Oct 11, 2008

Μερικές συμβουλές ασφάλειας (security advices) μετά την εγκατάσταση του Oracle Application Server

Έπειτα από την εγκατάσταση ενός Oracle Application Server, ιδιαίτερα για ένα public site, είναι απαραίτητο να προβούμε σε κάποιες ενέργειες που θα προστατεύσουν το σύστημά μας. Κάποιες από αυτές περιλαμβάνονται στα Security Guides της Oracle (http://download.oracle.com/docs/cd/B14099_19/core.1012/b13999/toc.htm)

  • Αλλάξτε πάντα το index page του Apache γιατί δίδει πληροφορίες για το σύστημά σας (με πιο σημαντική την έκδοση). Για παράδειγμα από το index page του login.oracle.com:

  • Παρομοίως, αλλάξτε την σελίδα που επιστρέφεται ως page not found. Επίσης δηλώνει την έκδοση των servers σας. Τροποποιείστε αυτή τη συμπεριφορά με την ErrorDocument ντιρεκτίβα του Apache
  • Εκμεταλλευτείτε το mod_security του Apache (http://www.modsecurity.org/) που περιλαμβάνεται στις διανομές 10.1.2 και 10.1.3 του OAS ώστε να αποφύγετε XSS και SQL injections
  • Περιορίστε την πρόσβαση σε URLs που έχουν ευαίσθητες πληροφορίες, μόνο σε χρήστες του εσωτερικού κόσμου ενός site. Τέτοιου είδους URLs είναι το /pls/orasso.home, /oiddas (εφόσον δεν προσφέρουμε self-service διαχείριση χρηστών), /em (για τους Application Servers βασισμένους στο 10.1.3), κλπ. Για να περιορίσουμε την πρόσβαση σε αυτές τις διευθύνσεις, αρκεί να μεταβάλλουμε τα κατάλληλα αρχεία όπως το mod_oc4j.conf ή το plsql.conf, με δηλώσεις του τύπου, που ορίζουν συγκεκριμένους clients που έχουν πρόσβαση στο URL.
<Location /oiddas >
Order deny,allow
Deny from all
Allow from localhost adminhost
</Location >

No comments: