中间件安全加固之Weblogic

Posted i春秋

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了中间件安全加固之Weblogic相关的知识,希望对你有一定的参考价值。

i春秋社区

1.身份鉴别

1.1配置密码并保证复杂度

说明: 口令长度至少8位,并包括数字、小写字母、大写字母和特殊符号四类中至少两类。

方法一:8.x 10.x

查看以管理员身份登录控制台,点击Security Realms > myrealm > Providers > DefaultAuthenticator > Provider Specific

配置Minimum Password Length  8

方法二:10.x

查看WebLogic安装目录下的

/weblogic/Oracle/Middleware/user_projects/domains/base_domain/config/config.xml配置文件。

查看并修改配置参数:

<pas:min-password-length>8</pas:min-password-length>

<pas:min-numeric-or-special-characters>2</pas:min-numeric-or-special-characters>


1.2配置帐号锁定

说明:要求设定帐号锁定次数和时间,错误输入密码10次,系统自动锁定,锁定时间3分钟。

方法:版本:8.x 10.x版本

1、参考配置操作

查看以管理员身份登录控制台

2、点击左侧面板”Security”文件夹,展开”REALM”

3、点击右侧面板中的”User Lock”标签,配置下面的参数:

Lockout Enabled,Lockout Threshold,Lockout Duration

配置的参数可参考如下设置:

Lockout Enabled=true;

Lockout Threshold=10;

Lockout Duration=5

中间件安全加固之Weblogic

2 .访问控制

2.1设置受限帐号启动服务

说明:要求限制帐号。

方法:8.x 10.x版本

1、参考配置操作

查看以管理员身份登录控制台

执行“ps –ef | grep –i weblogic”(没有引号)

回显信息不包含root和nobody。


2.2禁止目录浏览

说明:禁止WebLogic列表显示文件

方法: 8.x 10.x版本

查看WebLogic安装目录下的weblogic.xml配置文件,

添加或修改此参数内容为false

<weblogic-web-app>

<container-descriptor>

<index-directory-enabled>false</index-directory-enabled>

</container-descriptor>

<context-root>/</context-root>

</weblogic-web-app>


2.3安全审计

方法:8.x 10.x版本

使用管理员账号登录控制台

点击左侧Environment > Servers > 选择实例 > Logging 配置相应日志记录


3 .资源控制

3.1设置登录超时

说明:应支持账户登录超时锁定功能。超时后用户需再次输入密码登录才能进入系统

方法:8.x 10.x版本

查看WebLogic安装目录下的weblogic.xml配置文件,

修改如下参数数据设置登录超时

中间件安全加固之Weblogic

3.2限制应用服务器Socket连接数

说明:Sockets最大打开数目设置不当的话,容易受到拒绝服务攻击,超出操作系统文件描述符限制

方法:8.x 10.x版本

以管理员身份登录管理控制台

1. 点击左侧面板的域名文件夹,然后点击Environment > Servers文件夹,双击要管理的服务器

2. 在右侧面板的“Configuration”面板下选择“Tuning”标签,查看Maximum Open Sockets值,应该配置为不大于1024


4.其它安全项

4.1配置错误页面处理

说明:WebLogic错误页面重定向

方法: 8.x 10.x版本

查看<Application HOME>/WEB-INF/web.xml:文件,检查其是否包含如下片段:

中间件安全加固之Weblogic

如果没有则在配置文件中间部分添加此配置信息。


4.2禁用Send Server Header

说明:Sockets最大打开数目设置不当的话,容易受到拒绝服务攻击,超出操作系统文件描述符限制

方法:8.x 10.x

以管理员身份登录管理控制台

1. 点击域名下的Environment > Servers文件夹,选择要管理的服务器

2. 在右侧面板“Protocols”面板下,点击HTTP标签

3. 检查是否勾选Send Server header


4.3更改默认运行端口

说明:更改WebLogic服务器默认端口

方法:8.x 10.x

查看以管理员身份登录控制台

1. 点击左侧面板” Environment”文件夹,展开选择” Servers”

2. 右侧面板中的” Configuration- General”标签,配置下面的参数:

可更改配置端口:

中间件安全加固之Weblogic

4.4配置加密协议

说明:对于通过HTTP协议进行远程维护的设备,设备应支持使用HTTPS等加密协议。

方法:.x 10.x版本

查看以管理员身份登录控制台

点击Environment > Servers > 选择服务器实例 > Configuration > General

勾选SSL Listen Port Enabled选项,并配置端口(注意端口号不能与其他端口冲突)

中间件安全加固之Weblogic

编辑:海州

责任编辑:小南瓜

校对:小林龙马、山雾草野


戳阅读原文,跟作者进行深度交流吧~

以上是关于中间件安全加固之Weblogic的主要内容,如果未能解决你的问题,请参考以下文章

系统加固之Linux安全加固

中间件安全Nginx 安全加固规范

最实用的Windows安全加固手册

Tomcat7中间件安全加固措施

安全服务之安全基线及加固Apache篇

Linux安全加固之Apache