中间件安全加固之Weblogic
Posted i春秋
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了中间件安全加固之Weblogic相关的知识,希望对你有一定的参考价值。
i春秋社区
1.身份鉴别
1.1配置密码并保证复杂度
说明: 口令长度至少8位,并包括数字、小写字母、大写字母和特殊符号四类中至少两类。
方法一:8.x 10.x
查看以管理员身份登录控制台,点击Security Realms > myrealm > Providers > DefaultAuthenticator > Provider Specific
配置Minimum Password Length 8
方法二:10.x
查看WebLogic安装目录下的
/weblogic/Oracle/Middleware/user_projects/domains/base_domain/config/config.xml配置文件。
查看并修改配置参数:
<pas:min-password-length>8</pas:min-password-length>
<pas:min-numeric-or-special-characters>2</pas:min-numeric-or-special-characters>
1.2配置帐号锁定
说明:要求设定帐号锁定次数和时间,错误输入密码10次,系统自动锁定,锁定时间3分钟。
方法:版本:8.x 10.x版本
1、参考配置操作
查看以管理员身份登录控制台
2、点击左侧面板”Security”文件夹,展开”REALM”
3、点击右侧面板中的”User Lock”标签,配置下面的参数:
Lockout Enabled,Lockout Threshold,Lockout Duration
配置的参数可参考如下设置:
Lockout Enabled=true;
Lockout Threshold=10;
Lockout Duration=5
2 .访问控制
2.1设置受限帐号启动服务
说明:要求限制帐号。
方法:8.x 10.x版本
1、参考配置操作
查看以管理员身份登录控制台
执行“ps –ef | grep –i weblogic”(没有引号)
回显信息不包含root和nobody。
2.2禁止目录浏览
说明:禁止WebLogic列表显示文件
方法: 8.x 10.x版本
查看WebLogic安装目录下的weblogic.xml配置文件,
添加或修改此参数内容为false
<weblogic-web-app>
<container-descriptor>
<index-directory-enabled>false</index-directory-enabled>
</container-descriptor>
<context-root>/</context-root>
</weblogic-web-app>
2.3安全审计
方法:8.x 10.x版本
使用管理员账号登录控制台
点击左侧Environment > Servers > 选择实例 > Logging 配置相应日志记录
3 .资源控制
3.1设置登录超时
说明:应支持账户登录超时锁定功能。超时后用户需再次输入密码登录才能进入系统
方法:8.x 10.x版本
查看WebLogic安装目录下的weblogic.xml配置文件,
修改如下参数数据设置登录超时
3.2限制应用服务器Socket连接数
说明:Sockets最大打开数目设置不当的话,容易受到拒绝服务攻击,超出操作系统文件描述符限制
方法:8.x 10.x版本
以管理员身份登录管理控制台
1. 点击左侧面板的域名文件夹,然后点击Environment > Servers文件夹,双击要管理的服务器
2. 在右侧面板的“Configuration”面板下选择“Tuning”标签,查看Maximum Open Sockets值,应该配置为不大于1024
4.其它安全项
4.1配置错误页面处理
说明:WebLogic错误页面重定向
方法: 8.x 10.x版本
查看<Application HOME>/WEB-INF/web.xml:文件,检查其是否包含如下片段:
如果没有则在配置文件中间部分添加此配置信息。
4.2禁用Send Server Header
说明:Sockets最大打开数目设置不当的话,容易受到拒绝服务攻击,超出操作系统文件描述符限制
方法:8.x 10.x
以管理员身份登录管理控制台
1. 点击域名下的Environment > Servers文件夹,选择要管理的服务器
2. 在右侧面板“Protocols”面板下,点击HTTP标签
3. 检查是否勾选Send Server header
4.3更改默认运行端口
说明:更改WebLogic服务器默认端口
方法:8.x 10.x
查看以管理员身份登录控制台
1. 点击左侧面板” Environment”文件夹,展开选择” Servers”
2. 右侧面板中的” Configuration- General”标签,配置下面的参数:
可更改配置端口:
4.4配置加密协议
说明:对于通过HTTP协议进行远程维护的设备,设备应支持使用HTTPS等加密协议。
方法:.x 10.x版本
查看以管理员身份登录控制台
点击Environment > Servers > 选择服务器实例 > Configuration > General
勾选SSL Listen Port Enabled选项,并配置端口(注意端口号不能与其他端口冲突)
编辑:海州
责任编辑:小南瓜
校对:小林龙马、山雾草野
戳阅读原文,跟作者进行深度交流吧~
以上是关于中间件安全加固之Weblogic的主要内容,如果未能解决你的问题,请参考以下文章