WebLogic安全配置要求及操作指南-创新互联
范围
适用于使用的 Weblogic 服务器。本规范提出了 Weblogic 服务器安全配置
要求,适用于所有的安全等级,可作为编制设备入网测试、安全验收、安全检查规范等
文档的参考。
由于版本不同,配置操作有所不同,本规范以 unix 平台上 Weblogic9.x 为例,给出
参考配置操作。
2 规范性引用文件
GB/T22239-2008《信息安全技术 信息系统安全等级保护基本要求》
YD/T 1736-2008《互联网安全防护要求》
YD/T 1738-2008《增值业务网—消息网安全防护要求》
YD/T 1740-2008《增值业务网—智能网安全防护要求》
YD/T 1758-2008《非核心生产单元安全防护要求》
YD/T 1752-2008《支撑网安全防护要求》
3 缩略语
SSL Secure Sockets Layer 安全套接层
HTTP HyperText Transfer Protocol 超文本传输协议
4 安全配置要求
4.1 账号
编号:1
要求内容 为不同的管理用户分配不同的角色
参考操作
以管理员身份登录控制台
- 点击左侧面板”Security”文件夹,展开”REALM”
- 点击 ”Users” 文件夹,修改非特权用户为角色
Administrators、Deployers、Monitors、Operators 之一
2 检测方法
1、判定条件
2、检测操作
以管理员身份登录控制台
- 点击左侧面板”Security”文件夹,展开”REALM”
- 点击”Users”文件夹,查看用户所属组及组、全局角色配置
编号:2
要求内容 应删除与设备运行、维护等工作无关的账号
参考操作
以管理员身份登录控制台
- 点击左侧面板”Security”文件夹,展开”REALM”
- 点击”Users”文件夹,删除与设备运行、维护等工作无关的
账号
检测方法 1、判定条件
没有与设备运行、维护等工作无关的账号
编号:3
要求内容 禁止以特权用户身份运行 WebLogic
操作指南 1、参考配置操作
以WebLogic管理员身份登录管理控制台,执行:
- 在左面板,点击”Machine”文件夹
- 在右面板,选择“Configure a New Unix Machine link”
- 输入 unix 机器名,勾选” Enable Post-bind UID field”并输入用户名,
该用户名必须对 BEA_HOME 及子目录有完全控制权限,输入对应组(用
户名和组名须事先在 OS中单独创建),点击”Apply”按钮. 注意:不要使用
默认的 nobody用户。
- 选择”Servers”标签. 从”Available list” 移动 每个想要的服务器实例到
“Chosen list”. 然后击”Apply”按钮
检测方法 1、判定条件
以特权用户身份启动应用服务器, 绑定端口之后改变 UID和 GID到非特
权用户和组
2、检测操作
以root身份执行:
ps –ef| grep –i weblogic
以WebLogic管理员身份登录管理控制台,执行:
- 在左面板,点击”Machine”文件夹
- 在右面板,查看是否配置”Unix Machine link”
编号 4:
要求内容 开启主机名认证,设置 Hostname Verification 值为”Bea Hostname
Verifier”
参考操作
设置Hostname Verification值为”Bea Hostname Verifier”
以管理员身份登录管理控制台:
- 点击左面板域名文件夹,然后点击“servers”文件夹,点击要管理的
4
服务器名
- 在右侧面板的”configuration”面板下的”Keystore &SSL”标签中, 点击
Advanced option中 “Show”项,查看Client attribute下的Hostname
Verification值,设置为”Bea Hostname Verifier”
检测方法 1、判定条件
2、检测操作
以管理员身份登录管理控制台: - 点击左面板域名文件夹,然后点击“servers”文件夹,点击要管理的
服务器名 - 在右侧面板的”configuration”面板下的”Keystore &SSL”标签中, 点击
Advanced option中 “Show”项,查看Client attribute下的Hostname
Verification值
4.2 口令
编号:1
要求内容 对于采用静态口令认证技术的设备,口令长度至少 8 位,并包括数
字、小写字母、大写字母和特殊符号 4 类中至少 3 类
操作指南 以管理员身份登录控制台
- 点击左侧面板”Security”文件夹,展开”REALM”
- 点击”Users”文件夹,设置口令长度至少 8 位,并包括数字、小写字
母、大写字母和特殊符号 4 类中至少 3 类
检查 WebLogic 安装目录下的 weblogic.properties 配置文件中参数
weblogic.system.minPasswordLen=8
检测方法 1、判定条件
2、检测操作
编号:2
要求内容 对于采用静态口令认证技术的设备, 应配置当用户连续认证失败次数超
过6次(不含6次) ,锁定该用户使用的账号
操作指南 1、参考配置操作
设定帐号锁定次数和时间
以管理员身份登录控制台
- 点击左侧面板”Security”文件夹,展开”REALM”
- 点击右侧面板中的”User Lock”标签,设定 Lockout Enabled,Lockout
5
Threshold 值为 5,Lockout Duration 为30(分钟)
检测方法 1、判定条件
2、检测操作
以管理员身份登录控制台
- 点击左侧面板”Security”文件夹,展开”REALM”
- 点击右侧面板中的”User Lock”标签,查看锁定阈值,锁定持续时间,
锁定重置持续时间
4.3 日志
编号 1:
要求内
容
开启日志功能
参考操
作
以管理员身份登录管理控制台
- 点击域名,在右侧面板选择“Configuration”标签
- 选择logging标签,设置域级日志,勾选如下图红色标记部分
6
- 点击域名下 servers 下的服务器名,在右侧面板选择“Logging”标签,选择
Domain,勾选”Log to Domain Log file” 同上,点击 Server标签,配置服务器级日志,勾选”Log to stdout”等,如
下红色标记项
7- 同上,点击“HTTP”标签,按如下红色标记部分进行配置
8
检测方法 1、判定条件
开启日志功能
编号 2:
要求内
容
配置日志审计
参考
操作
以管理员身份登录控制台
- 点击左侧面板Security文件夹,展开provider,然后点击Auditing文件夹
查看是否配置Auditor,如无则选择”Configure a new Default Auditor”并设置
审计级另为FAILURE.- 点击左侧面板中域名下的服务器,在右侧面板“General”标签中设置
Configuration Auditing为logAudit
检测方
法
1、判定条件
配置了审计,设置审计级另为 FAILURE,Configuration Auditing 为
logAudit
2、检测操作
以管理员身份登录控制台
- 点击左侧面板 Security文件夹,展开 provider,然后点击 Auditing文件夹
查看是否配置 Auditor,对照如下图的红色标记部分配置
9
- 点击左侧面板中域名下的服务器,对照如下图的红色标记部分配置
4.4 Keystore 和SSL设置
编号 1:
要求内容 合理设置 WebLogic Keystore 和 SSL
操作指南 创建用户自已的私有密钥和数字证书
以管理员身份登录管理控制台: - 点击左面板域名文件夹,然后点击“servers”文件夹,点击要管理的
服务器名 - 在右侧面板的”configuration”面板下的”Keystore &SSL”标签中,点
击Keystore configuration中 “Change”项,改变默认私有密钥设置 - 同上点击SSL configuration中 “Change”项,改变默认私有密钥设置
- 同上点击”Advanced option”中”Show”项,勾选” SSLRejection
Logging Enabled”
检测方法 以管理员身份登录管理控制台: - 点击左面板域名文件夹,然后点击“servers”文件夹,点击要管理的
服务器名
10
- 在右侧面板的”configuration”面板下的”Keystore &SSL”标签中查看
如下图相应红色标记部分和蓝色标记部分
4.5 Sockets大打开数量
编号 1:
要求内容 合理设置应用服务器 Sockets 大打开数量
操作指南 1、 参考配置操作:
11
以管理员身份登录管理控制台
- 点击左侧面板的域名文件夹,然后点击Servers文件夹,双
击要管理的服务器 - 在右侧面板的“Configuration”面板下选择“Tuning”标签
- 设置” Maximum Open Sockets”为254 或其它用户设定值
备注:此项操作需开发人员在测试机修改后测试,应用正常然后
再在生产机器上修改
检测方法 以管理员身份登录管理控制台 - 点击左侧面板的域名文件夹,然后点击Servers文件夹,双击
要管理的服务器 - 在右侧面板的“Configuration”面板下选择“Tuning”标签,查看
Maximum Open Sockets 值
4.6 文件和目录权限
编号:1
要求内容 合理设置文件与目录权限,没有不必要的权限,也不存在不必要
的文件
参考操作
对启动和环境脚本限制权限为710,确认BEA_HOME属主为
weblogic用户,对不必要的工具文件设置权限为700并改后缀名
为.predeleted
以root 身份执行以下操作:
chown –R “weblogicuser” $BEA_HOME
find $BEA_HOME/ -name *.sh |xargs chmod 710
#检查不必要工具文件,并将限制权限为 700
tar cvf beahome.date '+%y%m%d'
.tar $BEA_HOME
find $WL_HOME/ -name config_builder.sh |xargs chmod 700
find $WL_HOME/ -name startWLBuilder.sh |xargs chmod 700
find $WL_HOME/ -name jcommon-0.7.0.jar |xargs chmod 700
find $WL_HOME/ -name PointBase |xargs chmod 700
find $WL_HOME/ -name medrec |xargs chmod 700
#检查不必要工具文件,并改名为.predeleted
#mv config_builder.sh config_builder.sh.predeleted
#mv startWLBuilder.sh startWLBuilder.sh.predeleted
#mv jcommon-0.7.0.jar jcommon-0.7.0.jar.predeleted
#mv PointBase PointBase.predeleted
#mv medrec medrec .predeleted
检测方法
以root 身份执行以下操作:
ls –alR $BEA_HOME
find $BEA_HOME/ -name *.sh |xargs ls –al
12
#查找不必要的工具文件
find $BEA_HOME/ -name config_builder.sh |xargs ls –al
find $BEA_HOME/ -name startWLBuilder.sh |xargs ls –al
find $BEA_HOME/ -name jcommon-0.7.0.jar |xargs ls –al
find $WL_HOME/ -name PointBase |xargs ls –al
find $WL_HOME/ -name medrec |xargs ls –al
4.7 WebLogic运行模式
编号:1
要求内容 更改运行模式为”Production Mode”
参考操作
以管理员身份登录管理控制台
- 点击域名,在右侧面板选中”Genaral”标签
- 勾选” Production Mode”,更改运行模式为” Production
Mode”
检测方法
以root身份执行: -
find $BEA_HOME/ -name myserver.log | grep –i
“Production Mode”
find $BEA_HOME/ -name setEnv.sh | grep –i “Production
Mode”
- 以管理员身份登录管理控制台,点击域名,在右侧面板选
中”Genaral”标签,查看是否勾选” Production Mode”
4.8 Sender Server Header
编号:1
要求内容 禁用 Send Server header
参考操作
以管理员身份登录管理控制台
- 点击域名下的Servers文件夹,选择要管理的服务器
- 在右侧面板“Protocols”面板下,点击HTTP标签
- 去掉 Send Server header 项前面的勾,禁止 Send Server
header
检测方法
以管理员身份登录管理控制台 - 点击域名下的Servers文件夹,选择要管理的服务器
- 在右侧面板“Protocols”面板下,点击HTTP标签
- 检查是否勾选 Send Server header
4.9 删除Sample程序
13
编号:1
要求
内容
删除sample程序
参考
操作
以管理员身份登录管理控制台
1.点击”Deployment”文件夹,查看是否有如下形式应用存在:
2.# find $BEA_HOME/ -name sample | xargs rm –rf
检测
方法
- 以root权限执行
find $BEA_HOME/ -name sample –print
以管理员身份登录管理控制台
a) 点击”Deployment”文件夹,查看是否有如下形式应用存在:b) 展开”Deployment”子文件夹,查看是否存在以上形式内容,其path中包
含“samples“目录, 如下图
14
4.10 设定默认出错页面
编号:1
要求内容 重新在应用程序 web.xml 中定义默认出错页面
参考操作
编辑
定义
检测方法
1、判断依据:
2、检查操作:
以root身份执行:
cat /WEB-INF/web.xml
4.11 session超时时间
编号:1
要求内容 根据具体应用,合理设置 session 超时时间
参考操作
在应用程序的 web.xml 中定义 session超时时间,例如,以下设
置表示 session超时时间为 15分钟
15
检测方法 检查是否在应用程序的 web.xml 中定义了 session 超时时间
4.12 补丁
编号:1
要求内容 在不影响业务的情况下,升级到最新补丁,而且该补丁要通过实
验测试
参考操作
安装最新安全相关补丁包,安全补丁下载需要 BEA 公司授权,
WebLogic 安全公告 URL:
http://dev2dev.bea.com/advisoriesnotifications/
检测方法
- 以管理员身份登录管理控制台, 右键点击左侧面板ConWLe图
标,选择“View Server & Browser Info”,查看版本号
2.以 root 身份执行:cat $BEA_HOME/logs/log.txt
4.13 HTTP加密协议
要求内容 对于通过 HTTP 协议进行远程维护的设备,设备应支持使用
HTTPS等加密协议。
操作指南 1、参考配置操作
以管理员身份登录管理控制台:
- 点击左面板域名文件夹,然后点击“servers”文件夹,点击要管
理的服务器名 - 在右侧面板的”configuration”面板下的”Keystore &SSL”标签
中,启用 ssl configure
检测方法 1、判定条件
2、检测操作
4.14 连接数设置
要求内容 根据机器性能和业务需求,设置大最小连接数。
操作指南 1、 参考配置操作
16
以管理员身份登录管理控制台
- 点击左侧面板的域名文件夹,然后点击Servers文件夹,双击要管理
的服务器 - 在右侧面板的“Configuration”面板下选择“Tuning”标签
- 设置” Maximum Open Sockets”为254 或其它用户设定值
2、 补充操作说明
检测方法 1、判定条件
2、检测操作
检查当前的连接数
另外有需要云服务器可以了解下创新互联scvps.cn,海内外云服务器15元起步,三天无理由+7*72小时售后在线,公司持有idc许可证,提供“云服务器、裸金属服务器、高防服务器、香港服务器、美国服务器、虚拟主机、免备案服务器”等云主机租用服务以及企业上云的综合解决方案,具有“安全稳定、简单易用、服务可用性高、性价比高”等特点与优势,专为企业上云打造定制,能够满足用户丰富、多元化的应用场景需求。
网站栏目:WebLogic安全配置要求及操作指南-创新互联
文章链接:http://scyanting.com/article/cogphd.html