この章の内容は次のとおりです。
「秘密鍵、デジタル証明書、信頼性のある認証局からの証明書の取得」を参照してください。
「秘密鍵、デジタル証明書、信頼性のある認証局からの証明書の格納」を参照してください。
本番環境で保護する必要があるWebLogic Serverのすべてのコンポーネントと、WebLogic Serverホスト、WebLogicセキュリティ・サービス、WebLogic Serverで使用されるファイルとデータベースを保護するために推奨される特定のタスクを含む完全なチェックリストは、『Oracle WebLogic Server本番環境の保護』の本番環境のセキュリティの確保を参照してください。
WebLogic Serverを本番環境にインストールする場合、次の項で説明するガイドラインを強くお薦めします。
WebLogic Serverのインストール・プログラムを開始する前に、次のタスクを実行します。
My Oracle Supportアカウントを作成し、WebLogic Serverインストールをオラクル社に登録して、セキュリティの更新を自動的に受け取れるようにします。詳細は、http://www.oracle.com/support/index.html
にアクセスしてください。
認可されたユーザーのみにアクセス権を制限して、ホスト・マシン、オペレーティング・システムおよびファイル・システムを保護します。例:
認可されていないオペレーティング・システム・ユーザーが、マシンおよびネットワーク接続を使用できないように、ハードウェアを安全な場所に設置します。
最新のオペレーティング・システム・パッチとセキュリティ更新をホスト・マシンに必ず適用します。
注意:
新しいパッチが入手できるようになったら、すぐにダウンロードしてインストールする必要があります。
オペレーティング・システムで提供されるネットワーク・サービスとファイル・システムを保護して、認可されないアクセスを防ぎます。たとえば、すべてのファイル・システム共有を保護するようにします。
オペレーティング・システムのファイル・アクセス権限を設定して、WebLogic Serverによって使用または管理されるディスクに格納されているデータ(セキュリティLDAPデータベースや、キーストアが作成されて管理されるディレクトリなど)へのアクセスを制限します。
ホスト・マシンのユーザー・アカウント数を制限します。グループを作成しして、次のユーザー・アカウントのみを含めます。
WebLogic Serverをインストールするユーザーのみ
WebLogicドメインを作成し、ノード・マネージャを使用して、管理サーバーと各管理対象サーバー・インスタンスをドメインで起動するユーザー
これらのユーザー・アカウントの権限を次のディレクトリのみに制限します。
Oracleホーム — ホスト・コンピュータ上のすべてのOracle Fusion Middleware製品に対して作成されるルート・ディレクトリ
WebLogicホーム — WebLogic Serverインストールのルート・ディレクトリ
ドメイン・ホーム — WebLogicドメインのルート・ディレクトリ
注意:
一部のプロセスは、デフォルトではUnixプラットフォームの/tmp
のような一時ディレクトリへのアクセス権が必要です。ユーザー・アカウントの権限がOracleホーム、WebLogicホームおよびWebLogicドメイン・ディレクトリのみに制限される場合、ユーザーは自らがアクセス権を持つディレクトリを指すように環境変数(TEMP
またはTMP
など)を変更する必要があります。
ホスト・マシンのすべてのWebサーバーが、権限のないユーザーとしてのみ実行するようにします。決してroot
として実行してはなりません。CERT Coordination Center (http://www.cert.org/
)の「Security Practices & Evaluations」の情報も参照してください。
ソフトウェア開発ツールまたはサンプル・ソフトウェアがインストールされていないことを確認します。
評価の高い侵入検知システム(IDS)など、オペレーティング・システムを保護する追加ソフトウェアの使用を検討します。
詳細は、『Oracle WebLogic Server本番環境の保護』のWebLogic Serverホストの保護に関する項を参照してください。
インストール中には次に注意してください。
サンプル・アプリケーション・コンポーネントをインストールしないでください。
セキュリティ更新の指定インストーラ画面で、「セキュリティ・アップデートをMy Oracle Support経由で受け取る」を選択します。
詳細は、『Oracle WebLogic Server本番環境の保護』のセキュリティ資料の参照に関する項とセキュアな方法でのWebLogic Serverのインストールに関する項を参照してください。
Derby DBMSデータベースを削除します。WebLogic Serverにバンドルされているこのデータベースは、サンプル・アプリケーションやサンプル・コードでデモンストレーション・データベースとして使用されます。Derby DBMSはWL_HOME
/common/derby
ディレクトリにあります。
次のサイトの「重要なパッチ更新およびセキュリティ・アラート」ページにアクセスして、WebLogic Serverのセキュリティの注意事項を確認します。
http://www.oracle.com/technetwork/topics/security/alerts-086861.html
本番環境で使用するためにWebLogicドメインを構成する際に、構成ウィザードなどのツール、pack
/unpack
コマンドまたはWLSTを使用するときは、次のようにします。
ドメインが本番モードで実行するように構成します。セキュリティおよびロギングに関するデフォルトの設定は、ドメイン・モードにより決定されます。本番モードでは、アプリケーションのデプロイおよび管理サーバーの起動にはユーザー名とパスワードが必要になるなど、セキュリティ構成が比較的厳しくなっています。
完全なWebLogicドメインまたはリモート・マシン上の管理対象サーバー・ドメイン・ディレクトリで使用されるドメインのサブセットを、unpack
コマンドを使用して作成している場合は、-server_start_mode=prod
パラメータを使用して本番モードを構成します。
ドメインのモードを開発から本番または本番から開発に変更できることに注意してください。ただし、セキュリティ要件が厳しい本番環境では、(開発モードのドメインを本番モードに変更するのではなく)ドメインの作成時に本番ドメイン・モードを設定することをお薦めします。
詳細は、『Oracle WebLogic Serverドメイン構成の理解』の開発モードおよび本番モードに関する項を参照してください。
ドメインが他のWebLogicドメインと相互運用する場合、または将来にその予定がある場合は、注意してリソース名を選択します。多くのリソース名はドメインの作成時に確定されます。クロス・ドメイン・セキュリティ、トランザクションおよびメッセージングを使用するときは、リソース名に厳しい要件を適用する必要があります。
詳細は、『Oracle WebLogic Server JTAアプリケーションの開発』のトランザクション通信の要件に関する項を参照してください。
WLSTを使用してドメインを作成するとき、次のようなパスワードが必要なエンティティを構成するために、暗号化されていないパスワードをコマンドに入力しないでください。
ドメイン管理者
ノード・マネージャ・ユーザー
データベース・ユーザー
JKSキーストア(キーストアの作成時とWebLogic Serverでのキーストアの構成時)
ウォレット
WLSTコマンドで暗号化されていないパスワードを指定するのはセキュリティ・リスクです。その他のユーザーがモニター画面から簡単に見ることができます。また、それらのコマンドの実行をログするプロセスのリストにそのパスワードが表示されます。したがって、コマンドにはパスワードを指定しないでください。コマンドが実行されるとき、ドメインの構成を完了するために必要なパスワードがあれば、WLSTによって自動的にプロンプトが表示されます。
WebLogic Server環境用の秘密鍵、デジタル証明書、信頼性のあるCA証明書を取得するための選択肢は複数あります。選択の際には、次の検討事項に注意してください。
本番環境の場合、EntrustやSymantec Corporationなどの信頼できる認証局からのみ秘密鍵やデジタル証明書を取得することを強くお薦めします。詳細は、「本番環境のための証明書の取得と格納」を参照してください。
WebLogic Serverで提供されるデジタル証明書、秘密鍵、信頼性のあるCA証明書を使用できるのは開発環境のみです。keytoolまたはCertGenユーティリティを使用して、自己署名証明書を生成することもできます。詳細は、「開発環境でのキーストアと証明書の使用」を参照してください。
秘密鍵、デジタル証明書、および信頼できるCA証明書を取得した後は、それらを格納し、WebLogic Serverでそれらを使用してIDを検索および確認できるようにする必要があります。秘密鍵、秘密鍵に関連付けられたデジタル証明書、および信頼できるCA証明書は、キーストアに格納されます。続いて、WebLogic Serverで当該キーストアを構成する必要があります。
項目 | 参照先 |
---|---|
キーストアの作成 |
|
WebLogic Serverで使用されるキーストアの構成 |
|
キーストアを作成して鍵と証明書をその中に保存するためのkeytoolユーティリティの使用手順の例 |
|
キーストアに含まれる証明書の表示 |
|
まもなく期限切れになる証明書の更新 |
WebLogic Serverには、ユーザー・アカウントを侵入者から保護するための構成オプションが定義されています。デフォルト・セキュリティ構成では、これらのオプションは最高の保護レベルに設定されています。WebLogic Server管理コンソールで、「構成」→「ユーザーのロックアウト」ページ(セキュリティ・レルムごとにある)を使用してこれらのオプションを変更できます。
システム管理者は、すべての構成オプションを無効にしたり、ユーザー・アカウントがロックされるまでのログイン試行回数を増やしたり、ユーザー・アカウントがロックされるまでの無効なログイン試行期間を延ばしたり、ユーザー・アカウントのロック時間を変更したりできます。これらの構成オプションを変更すると、セキュリティ・レベルが低下して攻撃を受けやすくなることに注意してください。Oracle WebLogic Server管理コンソール・オンライン・ヘルプのユーザー・ロックアウト属性の設定に関する項を参照してください。
注意:
「ユーザーのロックアウト」オプションは、デフォルト・セキュリティ・レルムとそのすべてのセキュリティ・プロバイダに適用されます。「ユーザーのロックアウト」は、すべてのセキュリティ・レルムで作動します。構成されているすべてのプロバイダ(カスタム・プロバイダも含む)に対応し、デフォルトで有効になっています。
独自のメカニズムでユーザー・アカウントを保護する認証プロバイダを使用する場合、セキュリティ・レルムでの「ユーザーのロックアウト」を無効にしても問題ないかどうかを検討してください。他の認証プロバイダがセキュリティ・レルムで構成される可能性があるためです。
ユーザー・アカウントがロックされたためそのユーザー・アカウントを削除して、同じ名前とパスワードを持つ別のユーザー・アカウントを追加しても、「ユーザーのロック・アウト」構成オプションはリセットされません。
ロックされたユーザー・アカウントの解除については、Oracle WebLogic Server管理コンソール・オンライン・ヘルプのユーザー・アカウントのロック解除に関する項を参照してください。ロックされたユーザー・アカウントに対するロックの解除は、WebLogic Server管理コンソールや、UserLockoutManagerRuntimeMBean
のclearLockout
属性を介して行うことができます。
接続フィルタを使用すると、ネットワーク・レベルでアクセスを拒否できます。接続フィルタは、個々のサーバー、サーバー・クラスタ、または内部ネットワーク(イントラネット)にあるサーバー・リソースの保護に使用できます。たとえば、ユーザーの企業のネットワーク外部からの非SSL接続を拒否できます。ネットワーク接続フィルタは、プロトコル、IPアドレス、およびDNSノード名に基づいてフィルタ処理するよう構成できる点において一種のファイアウォールです。
接続フィルタは、管理ポートを使用する場合に特に便利です。ネットワーク・ファイアウォール構成によっては、接続フィルタを使用して管理アクセスをさらに制限できる場合もあります。一般的には、管理ポートへのアクセスをWebLogicドメイン内のサーバーやマシンのみに制限するために使用されることが考えられます。攻撃者がファイアウォールの内側にあるマシンにアクセスできても、それが許可されたマシンでない限り、管理操作を実行することはできません。
WebLogic Serverでは、weblogic.security.net.ConnectionFilterImpl
というデフォルトの接続フィルタが用意されています。この接続フィルタは、すべての着信接続を受け入れます。また、サーバーは、このクラスが提供する静的ファクトリ・メソッドを使うことで、現在の接続フィルタを取得できます。アクセスを拒否するようにこの接続フィルタを構成するには、WebLogic Server管理コンソールで接続フィルタ・ルールを入力してください。
また、weblogic.security.net
パッケージのクラスを実装することで、カスタム接続フィルタを使用することもできます。接続フィルタの作成の詳細は、『WebLogicセキュリティ・サービスによるアプリケーションの開発』のネットワーク接続フィルタの使用に関する項を参照してください。デフォルト接続フィルタと同じように、カスタム接続フィルタもWebLogic Server管理コンソールで構成できます。
接続フィルタを構成するには:
関連項目:
Oracle WebLogic Server管理コンソール・オンライン・ヘルプの接続フィルタの構成に関する項を参照してください。
接続フィルタのルールとカスタム接続フィルタの作成については、『WebLogicセキュリティ・サービスによるアプリケーションの開発』のネットワーク接続フィルタの使用に関する項およびカスタム接続フィルタの開発に関する項を参照してください。
WebLogic Scripting ToolまたはJava Management Extensions (JMX) APIを使用して新しいセキュリティ構成を作成することもできます。