OBIEE安全和WebLogic脚本工具(WLST)

继续讨论OBIEE安全性的博客系列,在讨论WebLogic安全性时,需要了解WebLogic脚本工具(WLST)。从安全风险的角度考虑,WLST与DBA如何使用SQL管理Oracle数据库类似。作为任何WebLogic安全评估的一部分,需要仔细检查谁在使用WLST以及他们如何使用它。

WebLogic脚本工具(WLST)

WebLogic脚本工具(WLST)是用于创建,管理和监视WebLogic的命令行脚本环境。它基于Java脚本解释器Jython,版本2.2.1。 WLST除了支持标准的Jython功能(例如局部变量,条件变量和流控制语句)外,还提供了一组特定于WebLogic Server的脚本功能(命令)。

从安全风险的角度考虑,WLST与DBA如何使用SQL管理Oracle数据库类似。作为任何WebLogic安全评估的一部分,需要仔细检查谁在使用WLST以及他们如何使用它。

WLST使用WebLogic安全框架来实施与使用WebLogic用户界面时相同的安全规则。 WLST脚本类似于SQL脚本,可以使用任何文本编辑器创建和编辑,并且运行WLST脚本的操作系统用户可以很容易地与脚本中引用的用户不同。 WLST脚本可以以联机或脱机模式运行,除了修改和复制配置(例如创建测试服务器)外,它们还可以用于添加,删除或修改用户,组和角色。

保护WLST连接

整合学 Corporation和Oracle都建议在使用WLST时仅通过管理端口进行连接。的 行政港口 是一个特殊的安全端口,域中的所有WebLogic Server实例均可用于管理流量。

默认情况下,此端口未启用,但是建议在生产中启用管理端口。将管理流量与应用程序流量分开可以确保关键的管理操作(启动和停止服务器以及更改配置)不会与同一网络连接上的应用程序流量竞争。

需要使用SSL保护管理端口。同样,默认情况下,演示证书也用于SSL。演示SSL证书不应用于生产。

写入和读取加密的配置值

WebLogic Server配置的某些属性已加密,以防止未经授权访问敏感数据。例如,JDBC数据源密码已加密。 强烈建议遵循WebLogic脚本工具文档,以获取有关使用加密配置值的特定说明,但是使用WLST-手动(临时),在脚本中,脱机和联机。安全评估应该包括对设置或操作加密值的WLST脚本的讨论(如果不是审查的话)。

运行WLST脚本

WLST脚本允许在命令行使用未加密的密码。 WebLogic安全策略需要解决WLST脚本应如何提供密码。错误地存储密码可以轻松,不必要地在脚本,监视器屏幕和日志文件中公开密码。输入要求未加密密码的WLST命令时,应采取以下预防措施:

  • 仅在出现提示时输入密码。如果在命令行中省略了密码,则随后会在执行命令时提示您输入密码
  • 对于启动WebLogic Server实例的脚本,请创建启动标识文件。引导标识文件是一个包含用户凭据的文本文件。因为凭据是经过加密的,所以使用引导标识文件比在启动或关闭脚本中存储未加密的凭据要安全得多。
  • 对于需要用户名和密码的WLST管理脚本,请考虑使用配置文件。可以使用WLST storeUserConfig命令创建此文件,该文件包含:
    • 加密形式的用户凭证
    • WebLogic Server用于解密凭据的密钥文件

如有疑问,请通过以下方式与我们联系 [email protected]

 -Michael Miller,CISSP-ISSMP

参考文献

 Share this post

订阅RSS

将我们添加到您最喜欢的新闻阅读器中。

在Twitter上关注

获取最新更新。