中间件安全加固之Weblogic

Posted 2021-04-10 i春秋

i春秋社区

1.身份鉴别

1.1配置密码并保证复杂度

说明: 口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号四类中至少两类。

方法一：8.x 10.x

查看以管理员身份登录控制台，点击Security Realms > myrealm > Providers > DefaultAuthenticator > Provider Specific

配置Minimum Password Length  8

方法二：10.x

查看WebLogic安装目录下的

/weblogic/Oracle/Middleware/user_projects/domains/base_domain/config/config.xml配置文件。

查看并修改配置参数：

<pas:min-password-length>8</pas:min-password-length>

<pas:min-numeric-or-special-characters>2</pas:min-numeric-or-special-characters>

1.2配置帐号锁定

说明:要求设定帐号锁定次数和时间，错误输入密码10次，系统自动锁定，锁定时间3分钟。

方法:版本：8.x 10.x版本

1、参考配置操作

查看以管理员身份登录控制台

2、点击左侧面板”Security”文件夹，展开”REALM”

3、点击右侧面板中的”User Lock”标签，配置下面的参数：

Lockout Enabled，Lockout Threshold，Lockout Duration

配置的参数可参考如下设置：

Lockout Enabled=true;

Lockout Threshold=10;

Lockout Duration=5

2 .访问控制

2.1设置受限帐号启动服务

说明:要求限制帐号。

方法:8.x 10.x版本

1、参考配置操作

查看以管理员身份登录控制台

执行“ps –ef | grep –i weblogic”（没有引号）

回显信息不包含root和nobody。

2.2禁止目录浏览

说明:禁止WebLogic列表显示文件

方法: 8.x 10.x版本

查看WebLogic安装目录下的weblogic.xml配置文件，

添加或修改此参数内容为false

<weblogic-web-app>

<container-descriptor>

<index-directory-enabled>false</index-directory-enabled>

</container-descriptor>

<context-root>/</context-root>

</weblogic-web-app>

2.3安全审计

方法:8.x 10.x版本

使用管理员账号登录控制台

点击左侧Environment > Servers > 选择实例 > Logging 配置相应日志记录

3 .资源控制

3.1设置登录超时

说明：应支持账户登录超时锁定功能。超时后用户需再次输入密码登录才能进入系统

方法：8.x 10.x版本

查看WebLogic安装目录下的weblogic.xml配置文件，

修改如下参数数据设置登录超时

3.2限制应用服务器Socket连接数

说明:Sockets最大打开数目设置不当的话，容易受到拒绝服务攻击，超出操作系统文件描述符限制

方法:8.x 10.x版本

以管理员身份登录管理控制台

1. 点击左侧面板的域名文件夹，然后点击Environment > Servers文件夹，双击要管理的服务器

2. 在右侧面板的“Configuration”面板下选择“Tuning”标签，查看Maximum Open Sockets值，应该配置为不大于1024

4.其它安全项

4.1配置错误页面处理

说明：WebLogic错误页面重定向

方法: 8.x 10.x版本

查看<Application HOME>/WEB-INF/web.xml:文件，检查其是否包含如下片段：

如果没有则在配置文件中间部分添加此配置信息。

4.2禁用Send Server Header

说明：Sockets最大打开数目设置不当的话，容易受到拒绝服务攻击，超出操作系统文件描述符限制

方法：8.x 10.x

以管理员身份登录管理控制台

1. 点击域名下的Environment > Servers文件夹，选择要管理的服务器

2. 在右侧面板“Protocols”面板下，点击HTTP标签

3. 检查是否勾选Send Server header

4.3更改默认运行端口

说明:更改WebLogic服务器默认端口

方法:8.x 10.x

查看以管理员身份登录控制台

1. 点击左侧面板” Environment”文件夹，展开选择” Servers”

2. 右侧面板中的” Configuration- General”标签，配置下面的参数：

可更改配置端口：

4.4配置加密协议

说明:对于通过HTTP协议进行远程维护的设备，设备应支持使用HTTPS等加密协议。

方法:.x 10.x版本

查看以管理员身份登录控制台

点击Environment > Servers > 选择服务器实例 > Configuration > General

勾选SSL Listen Port Enabled选项，并配置端口（注意端口号不能与其他端口冲突）

编辑：海州

责任编辑：小南瓜

校对：小林龙马、山雾草野

戳阅读原文，跟作者进行深度交流吧~