WebLogic 安全配置要求及操作指南

LINUX IT敢客 11个月前 (09-16) 7251次浏览 已收录 1个评论 扫描二维码

WebLogic 安全配置要求及操作指南

 

  1. 范围

适用于使用的 Weblogic 服务器。本规范提出了 Weblogic 服务器安全配置要求,适用于所有的安全等级,可作为编制设备入网测试、安全验收、安全检查规范等文档的参考。

由于版本不同,配置操作有所不同,本规范以 unix 平台上 Weblogic9.x 为例,给出

参考配置操作。

  1. 缩略语


SSL

Secure Sockets Layer  

安全套接层

HTTP

HyperText Transfer Protocol

超文本传输协议

  1. 安全配置要求
    1. 账号 编号:1

要求内容

为不同的管理用户分配不同的角色

参考操作


 

以管理员身份登录控制台

  1. 点击左侧面板"Security"文件夹,展开"REALM"  

  2. 点击 "Users" 文件 夹,修 改 非特权 用 户为角色

AdministratorsDeployersMonitorsOperators 之一

检测方法

1、判定条件 2、检测操作

以管理员身份登录控制台

  1. 点击左侧面板"Security"文件夹,展开"REALM"  

  2. 点击"Users"文件夹,查看用户所属组及组、全局角色配置


编号:2

要求内容

应删除与设备运行、维护等工作无关的账号

参考操作


 

以管理员身份登录控制台

  1. 点击左侧面板"Security"文件夹,展开"REALM"  

  2. 点击"Users"文件夹,删除与设备运行、维护等工作无关的账号

检测方法

1、判定条件

没有与设备运行、维护等工作无关的账号


编号:3

要求内容

禁止以特权用户身份运行 WebLogic

操作指南

1、参考配置操作以WebLogic管理员身份登录管理控制台,执行:

  1. 在左面板,点击"Machine"文件夹

  2. 在右面板,选择"Configure a New Unix Machine link"  

  3. 输入 unix 机器名,勾选" Enable Post-bind UID field"并输入用户名,

该用户名必须对 BEA_HOME 及子目录有完全控制权限,输入对应组(用户名和组名须事先在 OS 中单独创建),点击"Apply"按钮. 注意:不要使用默认的 nobody 用户,如下图所示:

 

WebLogic 安全配置要求及操作指南

4. 选择"Servers"标签. "Available list" 移动
每个想要的服务器实例到 "Chosen list". 然后击"Apply"按钮

WebLogic 安全配置要求及操作指南

检测方法

  1. 判定条件以特权用户身份启动应用服务器,绑定端口之后改变 UID GID 到非特权用户和组

  2. 检测操作

    root身份执行:

    # ps –ef| grep –i  weblogic  

    WebLogic管理员身份登录管理控制台,执行:

    1. 在左面板,点击"Machine"文件夹

    2. 在右面板,查看是否配置"Unix Machine link"


编号 4

要求内容

开启主机名认证,设置 Hostname Verification 值为"Bea Hostname

Verifier"

参考操作

设置Hostname Verification值为"Bea Hostname Verifier"  

以管理员身份登录管理控制台:

1. 点击左面板域名文件夹,然后点击"servers"文件夹,点击要管理的

 

服务器名

2. 在右侧面板的"configuration"面板下的"Keystore &SSL"标签中,点击

Advanced option "Show"项,查看Client attribute下的Hostname   Verification ,设置为"Bea Hostname Verifier"

检测方法

  1. 判定条件

  2. 检测操作

以管理员身份登录管理控制台:

  1. 点击左面板域名文件夹,然后点击"servers"文件夹,点击要管理的服务器名

  2. 在右侧面板的"configuration"面板下的"Keystore &SSL"标签中,点击 Advanced option "Show"项,查看Client attribute下的Hostname  

    Verification

  1. 口令

编号:1

要求内容

对于采用静态口令认证技术的设备,口令长度至少 8 位,并包括数字、小写字母、大写字母和特殊符号 4 类中至少 3 类

操作指南

以管理员身份登录控制台

  1. 点击左侧面板"Security"文件夹,展开"REALM"  

  2. 点击"Users"文件夹,设置口令长度至少 8 位,并包括数字、小写字母、大写字母和特殊符号 4 类中至少 3 类

    检查 WebLogic 安装目录下的 weblogic.properties 配置文件中参数

    weblogic.system.minPasswordLen=8

检测方法

  1. 判定条件

  2. 检测操作


编号:2

要求内容

对于采用静态口令认证技术的设备,应配置当用户连续认证失败次数超过 6 次(不含 6 次),锁定该用户使用的账号

操作指南

1、参考配置操作设定帐号锁定次数和时间

以管理员身份登录控制台

  1. 点击左侧面板"Security"文件夹,展开"REALM"  

  2. 点击右侧面板中的"User Lock"标签,设定 Lockout EnabledLockout

 

Threshold 值为 5Lockout Duration 30(分钟)

WebLogic 安全配置要求及操作指南

检测方法

  1. 判定条件

  2. 检测操作

以管理员身份登录控制台

  1. 点击左侧面板"Security"文件夹,展开"REALM"  

  2. 点击右侧面板中的"User Lock"标签,查看锁定阈值,锁定持续时间,锁定重置持续时间

  1. 日志

编号 1

要求内容

开启日志功能

参考操作


 

以管理员身份登录管理控制台

  1. 点击域名,在右侧面板选择"Configuration"标签

  2. 选择logging标签,设置域级日志,勾选如下图红色标记部分

 

WebLogic 安全配置要求及操作指南

WebLogic 安全配置要求及操作指南

  1. 点击域名下 servers 下的服务器名,在右侧面板选择"Logging"标签,选择

    Domain,勾选"Log to Domain Log file"

  2. 同上,点击 Server 标签,配置服务器级日志,勾选"Log to stdout"等,如下红色标记项

 

WebLogic 安全配置要求及操作指南

5. 同上,点击"HTTP"标签,按如下红色标记部分进行配置

WebLogic 安全配置要求及操作指南

检测方法

1、判定条件

开启日志功能


编号 2

要求内容

配置日志审计

参 考操作


 

以管理员身份登录控制台

  1. 点击左侧面板Security文件夹,展开provider,然后点击Auditing文件夹

  2. 查看是否配置Auditor,如无则选择"Configure a new Default Auditor"并设置审计级另为FAILURE.  

     

  3. 点击左侧面板中域名下的服务器,在右侧面板"General"标签中设置

    Configuration AuditinglogAudit  


     

检测方法

  1. 判定条件配置了审计,设置审计级另为 FAILUREConfiguration Auditing logAudit

  2. 检测操作以管理员身份登录控制台

    1. 点击左侧面板 Security 文件夹,展开 provider,然后点击 Auditing 文件夹

    2. 查看是否配置 Auditor,对照如下图的红色标记部分配置

WebLogic 安全配置要求及操作指南

WebLogic 安全配置要求及操作指南

  1. Keystore 和 SSL 设置

编号 1

要求内容

合理设置 WebLogic Keystore SSL

操作指南

创建用户自已的私有密钥和数字证书
以管理员身份登录管理控制台:

  1. 点击左面板域名文件夹,然后点击"servers"文件夹,点击要管理的服务器名

  2. 在右侧面板的"configuration"面板下的"Keystore &SSL"标签中,点击Keystore configuration "Change"项,改变默认私有密钥设置  3. 同上点击SSL configuration "Change"项,改变默认私有密钥设置 4. 同上点击"Advanced option""Show"项,勾选" SSLRejection

    Logging Enabled"

检测方法

以管理员身份登录管理控制台:

1. 点击左面板域名文件夹,然后点击"servers"文件夹,点击要管理的服务器名

 

2. 在右侧面板的"configuration"面板下的"Keystore &SSL"标签中查看

如下图相应红色标记部分和蓝色标记部分

WebLogic 安全配置要求及操作指南

  1. Sockets 最大打开数量

编号 1

要求内容

合理设置应用服务器 Sockets 最大打开数量

操作指南

1
参考配置操作:

 

以管理员身份登录管理控制台  

  1. 点击左侧面板的域名文件夹,然后点击 Servers 文件夹,双击要管理的服务器  

  2. 在右侧面板的"Configuration"面板下选择"Tuning"标签  

  3. 设置"  Maximum Open Sockets"为 254 或其它用户设定值备注:此项操作需开发人员在测试机修改后测试,应用正常然后再在生产机器上修改

检测方法

以管理员身份登录管理控制台

  1. 点击左侧面板的域名文件夹,然后点击Servers文件夹,双击要管理的服务器

  2. 在右侧面板的"Configuration"面板下选择"Tuning"标签,查看

    Maximum Open Sockets

  1. 文件和目录权限 编号:1

要求内容

合理设置文件与目录权限,没有不必要的权限,也不存在不必要的文件

参考操作


 

对启动和环境脚本限制权限为710,确认BEA_HOME属主为

weblogic用户,对不必要的工具文件设置权限为700并改后缀名为.predeleted  

root 身份执行以下操作:

# chown –R "weblogicuser" $BEA_HOME

# find  $BEA_HOME/ -name *.sh |xargs `chmod 710`

#检查不必要工具文件,并将限制权限为 700

# tar cvf  beahome.`date '+%y%m%d'`.tar  $BEA_HOME

# find $WL_HOME/ -name config_builder.sh |xargs `chmod 700`

# find $WL_HOME/ -name startWLBuilder.sh |xargs ` chmod 700`

# find $WL_HOME/ -name jcommon-0.7.0.jar |xargs ` chmod 700`

# find $WL_HOME/ -name PointBase |xargs ` chmod 700`

# find $WL_HOME/ -name medrec |xargs ` chmod 700`

#检查不必要工具文件,并改名为.predeleted

#mv config_builder.sh   config_builder.sh.predeleted

#mv startWLBuilder.sh   startWLBuilder.sh.predeleted

#mv jcommon-0.7.0.jar   jcommon-0.7.0.jar.predeleted

#mv PointBase       PointBase.predeleted

#mv medrec medrec    .predeleted

检测方法

root 身份执行以下操作:

# ls –alR $BEA_HOME

# find  $BEA_HOME/ -name *.sh |xargs `ls –al`

 

#查找不必要的工具文件


# find $BEA_HOME/ -name config_builder.sh |xargs `ls –al`

# find $BEA_HOME/ -name startWLBuilder.sh |xargs `ls –al`

# find $BEA_HOME/ -name jcommon-0.7.0.jar |xargs `ls –al`

# find $WL_HOME/ -name PointBase |xargs `ls –al`

# find $WL_HOME/ -name medrec |xargs `ls –al`

  1. WebLogic 运行模式

编号:1

要求内容

更改运行模式为"Production Mode"

参考操作


 

以管理员身份登录管理控制台

  1. 点击域名,在右侧面板选中"Genaral"标签

  2. 勾选" Production Mode",更改运行模式为" Production Mode"  

检测方法

root身份执行:

  1. # find $BEA_HOME/ -name myserver.log | grep –i  

"Production Mode"

# find $BEA_HOME/ -name setEnv.sh | grep –i  "Production Mode"

  1. 以管理员身份登录管理控制台,点击域名,在右侧面板选

"Genaral"标签,查看是否勾选" Production Mode"

  1. Sender Server Header

编号:1

要求内容

禁用 Send Server header

参考操作


 

以管理员身份登录管理控制台

  1. 点击域名下的Servers文件夹,选择要管理的服务器

  2. 在右侧面板"Protocols"面板下,点击HTTP标签

  3. 去掉 Send Server header 项前面的勾,禁止 Send Server

header

检测方法

以管理员身份登录管理控制台

  1. 点击域名下的Servers文件夹,选择要管理的服务器

  2. 在右侧面板"Protocols"面板下,点击HTTP标签

  3. 检查是否勾选 Send Server header

  1. 删除 Sample 程序

编号:1

要求内容

删除 sample 程序

参 考操作


 

以管理员身份登录管理控制台

1.点击"Deployment"文件夹,查看是否有如下形式应用存在:

WebLogic 安全配置要求及操作指南

2# find $BEA_HOME/ -name sample | xargs `rm –rf`

检测方法

  1. root权限执行

# find $BEA_HOME/ -name sample –print

  1. 以管理员身份登录管理控制台

  1. 点击"Deployment"文件夹,查看是否有如下形式应用存在:

WebLogic 安全配置要求及操作指南

 

  1. 展开"Deployment"子文件夹,查看是否存在以上形式内容,其path中包含"samples"目录, 如下图

 

WebLogic 安全配置要求及操作指南

  1. 设定默认出错页面

编号:1

要求内容

重新在应用程序 web.xml 中定义默认出错页面

参考操作


 

编辑<Application HOME>/WEB-INF/web.xml ,加入 error-page

定义

检测方法

  1. 判断依据:

WebLogic 安全配置要求及操作指南

  1. 检查操作:

root身份执行:

# cat <Application HOME>/WEB-INF/web.xml

  1. session 超时时间

编号:1

要求内容

根据具体应用,合理设置 session 超时时间

参考操作


 

在应用程序的 web.xml 中定义 session 超时时间,例如,以下设置表示 session 超时时间为 15 分钟

 

<session-config>

<session-timeout>15</session-timeout>

</session-config>


 

检测方法

检查是否在应用程序的 web.xml 中定义了 session 超时时间

  1. 补丁

编号:1

要求内容

在不影响业务的情况下,升级到最新补丁,而且该补丁要通过实验测试

参考操作

安装最新安全相关补丁包,安全补丁下载需要 BEA 公司授权,

WebLogic 安全公告 URL

http://dev2dev.bea.com/advisoriesnotifications/  


 

检测方法

1. 以管理员身份登录管理控制台, 右键点击左侧面板ConWLe

标,选择"View Server & Browser Info",查看版本号

2.以 root 身份执行:

# cat $BEA_HOME/logs/log.txt  

  1. HTTP 加密协议

要求内容

对于通过 HTTP 协议进行远程维护的设备,设备应支持使用

HTTPS 等加密协议。

操作指南

1、参考配置操作以管理员身份登录管理控制台:

  1. 点击左面板域名文件夹,然后点击"servers"文件夹,点击要管理的服务器名

  2. 在右侧面板的"configuration"面板下的"Keystore &SSL"标签中,启用 ssl configure

检测方法

1、判定条件 2、检测操作

  1. 连接数设置

要求内容

根据机器性能和业务需求,设置最大最小连接数。

操作指南

1
参考配置操作

 

以管理员身份登录管理控制台  

  1. 点击左侧面板的域名文件夹,然后点击 Servers 文件夹,双击要管理的服务器  

  2. 在右侧面板的"Configuration"面板下选择"Tuning"标签  

  3. 设置"  Maximum Open Sockets"为 254 或其它用户设定值

    2
    补充操作说明

检测方法

1、判定条件 2、检测操作

检查当前的连接数


IT 敢客 , 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明原文链接:WebLogic 安全配置要求及操作指南
喜欢 (155)
[313176056@qq.com]
分享 (0)
IT敢客
关于作者:
“我所做的一切都是为了方便我的生活~~~“
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址
(1)个小伙伴在吐槽
  1. 能让人来访的乐此不疲,这里就是有那么大的魅力!
    三五营销软件2017-09-20 14:23 回复 Windows 7 | 搜狗浏览器 2.X