obiee安全检查:WebLogic安全性

作为Entigigy博客系列的第一篇文章,obiee安全性,首先看看WebLogic是有意义的。作为融合中间件11G产品,Obiee 11g使用Oracle WebLogic进行集中式公共服务,包括常见的安全模型。 WebLogic本身是一个可扩展的企业就绪的Java平台,企业版(Java EE)应用程序服务器。 WebLogic Server Infrastructure基于服务面向服务的体系结构(SOA),它允许它成为许多不同类型的应用程序的基础。 Oracle Corporation将WebLogic Server安全架构描述为“提供全面,灵活的安全基础架构,旨在解决在Web上提供应用程序的安全挑战。”

我们的网络研讨会在19月19日 - 3月将审查Obiee Security,如果您有兴趣,请通过下面的链接注册。

在考虑WebLogic安全性时,应牢记以下几点:

网络

在安装WebLogic之前,请使用专家查看网络服务,以确保恶意攻击者无法访问操作系统或系统级命令。如果在Internet上揭示obiee功能,请使用DMZ。还使用SSL来保护客户端通信并配置所有融合中间件应用程序以使用SSL。 OHS Web服务通常在防火墙上使用4443(而不是7777),并在内部为Obiee报告服务提供9704。

许多obiee实现利用防火墙外的移动访问(例如iPad或平板电脑)。 Obiee Mobile接口在WebLogic中使用相同的身份验证。不需要额外的身份验证配置。

操作系统帐户

WebLogic应该通过故意创建的单个操作用户来安装并启动,以支持WBLogic。如果可能的话,避免为此用户选择一个明显的名称。不要使用演示或示例用户帐户和密码。

作为一种安全最佳实践,WebLogic不得作为特权用户或root运行。对于UNIX安装,这需要额外的步骤是因为使用UNIX,只有在特权用户帐户(通常是root)下运行的进程可以绑定到低于1024的端口。 因为WebLogic,作为应用程序服务器是一个长期运行的过程,需要在诸如80或443的下部端口上进行通信,有两个常用的选项:

  • 在特权用户帐户下启动WebLogic,绑定到特权端口,然后将其用户ID更改为非特权帐户
  • 使用非特权帐户启动WebLogic并配置防火墙以使用网络地址转换(NAT)软件将受保护的端口映射到未受保护的端口

文件权限

仅在主机上安装WebLogic,可以防止未经授权访问受保护的资源。例如,在Windows计算机上,仅使用NTFS。必须仔细地限制到WebLogic管理员的访问权限,理想地仅根据需要。没有其他操作系统用户应该读取,写入或执行对WebLogic Server产品文件或域文件的访问权限。

以下目录的文件权限对于保护WebLogic至关重要。这些目录应适当限制:

  • 中间件主目录
  • WebLogic Server产品安装目录
  • WebLogic域目录
  • 坚持不懈的商店

如果您有疑问,请联系我们 [email protected]

 -Michael Miller,CISSP-ISSMP

请注意:

  • 注册3月19日TH. 网络研讨会: obiee安全检查了
  • 协作2014年会议oaug - #14366 obiee安全检查,星期五,4月11日,下午12:15

 Share this post

订阅RSS.

将我们添加到您最喜欢的新闻读者。

在推特上关注

获取最新的更新。