Obiee Security和WebLogic脚本工具(WLST)

在讨论WebLogic安全性时,继续我们的博客系列对obiee安全性,需要了解WebLogic脚本工具(WLST)。从安全风险角度来看,考虑类似于DBA如何使用SQL管理Oracle数据库的WLST。谁使用WLST以及他们如何使用它需要仔细审查作为任何WebLogic安全评估的一部分。

WebLogic脚本工具(WLST)

WebLogic脚本工具(WLST)是用于创建,管理和监视WebLogic的命令行脚本环境。它基于Java脚本解释器,Jython,2.2.1版。除了支持局部变量,条件变量和流量控制语句之类的标准Jython功能之外,WLST还提供了一组特定于WebLogic Server的脚本函数(命令)。

从安全风险角度来看,考虑类似于DBA如何使用SQL管理Oracle数据库的WLST。谁使用WLST以及他们如何使用它需要仔细审查作为任何WebLogic安全评估的一部分。

WLST使用WebLogic安全框架来强制使用WebLogic用户界面时的安全规则。类似于SQL脚本的WLST脚本是使用任何文本编辑器创建和编辑的,运行WLST脚本的操作系统用户可以轻松地不同于脚本中引用的用户。 WLST脚本可以在ON或OFFLINE模式下运行,除了修改和复制配置之外,(例如要创建测试服务器),它们可用于添加,删除或修改用户,组和角色。

保护WLST连接

Intigigy Corporation和Oracle都建议使用WLST仅通过管理端口连接。这 行政港口 是一个特殊的安全端口,域中的所有WebLogic Server实例都可以用于管理流量。

默认情况下,此端口未启用,但建议在生产中启用管理端口。将管理流量从应用程序流量分离可确保关键管理操作(启动和停止服务器和更改配置)不会与同一网络连接上的应用程序流量竞争。

需要使用SSL确保管理端口。同样,默认情况下,演示证书用于SSL。演示SSL证书不应用于生产。

编写和读取加密配置值

加密WebLogic Server配置的某些属性以防止未经授权访问对敏感数据。例如,JDBC数据源密码被加密。 强烈建议遵循WebLogic脚本工具文档以了解有关使用加密配置值的特定说明,但是WLST - 手动(ad-hoc),脚本,脱机和在线。安全评估应包括设置或操作加密值的WLST脚本的讨论,如果不是审查。

运行WLST脚本

WLST脚本可以在命令行中允许未加密的密码。 WebLogic安全策略需要解决WLST脚本应该如何提供密码。存储密码错误地可以轻松无需在脚本上轻松地公开密码,在监视器屏幕上和日志文件中。输入需要未加密密码的WLST命令时,应采取以下预防措施:

  • 仅在提示时输入密码。如果从命令行中省略了密码,则随后提示执行命令时执行命令
  • 对于启动WebLogic Server实例的脚本,请创建引导身份文件。引导身份文件是包含用户凭据的文本文件。由于凭据已加密,使用引导标识文件比在启动或关机脚本中存储未加密的凭据更安全。
  • 对于需要用户名和密码的WLST管理脚本,请考虑使用配置文件。可以使用wlst storeuserconfig命令创建此文件,并包含:
    • 以加密表单的用户凭据
    • WebLogic Server用于Uneccreypt凭据的密钥文件

如果您有疑问,请联系我们 [email protected]

 -Michael Miller,CISSP-ISSMP

参考

 Share this post

订阅RSS.

将我们添加到您最喜欢的新闻读者。

在推特上关注

获取最新的更新。