alt+F1 ∼ Alt+F6 キーで切り替えるこ
とができます。この設定により、アクセスを単一のコンソール (tty1)
に制限します。このアクセス方法はシステムへの緊急アクセスを想
定したものです。したがって、一般的なシステム管理タスクのため
に使用すべきではありません。
手順
/etc/securetty フ ァ イ ル に 記 載 さ れ た、tty1 を 除 く す べ て の
tty をコメントアウトまたは削除します。
影響
ローカル KVM セッションまたはリモート管理セッションで複数の
ログインセッションを開くことができなくなります。ローカル作業
の管理性が低下する可能性があります。
優先度 : 低
ホームディレクトリの許可を 775 から 700 に変更
説明
デフォルトでは、ユーザのホームディレクトリは、システム内のす
べてのユーザがアクセス ( 読み取り、実行 ) できるようになってい
ます。このままではセキュリティ侵害が発生する可能性があるため、
所有者のみがホームディレクトリにアクセスできるように変更する
必要があります。
SAP HANA システムユーザ (<sid>adm) のホームディレクトリ
は /usr/sap/<sid>/home ディレクトリです。このディレクトリ
構造は SAP の領域であるため、ここでは変更方法に触れません。
手順
次のコマンドを実行すると、/home のすべてのホームディレクト
リの許可が 700 ( ユーザのみがディレクトリにアクセス可能 ) に設
定されます。
chmod 755 /home
for a in $(ls /home); do echo “Changing rights for
directory $a”; chmod 700 /home/$a; done
影響
システムユーザは他のユーザのホームディレクトリにアクセスでき
なくなります。ホームディレクトリが /usr/sap/<sid>/home で
ある <sid>adm ユーザは例外となります。
優先度 : 中
新規ユーザを追加する際のホームディレクトリのアクセス権限を
デフォルトで 700 に設定
説明
/etc/login.defs の UMASK 設定を 077 に設定して、所有者のみ
がファイルやディレクトリにアクセスできるようにする必要があり
ま す (8 ペ ー ジ の「 デ フ ォ ル ト の umask を 調 整 」 も 参 照 )。
adduser コマンドを実行してホームディレクトリを新規作成した場
合も 077 に設定します。
特定のシステムファイルの許可を変更
説明
デフォルトでは、システムファイルの多くが、グループユーザまた
は全ユーザによって読み取り可能な状態になっています。特に機密
情報が含まれるファイルの場合、これはセキュリティリスクになる
可能性があります。これらのファイル許可をより厳格な値に変更す
ることで、ファイルのセキュリティを強化できます。
SUSE は、特定のファイルに対する許可を確認および設定するため
の chkstat ツールを提供しています。許可は次のいずれかの環境設
定ファイルで定義します。
permissions.local
permissions.easy
permissions.paranoid
permissions.secure
permissions.local ファイルは、ユーザがファイル許可を定義する
ためのファイルです。
www.suse.com
9
サーバソリューションガイド
SAP HANA 向け OS セキュリティ強化ガイド
手順
SAP HANA システムでは、permissions.easy パターン、および
permissions.local パターン内に格納されるいくつかのファイル許
可を組み合わせて使用することをお勧めします。
まず、/etc/permissions.local ファイルに次の許可を追加します。
#
# HANA Security Hardening
#
/etc/at.allow
root:root 0400
/etc/bash.bashrc
root:root 0444
/etc/csh.cshrc
root:root 0444
/etc/csh.login
root:root 0444
/etc/shadow
root:root 0400
/etc/inittab
root:root 0400
/etc/syslog-ng/syslog-ng.conf root:root 0400
/etc/crontab
root:root 0400
/etc/cron.d
root:root 0700
/etc/cron.hourly
root:root 0700
/etc/cron.daily
root:root 0700
/etc/cron.weeky
root:root 0700
/etc/cron.monthly
root:root 0700
/etc/login.defs
root:root 0400
/etc/security/access.conf
root:root 0400
/etc/sysctl.conf
root:root 0400
/etc/X11/xdm/Xservers
root:root 0444
/root
root:root 0700
/root/.cshrc
root:root 0400
/var/log/boot.log
root:root 0640
/var/log/sa
root:root 0770
#
# Changing permissions of utmp files would cause
the commands
# w, who and last not to work anymore for non-root
users
#
# Uncomment these lines, if you are really sure
about that
# /var/run/utmp
root:tty
0600
# /var/log/wtmp
root:tty
0600
次 に、permissions.secure パ タ ー ン と permission.local パ
ターンを正しい順序でインストールします。
chkstat --set permissions.secure
chkstat --set permissions.local
影響
上記ファイルへのアクセスを必要とする一部のシステム管理タスク
は、通常のシステムユーザとしてではなく、root ユーザとして実行
する必要があります。
優先度 : 中
SAP HANA ファイアウォール
SAP HANA ネットワーク通信
『SAP HANA Security Guide (SAP HANA セキュリティガイ
ド )』( セクション 4.2「Network Security ( ネットワークセキュ
リティ )」) では、SAP HANA データベースのコンポーネントをそ
れぞれ異なるネットワークゾーンで実行することを推奨しています。
また、ネットワーク通信を厳格にフィルタリングして、通信を最小
限に抑える必要があります。
10
具体的には、
特定の SAP HANA コンポーネントのネットワーク通信を
複数の専用 IP ネットワーク (ISO/OSI 第 3 層 ) にセグメント化します。
SAP HANA データベースは、厳密に 1 つのインタフェースを使用し
て各 IP ネットワークに接続されます。このインタフェースは通常、複
数の物理インタフェースによって冗長性を確保した論理結合インタ
フェースです。物理インタフェースはそれぞれ異なるイーサネットネッ
トワークセグメント (ISO/OSI 第 2 層 ) に接続されます。物理インタ
フェースの代わりに仮想インタフェースを使用することもできます。
図5. 外部ファイアウォールを使ったSAP HANAネットワーク図の例
SAP HANA ネットワークはすべて分離するか ( 分散システムネッ
トワーク )、または他のネットワークからの通信 ( ユーザ通信 ) を必
要とする場合は外部ファイアウォールの内側に配置する必要があり
ます。この外部ファイアウォールでは、このネットワーク上で受信
する SAP HANA サービスとの通信に必要な SAP HANA ネット
ワークのトラフィックのみ許可します。
外部ファイアウォールを設定できない場合または特定のネットワーク
が SAP HANA データベースシステムだけでなく複数のサーバで共
有される場合なども考えられます。このような場合には、外部ファイ
アウォールの機能の一部をローカルファイアウォールで実行します。
SAP HANA のローカルファイアウォール
SAP HANA データベースのセキュリティは、ローカルで実行して
いるファイアウォールの設定によって大幅に強化できます。このファ
イアウォールでは、HANA サービスまたはその他のシステムサービ
スがリスンしているポート上のネットワーク通信のみを許可する必
要があります。その他のすべてのポートへの通信は遮断し、必要に
応 じ て ロ グ に 記 録 す る 必 要 が あ り ま す。 こ れ は、『SAP HANA
Security Guide (SAP HANA セキュリティガイド )』で推奨さ
れている「最小限の通信アプローチ」を順守するものです。
SUSE は SAP HANA 専用のローカルファイアウォールを、Linux
iptables をベースに開発しました。このファイアウォールでは、一
般的な SAP HANA システムのすべての要件が考慮されています。
提供される機能は次のとおりです。
SAP HANA サ ー ビ ス を 事 前 に 定 義 (『SAP HANA Master
Guide (SAP HANA マスタガイド )』に準拠 )
1 つのサーバ上で実行している複数の SAP HANA インスタン
スを保護可能
無数のインタフェースに対するインタフェースとサービスをマッ
ピング
/etc/services から直接サービス定義を使用可能
サービスへのアクセスを特定のソースネットワークに限定可能
遮断されたパケットをオプションでファイアウォールのログファ
イルに記録可能
シミュレーションオプションとして、iptables コマンドを実行す
るのではなくコンソールに表示可能 ( 仮定 ...)
図7. SAP HANAファイアウォールネットワークのトラフィックフローの例
図6. SAP HANAファイアウォールネットワーク図の例
すべての SAP シナリオで SAP HANA サーバに専用のローカル
ファイアウォールが必要というわけではありません。たとえば、す
べての SAP HANA ネットワークが適切に設定された外部ファイア
ウォールの内側にある場合、ローカルファイアウォールは必ずしも
必要ではありません。
ただし、ローカルファイアウォールを置くことでネットワークのセ
キュリティが強化され、さらにはネットワークのデバッグ機能の向
上に役立つ場合があります ( →遮断されたパケットのログ記録 )。次
に、ローカルで実行されるファイアウォールが適している最も一般
的な例を挙げます。
独立していない SAP HANA ネットワークを他のネットワーク
( ユーザネットワーク ) から保護する外部ファイアウォールが利
用できない場合
特定の SAP HANA ネットワークの特定の SAP HANA ポート
におけるネットワーク通信のみを許可するように、外部ファイア
ウォールを十分限定的に設定できない場合
外部ファイアウォールが十分なセキュリティゾーンを提供してい
ない場合 ( すべての SAP HANA ネットワークにとって内部ファ
イアウォール、外部ファイアウォール、DMZ が十分とは限らな
い場合があります )
保護されたネットワークに多くの異なるサーバが含まれる (SAP
以外のサーバが同じネットワークに含まれる ) 場合
ローカルファイアウォールが適切な状況は他にもあります。たとえ
ば、ローカルファイアウォールにおいて、予定外のサービスやデー
モンが TCP や UDP ポート上でリスンしたり接続を受け入れたりし
ないようにする場合です。これは、明確に許可されたネットワーク
ポートのすべてが、デフォルトでブロックされるわけではないから
です。また、ブロックされているポートで受信した不正なネットワー
クトラフィックをログに記録することができます。これにより、予
定外の接続試行を簡単に特定できます。最後に重要なことは、ロー
カルファイアウォールが企業のセキュリティポリシーまたはセキュ
リティ監査で定められる要件になり得るという点です。
www.suse.com
ダウンロードとインストール
SAP HANA ファイアウォールは RPM パッケージとして利用でき
ま す。 パ ッ ケ ー ジ の ベ ー ス URL は 次 の と お り で す。
http://download.opensuse.org/repositories/home:/
abergmann:/HANA
注 : この URL は将来変更される可能性があります。ダウンロード場
所が見つからない場合は、このドキュメントの最新版を確認してく
ださい。
SAP HANA フ ァ イ ア ウ ォ ー ル を イ ン ス ト ー ル す る 前 に、 ま ず
SuSEFirewall2 パッケージをアンインストールすることをお勧め
します。2 つのファイアウォールを並行して実行することはできま
せん。次のコマンドを実行して SuSEFirewall2 をアンインストー
ルします。
# Stop possibly running SUSE Firewall
rcSuSEfirewall2 stop
# Remove the SuSEFirewall2 package
zypper rm SuSEFirewall2
SAP HANA ファイアウォールパッケージは、手動でダウンロード
してインストールすることも、それぞれのパッケージリポジトリ、
アップデートリポジトリのリストに追加してから、YaST または
Zypper を使用してインストールすることもできます。後者の方法
では、システムがインターネットに直接アクセス可能な必要があり
ます。
# Manually download & installation of the package
wget http://download.opensuse.org/repositories/
home:/abergmann:/HANA/SLE_11_SP3/noarch/HANA Firewall-1.0-0.2.1.noarch.rpm
zypper install HANA-Firewall-1.0-0.2.1.noarch.rpm
# Adding the HANA firewall update repository and
install via zypper
zypper addrepo -f ‘http://download.opensuse.org/
repositories/home:/abergmann:/HANA/SLE_11_SP3/’
HANA-Tools
zypper refresh -s
zypper install HANA-Firewall
11
サーバソリューションガイド
SAP HANA 向け OS セキュリティ強化ガイド
このパッケージは、SuSEFirewall2 パッケージと競合するように
なっています。SuSEFirewall2 パッケージを最初に削除せずに
SAP HANA ファイアウォールパッケージをインストールしようと
すると、インストールの競合警告とともに、いくつかの解決オプ
ションが表示されます。その場合、
SuSEFirewall2 パッケージをアン
インストールしてから SAP HANA ファイアウォールパッケージを
インストールするオプションを選択してください。
このパッケージは次のファイルをインストールします。
/usr/sbin/hana_firewall
ファイアウォールの実行ファイル。/usr/sbin/hana_firewall –help コマンドで使い方を表示できます。
/etc/init.d/hana_firewall
SysVinit の起動 / 停止スクリプト。引数なしでスクリプトを呼び出すと使い方を表示できます。
/etc/sysconfig/hana_firewall
メイン環境設定ファイル
/etc/sysconfig/hana_firewall.d
SAP HANA サービスおよびユーザ定義サービスのディレクトリ
/etc/sysconfig/hana_firewall.d/create_new_service.pl
新しい SAP HANA サービスを作成するときの小さなヘルパースクリプト
/etc/sysconfig/hana_firewall.d/*
SAP HANA サービスおよびユーザ定義サービスの定義ファイル
設定
前提条件
他にローカルファイアウォールが実行されていないこと、再起動後
に自動的に起動される他のファイアウォールがないことを確認して
ください。次のコマンドを実行して確認します。
# Check for enabled firewalls in SysVinit
chkconfig -a |grep -i firewall
# Check for possibly running firewall
iptables -L
クイック設定ガイド
このクイック設定ガイドでは、シンプルな SAP HANA ファイア
ウォールセットアップの手順を紹介します。
1. 環境設定ファイル /etc/sysconfig/hana_firewall を開きます。
2. インストールしたすべての SAP HANA システムと、パラメータ
HANA_SYSTEMS へのインスタンスをスペース区切りのリスト
として追加します。<sid>< インスタンス番号 > の形式を使用し
ます (HDB00)。
hana_firewall --simulate start
hana_firewall start
hana_firewall show
6. すべてが適切に動作したら、/etc/sysconfig/hana_firewall ファ
イルをもう一度編集して、グローバルパラメータを設定します。
OPEN_ALL_SSH=”no”
ssh サービスが少なくとも 1 つのインタフェースで設定されてい
ることを確認してください。設定されていない場合、ログインで
きなくなる場合があります。
8. 次のコマンドを実行してファイアウォールを再起動します。
7.
hana_firewall restart
9. システムの起動時にファイアウォールが起動することを確認して
ください。
chkconfig hana_firewall on
設定の詳細な手順
SAP HANA ファイアウォールの設定は、/etc/sysconfig/hana_
3. ネ ッ ト ワ ー ク イ ン タ フ ェ ー ス と サ ー ビ ス の マ ッ ピ ン グ を、 firewall フ ァ イ ル に 保 存 さ れ ま す。 こ れ は、vi エ デ ィ タ ま た は
INTERFACE_<n> および INTERFACE_<n>_SERVICES パ YaST2 Sysconfig エディタを使用して手動で編集できます。
ラメータを使って編集します。
1 つ ( 名前が eth0) の場合、
次のように設定して次の手順に進みます。
1. ネットワークインタフェースが
# Interface eth0
INTERFACE_0=”eth0”
# Enable all HANA services for all HANA instances
+ ssh service on eth0
INTERFACE_0_SERVICES=”HANA_* ssh”
2. ネットワークインタフェースが複数ある場合は、それぞれに対
して INTERFACE_<n> と INTERFACE_<n>_SERVICES
パラメータを設定します。
3. 定義済みの SAP HANA サービスと特定のインタフェース上
で起動すべきその他のすべてのサービス (ssh) を、スペース区
切りのリストとして追加します。
4. hana_firewall 設定を保存します。
5. 次のコマンドを実行してファイアウォールをテストします。
yast2 sysconfig
この設定は、グローバルパラメータとインタフェースの 2 つのカテ
ゴリに分けられます。グローバルパラメータセクションでは、イン
ストールした SAP HANA システムおよびインスタンスなどのパラ
メータを設定します。インタフェースセクションでは、ネットワー
クインタフェースとサービスのマッピングを定義します。
グローバルパラメータセクション
SAP HANA システムとインスタンス番号のリスト
説明 :
この設定では、SAP HANA システムとインスタンス番号のリスト
がスペース区切りのリストに含まれます。形式は、<SID>< インス
タンス番号 > です (HNA00)。これらの値に基づいて、ファイア
ウォールは次に示す SAP HANA ファイアウォールサービスのポー
トおよびポート範囲を自動的に作成します。
例:
HANA_SYSTEMS=”HNA00”
12
すべてのデバイスで ssh を開く
説明 :
すべてのインタフェースで ssh ( セキュアシェル ) ポートを開きま
す。これは、管理者ユーザを誤ってロックアウトすることがないかを
テストする場合に便利です。ファイアウォールの設定では、1 つのイン
タフェースに対してのみ ssh を有効にすべきです。つまり、最終的
な設定では、このグローバル設定を必ずオフにする必要があります。
例:
OPEN_ALL_SSH=”yes”
遮断されたパケットを syslog に記録
説明 :
このオプションを有効にすると、SAP HANA ファイアウォールは
遮断したパケットを /var/log/firewall の syslog に記録します。
syslog のストームを回避するために、ログに記録するパケットの数
は毎分 5 パケット、バースト率は 10 パケットに制限されています。
このオプションは、攻撃やポートスキャンの特定に便利なだけでな
く、ファイアウォールで新たなポートのオープンを必要とする有効
なリモート接続の試行を特定するのにも役立ちます。
例:
ENABLE_LOGGING=”yes”
インタフェースセクション
INTERFACE および INTERFACE SERVICES パラメータは、サー
ビ ス を ネ ッ ト ワ ー ク イ ン タ フ ェ ー ス に マ ッ ピ ン グ し ま す。
INTERFACE パラメータには、INTERFACE_<0-n> の形式を適
用し、eth0 や bond0 などの有効なネットワークインタフェース
の名前を含める必要があります。
サービス
サービスの定義
サービスは、/etc/services ファイルからのサービス名にするか、
または SAP HANA ファイアウォールサービスとして定義すること
ができます。
SAP HANA フ ァ イ ア ウ ォ ー ル サ ー ビ ス の 定 義 は、/etc/
sysconfig/hana_firewall.d ディレクトリに保存されます。それ
ぞれのファイル ( 大文字 ) は 1 つのサービスを定義します。サービ
ス名はファイル名であるため、メイン設定のインタフェースセク
ションにそのまま使用できます。
現在、各サービスファイルには tcp および udp ポートとポート範囲、
またはそのいずれかを指定する 2 つのパラメータ (TCP、UDP) が
必要です。ポートとポート範囲は、スペース区切りのリストとして
入力する必要があります。ポート範囲は、< 開始ポート >:< 終了ポー
ト > の形式 (10000:20000) で定義します。
例:
TCP=”22”
UDP=””
TCP=”10050:10054 111 2049”
UDP=”10050:10054 111 2049”
ユ ー ザ 定 義 サ ー ビ ス を 新 た に 作 成 す る 場 合 は、create_new_
service.pl スクリプトを使用できます。
cd /etc/sysconfig/hana_firewall.d
INTERFACE SERVICES パラメータには、INTERFACE_<0-n>_
SERVICES の形式を適用し、コンマ区切りのリストに 1 つ以上のサー
./create_new_service.pl
ビス名を含める必要があります。
サービス名には
その後、画面に表示される指示に従ってください。サービスは、作
成直後から使用できます。
/etc/sysconfig/hana_firewall.d
事前定義されたサービス
デ ィ レ ク ト リ に 定 義 さ れ て い る す べ て の サ ー ビ ス と、/etc/
services からのすべてのサービス名を指定できます。
HANA_* と い う 特 殊 な SAP HANA サ ー ビ ス に は、 す べ て の
SAP HANA サービスが含まれます。
サービスの説明に関する詳細は、/etc/sysconfig/hana_firewall.d
ディレクトリ内の該当するサービス定義ファイル、またはこのページの
「事前定義されたサービス」セクションに記載されています。
すべてのサービス名の先頭には、オプションとしてネットワークま
たはホストの定義を < ネットワーク >[/<cidr ネットマスク >] の
形式で付加できます。
例:
SAP HANA サービス
『SAP HANA Master Guide (SAP HANA マスタガイド )』には、
SAP HANA が使用するすべてのサービスと必要な TCP/UDP ポー
トが記載されています。これらのサービスはすべて、事前定義サー
ビスとして SAP HANA ファイアウォールで利用できます。
次に、すべての SAP HANA サービスの一覧と簡単な説明を示しま
す。 詳 細 に つ い て は、『SAP HANA Master Guide (SAP
HANA マ ス タ ガ イ ド )』 の セ ク シ ョ ン「2. The SAP HANA
Network (SAP HANA ネットワーク )」を参照してください。
ほとんどの SAP HANA サービスは、SAP HANA システムのイン
スタンス番号に応じてポート番号を選択します。ファイアウォール
は、SAP HANA インスタンス番号で定義されたメイン設定のすべ
てを適切なポート番号に自動的に展開します。
INTERFACE_0=”eth0”
INTERFACE_0_SERVICES=”HANA_* ssh”
INTERFACE_1=”bond1”
INTERFACE_1_SERVICES=”smtp ssh:10.0.0.0/24
ntp:10.10.10.1 HANA_HTTP_CLIENT_ACCESS”
INTERFACE_2=”eth0:1”
INTERFACE_2_SERVICES=”HANA_SYSTEM_REPLICATION
HANA_DISTRIBUTED_SYSTEMS HANA_SAP_SUPPORT”
www.suse.com
13
サーバソリューションガイド
SAP HANA 向け OS セキュリティ強化ガイド
サービス名
説明 ( 詳細については、『SAP HANA Master Guide (SAP HANA
ポート (xx =インスタンス番号、
HANA_DATABASE_CLIENT
SAP HANA をデータベースとして使用するアプリケーションサーバの
TCP= 3xx15 3xx16
HANA_DATA_PROVISIONING
この接続はイベントストリーミングに使用されます。プロトコルは
QLDBC (ODBC/JDBC) です。
TCP= 3xx15 3xx17
HANA_HTTP_CLIENT_ACCESS
Web ブラウザの SAP HANA へのクライアントアクセスのポートを開き
TCP= 80xx 43xx
HANA_SAP_SUPPORT
この接続は、特定のサポートケースでのみ必要なため、デフォルトでアクティ
ブになりません。サポート接続の開き方については、
『SAP HANA
Administration Guide (SAP HANA 管理ガイド )』を参照してください。
TCP= 3xx09
HANA_DISTRIBUTED_SYSTEMS
分散シナリオ : 社内ネットワークの通信は、1 つのサイトの分散システムの
ホスト間で行われます。SAP HANA 認定ホストには、個別の IP アドレス
およびポートを使ってプライベートネットワークの一部として設定された、
個別のネットワークインタフェースカードが含まれます。
TCP= 3xx00 3xx01 3xx02 3xx03
3xx04 3xx05 3xx07 3xx10
3xx40:3xx99
HANA_STUDIO
インスタンスエージェントへの接続は、低いレベルで SAP HANA インス
タンスにアクセス可能な管理チャネルとして機能するため、SAP HANA
データベースの起動または停止などの機能を実行できます。この接続に使用
されるプロトコルは、SQLDBC (ODBC/JDBC) です。
TCP= 5xx13 5xx14
HANA_STUDIO_LIFECYCLE_
MANAGER
マスタガイド )』を参照 )
ポートを開きます。
ます。
これは、SAP Host Agent を介した SAP HANA Lifecycle Manager
への接続です。SAP HANA Lifecycle Manager の詳細については、
『SAP HANA Update and Configuration Guide (SAP HANA アッ
プデートおよび設定ガイド』) を参照してください。この接続に使用される
プロトコルは、SQLDBC (ODBC/JDBC) です。
HANA_SYSTEM_REPLICATION
分散シナリオ : 社内ネットワークの通信は、1 つのサイトの分散システムの
ホスト間で行われます。SAP HANA 認定ホストには、個別の IP アドレス
およびポートを使ってプライベートネットワークの一部として設定された、
個別のネットワークインタフェースカードが含まれます。
HANA_*
すべての SAP HANA サービスを含む特殊なサービスです。
xy =インスタンス番号+ 1)
TCP= 1128 1129
TCP= 3xy01 3xy02 3xy03 3xy04
3xy05 3xy07 3xy40:3xy99
ユーザサービス
現時点で、ローカルで実行している NFS サーバ向けのユーザサービスは事前定義されたサービス 1 つだけです。
サービス名
説明
ポート
NFS_SERVER
NFS サーバへのアクセスを許可にするには、特定の NFS サービスの固定
ポートも /etc/sysconfig/nfs で設定する必要があります。NFS は通常、
TCP= 10050:10054 10050:10054
111 111 2049 2049
ランダムなポート番号を使用するため、ファイアウォールを限定的に有効に
することが難しくなります。
MOUNTD_PORT= 10050
STATD_PORT= 10051
LOCKD_TCPPORT= 10052
LOCKD_UDPPORT= 10052
RQUOTAD_PORT= 10053
STATD_OUTGOING_PORT= 10054
テストとアクティベーション
ファイアウォールをテスト
ファイアウォールを適切に設定したら、慎重にテストする必要があ
ります。基本的なタスクの実行には、SysVinit スクリプト /etc/
init.d/hana_firewall を実行できます。ただし、テストの際には
SAP HANA ファイアウォールの実行ファイル /usr/bin/hana_
firewall を直接使用することをお勧めします。
まず、「--simulate」オプションを使ってシミュレーションを開始
します。このオプションは、iptables のコマンドを実行するのでは
なく、STDOUT に出力するだけです。
hana_firewall --simulate start
ルールに問題がなければ、次のコマンドを実行してファイアウォー
ルをテストします。
hana_firewall start
注 : 設定にエラーがある場合、問題の詳細が表示されます。
ファイアウォールが問題なく起動したら、次のコマンドを実行して
インストールしたすべての iptables ルールを一覧表示します。
hana_firewall show
14
UDP= 10050:10054 10050:10054
111 111 2049 2049
設定に変更を加えた場合、ファイアウォールを再起動する必要があ
ります。
hana_firewall restart
ファイアウォールのルールセットが最終的に決定したら、ファイア
ウォール環境設定ファイルのグローバルパラメータ「OPEN_ALL_
SSH」を「no」に変更することが可能です。ssh サービスが少なく
とも 1 つのインタフェースで設定されていることを確認してください。
ファイアウォールを有効化
システムの起動時にファイアウォールを自動的に起動させるには、
SysVinit で次のコマンドを実行してファイアウォールサービスを有
効にする必要があります。
chkconfig hana_firewall on
自動的に起動するよう有効にされているファイアウォールが他にな
いことを確認してください。
最小限の OS パッケージ選択
背景
一般的な Linux のインストールには、セキュリティに関連する可能
性のあるファイルが多数あります。これは特にバイナリファイルや
実行ファイルに当てはまることです。また、サービスを実行するす
べてのファイルが、ローカルやリモートの攻撃に脆弱である可能性
があります。そのため、インストールするファイル ( バイナリファ
イル、実行ファイル、環境設定ファイル ) と実行するサービスはで
きるだけ少なくすることをお勧めします。
SUSE Linux Enterprise Server は、Linux アプリケーションや
サービス、ライブラリなどの各論理コンポーネント向けの RPM パッ
ケージを提供しています。RPM パッケージは、実行ファイル、その
他のバイナリファイル、環境設定ファイル、およびドキュメントファ
イルを含め、特定のコンポーネントに属するすべてのファイルをグ
ループ化します。最も一般的なパッケージは、「インストールパ
ターン」としてユースケースによってグループ化されています。こ
のパターンは、たとえば SAP サーバと開発ツールなど、特定のユー
スケースの要件に適した簡単なインストールを実現するために、OS
のインストール中に選択することも、インストール後に YaST を使っ
て選択することもできます。
インストールする RPM パッケージの数を最小限に抑えることで、
システム上の脆弱な可能性のあるファイルの数を減らすことができ、
その結果、システム全体のセキュリティが大幅に向上します。さらに、
インストールするパッケージの数が少なければ、定期的にシステム
に適用すべき ( セキュリティの ) アップデートやパッチの数も少な
くて済みます。
SAP HANA は、出荷されるバージョンもさまざまで、標準インス
トールの一部ではないコンポーネントも数多く追加できる、非常に
複雑なアプリケーションです。このため、JeOS アプローチに従うの
は困難です。JeOS とは、
「Just enough Operating System ( 必
要最低限の OS)」の略で、Linux システムのインストールにボトム
アップアプローチを定義しています。これはつまり、最初の OS の
インストールは最小限のパッケージセットに基づき、どうしても必
要になった場合にのみパッケージを追加するというものです。SAP
HANA システムの場合、JeOS アプローチは採用できません。な
ぜ な ら、 異 な る 設 定、 バ ー ジ ョ ン、 ア ド オ ン な ど、 特 定 の SAP
HANA インストールのあらゆる事態を考慮しなければならないから
です。このアプローチでは、パッケージの不足によって非互換性を
招く可能性が高くなり過ぎてしまいます。
そのため、最小限のパッケージを選択するという現在のアプローチ
は、SUSE Linux Enterprise Server の 標 準 イ ン ス ト ー ル と
JeOS インストールとの中間にあると言えます。この戦略では、
SUSE Linux Enterprise Server のインストールパターン「Base
System」+「Minimal System」を使用し、オプションでサポー
トに連絡していくつかの必要なパッケージを追加します。
必要なインストールパターンとパッケージ
SAP でサポートされる SAP HANA の最小限の OS パッケージイン
ストールについては、SAP Note「#1855805̶Recommended
SLES 11 packages for HANA support on OS level (OS レベ
ルでの HANA サポートで推奨される SLES 11 パッケージ )」に記
載されています。
少なくとも次の 2 つのパターンをインストールすることを強く推奨
します。
Base System
Minimal System (Appliances)
www.suse.com
標準のインストールでは 1200 パッケージですが、この方法では合
計約 500 パッケージがインストールされます。
サポートに問い合わせた場合、いくつかのパッケージの追加インス
トールを担当者から求められることがあります。これらのパッケー
ジを次の表に示します。
bing
ポイント間の帯域幅測定ツール
bonnie
ファイルシステムのベンチマーク
cairo
ベクタグラフィックスライブラリ
findutils-locate
ファイル検索ツール
graphviz
グラフ描画ツール
iptraf
TCP/IP ネットワークモニタ
krb5-32bit
MIT Kerberos5 実装 - ライブラリ
krb5-client
MIT Kerberos5 実装 - クライアントプログラム
nfs-client
NFS 向けサポートユーティリティ
sensors
Linux 向けハードウェアヘルスモニタリング
これらのパッケージの中には、一部の X11 ライブラリとの依存関係を
追加的に持つものがあり、その結果、合計パッケージ数は約 750 個
になります。これらの追加パッケージは、OS のインストール中に
デフォルトでインストールすることをお勧めします。
SSL をサポートするには、SAPCYPTOLIB (SAP パッケージ ) と
SAR アーカイブツールも併せてインストールする必要があります。
まれに、サポートから追加パッケージのインストールを求められる
場合があります。そのため、一般的に SUSE Linux Enterprise
Server アップデートリポジトリを SAP HANA システムで設定し、
新しいパッケージを迅速にインストールできるようにすることをお
勧めしています。
図8. 特定のパッケージの選択によるインストールパッケージ数の比較
ヒント : リモート ssh 接続で X11 転送を有効にしたい場合 (「ssh
-X」または「ssh -Y」)、追加パッケージ xorg-x11-xauth is が必
要です。ssh 経由の X11 転送は、SAP HANA グラフィカルインス
トーラを使用する場合などに便利です。
セキュリティアップデート
SUSE Linux Enterprise Server 11 のセキュリティアップ
デート
他の商用ソフトウェアと同様に、オープンソースソフトウェアはハッ
カーやセキュリティエキスパートによって脆弱性が頻繁に試され、
脆弱性が見つかってしまうことも珍しくありません。また、オープン
ソースソフトウェアにはプログラミングエラーが含まれ、セキュリ
ティリークの原因になるものもあります。おそらく、脆弱性の要因
になることが多い最も一般的なプログラミングエラーは、バッファ
オーバーフローです。攻撃者は、保護されたメモリ領域を自身のコー
15
サーバソリューションガイド
SAP HANA 向け OS セキュリティ強化ガイド
ドを使って上書きすることができます。ここ数年で最も話題になっ
たバッファオーバーフローの脆弱性の 1 つに、OpenSSL ライブラ
リで見つかったものがあります。これは「Heart Bleed バグ」とし
て広く知られています。SUSE Linux Enterprise Server 11 は、
幸運にもこの脆弱性の影響を受けませんでした。
新たに発見されたセキュリティの脆弱性がセキュリティメーリング
リスト上、またはセキュリティアドバイザリによって報告されると
すぐに、影響を受けるコードが、ときには数時間以内という速さで
修正されます。この修正は、影響を受けるアプリケーションの作成者、
コミュニティのセキュリティエキスパート、または Linux ディスト
リビュータによって実行されます。
SUSE Linux Enterprise Server の場合、報告を受けて作成され
るセキュリティパッチが該当するソフトウェアパッケージに迅速に
組み込まれ、アップデートチャネルを通じてセキュリティアップデー
トとして公開されます。アップデートは届き次第、SUSE Linux
Enterprise Server のすべてのお客様にご利用いただけるようにな
ります。
SUSE Linux Enterprise Server のアップデートチャネル
SAP HANA システムのセキュリティアップデート ( およびその他の
アップデート済みパッケージ ) を受け取るには、SUSE アップデート
チャネルを適切に設定する必要があります。通常、SAP HANA シス
テムにはインターネットへのダイレクトアクセスがありません。企業
のネットワークと、
SUSE SMT サーバや SUSE Manager インスタン
スなどのインターネット間にアップデートプロキシが必要です。
お使いの SAP HANA システムがセキュリティアップデートを受け
取れるように適切に設定されており、SUSE アップデートチャネル
に登録されているかを確認するには、次のコマンドを実行します。
zypper lr
このコマンドは、SUSE Linux Enterprise Server インスタンス
の利用可能なソフトウェアリポジトリをリスンします。出力には、
SUSE Linux Enterprise Server 11 SP3 システムのアップデート
チャネル「SLE11-SP3-Updates」が表示されます。SUSE Linux
Enterprise Server for SAP Applications 11 SP3 システムの場
合、「 SLE11-SP3-SAP-Updates」 と「 SLES11-SP3-SAPUpdates」チャネルも表示されます。
新しいパッチや選択したセキュリティアップデートのインストール
には、さまざまな方法があります。セキュリティアップデートのみを
インストールする最も一般的な方法は、次のコマンドを実行するこ
とです。
zypper ref # Refreshes the update sources
zypper patch -g security # Install security
patches only
アップデートを受け取るための SAP HANA システムの適切な設定
方法について詳しくは、リソースライブラリ 2 の『SUSE Linux
Enterprise Server Maintenance Made Simple (SUSE Linux
Enterprise Server のシンプルな保守 )』を参照してください。
アップデートおよびパッチ戦略
多くの場合、組織には Linux サーバのアップデートおよびパッチに
関する要件を示す企業ポリシーがあります。またそのほとんどにお
いて、保守時間の間隔を短くするなどのセキュリティ対策が考慮さ
れています。
16
次の概要では、最も一般的なアップデートおよびパッチ戦略のいく
つかを示すとともに、その利点と欠点について説明します。
定期的にすべての新しいアップデートとパッチをインストール
説明 : 新しいアップデートとパッチを、たとえば 1 日 1 回や 1 週間に
一 度、 シ ス テ ム 管 理 者 が 手 動 で、 ま た は YOU (YaST Online
Update) や SUSE Manager などの自動アップデートツールを使っ
てインストールします。SUSE はサービスパック間で新しい機能を
実装することがないため、アップデートとパッチ ( セキュリティアッ
プデートを含む ) がシステムに悪影響を及ぼすことは通常ありま
せん。しかしまれに、アップデートによって問題が生じ、システム
の安定性が損なわれる場合があります。
利点 : システムは常に最新の状態で、最新のセキュリティアップデー
トがすばやく適用されます。これにより、システムのセキュリティ
が非常に高まります。
欠点 : まれに、アップデートやパッチによって問題が発生する場合
があります。
推奨 : 非生産的なすべての SAP HANA システムには優れた戦略で
すが、本番運用中のシステムには適しません。
保守時間にすべての新しいアップデートとパッチをインストール
説明 : この戦略は前述の戦略と非常に似ていますが、SAP HANA
システムが本番運用中でないこと、またはアップデートサイクル中
は可用性が限定されることを保証します。大規模データベースを実
行しているシステムで一般的に使用されます。
利点 : 問題のあるアップデートが本番運用中の SAP HANA システ
ムを危険にさらすことがありません。
欠点 : 保守時間は通常、頻繁には設けられていないため (1 カ月に一
度など )、セキュリティの観点から見てシステムが最新の状態にない
可能性があります。
推奨 : この戦略は、重要なセキュリティアップデートを通常の保守
時間外にインストールする場合にのみ有効です。
新しいアップデートとパッチを選択的にインストール ( セキュリティアップ
デートのみ )
説明 : セキュリティアップデートのみなど、パッチとアップデートを
選択してインストールする方法で、問題のあるアップデートがイン
ストールされる可能性がさらに低くなります。この戦略は、定期的
なシステムアップデートと組み合わせることが一般的です。パッケー
ジ の 選 択 的 な イ ン ス ト ー ル は、Zypper ( 例 は「SUSE Linux
Enterprise Server のアップデートチャネル」セクションを参照 )、
または SUSE Manager を使って実行できます。
残りのすべてのパッ
ケージアップデート ( バグ修正によるアップデート ) も同様に、保
守時間中などにインストールする必要があります。
利点 : 大部分のセキュリティパッチがインストールされ、システムを
ほぼ最新の状態に保つことができます。
__________
2 https://www.suse.com/ja-jp/products/sles-for-sap/
resource-library/
欠点 : 選択しなかったパッケージ ( セキュリティカテゴリに属する
パッケージ ) はすべて、即時にはインストールされません。
推奨 : アップデート戦略としては最善と言えるでしょう。
SAP HANA システムをアップデートしない
説明 : システムは SUSE アップデートチャネルに登録されず、いか
なるアップデートも適用されません。
利点 : ありません。
欠点 : 既知のセキュリティ脆弱性は常に増え続けているため、シス
テムがハッカーによる攻撃の絶好の標的になります。
推奨 : SUSE アップデートチャネルに登録し、少なくともセキュリ
このパッケージは次のファイルをインストールします。
ティアップデートは定期的にインストールすることを強く推奨します。
組織の SAP HANA システムにとってどのアップデート戦略が最適
かは、その企業のアップデートおよびパッチポリシー / ガイドライン
と、個々の SAP HANA システムの要件に大きく左右されます。重
要な SAP HANA システム ( 本番運用中の ERP データベースなど )
には、さらに保守的なアップデート戦略を選択する必要があります。
テストシステムの場合、YOU (YaST Online Update) などを使っ
て、アップデートが定期的に自動適用されることもあります。
展望
このガイドではセキュリティ強化についてほとんどのトピックを取
り 上 げ て い ま す が、 今 後 も 改 良 を 予 定 し て い ま す。 ま た、SAP
HANA の新しいバージョンでは、強化設定、ファイアウォール、ま
たは最小限のパッケージ選択に関して、要件が変更されたり、新た
な要件が追加されたりしている場合があります。これらの新しい要
件は生じ次第、組み込んでいく予定です。
次のリストは、このドキュメントの今後の改訂版で取り扱う可能性
のある、機能強化予定の概要です。
強化設定 : さまざまな SAP HANA インストールおよびユースケー
スに向けた、さらなる強化設定および強化設定パターンを提供
ファイアウォール : ファイアウォールの設定では、インストール
された SAP HANA データベースシステムの自動検出などの機
能を改善
最小限のパッケージ選択 : SAP HANA のインストールに必要な
パッケージ数をさらに削減
このドキュメントの最新バージョンを、SUSE Web サイト 3 のリ
ソースライブラリで適宜チェックすることをお勧めします。
著者について
このドキュメントは、SAP Linux Lab でアーキテクト兼テクニカ
ルマネージャとして勤務する Markus Guertler と、SUSE 保守お
よびセキュリティチームのソフトウェアセキュリティエンジニアで
ある Alexander Bergmann によって作成されました。
__________
3 https://www.suse.com/ja-jp/products/sles-for-sap/
resource-library/
追加情報と参照資料
次の表に、このガイドで説明したトピックの追加情報の参照先を示します。
SUSE セキュリティポータル
www.suse.com/security
SUSE Linux Enterprise Server Security Guide (SUSE Linux
Enterprise Server セキュリティガイド )
www.suse.com/documentation/sles11/singlehtml/book_security/
book_security.html
SAP HANA Security Guide (SAP HANA セキュリティガイド )
http://help.sap.com/hana/SAP_HANA_Security_Guide_en.pdf
SAP HANA Master Guide (SAP HANA マスタガイド )
http://help.sap.com/hana/SAP_HANA_Master_Guide_en.pdf
Recommended SLES 11 packages for HANA support on
OS level (OS レベルでの HANA サポートで推奨される SLES 11
パッケージ )
SAP Note #1855805
SUSE Linux Enterprise Server 11 Installation Notes (SUSE
LINUX Enterprise Server 11 インストールの注意事項 )
SAP Note #1310037
このドキュメントに関してご不明な点、コメント、フィードバックなどがございましたら、[email protected]まで e メールでご連絡く
ださい。
www.suse.com
17
サーバソリューションガイド
SAP HANA 向け OS セキュリティ強化ガイド
18
お近くの SUSE ソリューションプロバイダまたはノベル
株式会社までお問い合わせください。
ノベル株式会社
〒 162-0845
東京都新宿区市谷本村町 1-1
住友市ヶ谷ビル 12 階
電話 0800-100-5575(フリーダイアル)
www.suse.com/ja-jp/
SUSE
Maxfeldstrasse 5
90409 Nuremberg
Germany
www.suse.com
264-JA0003-002 | 01/15 | © 2015 SUSE LLC. All rights reserved. SUSE、SUSEロゴ、およびYaSTは、米国およびその他の国における
SUSE LLCの登録商標です。すべての第三者の商標は、それぞれの商標権者に帰属します。