账号
系统启动账号
限制weblogic的启动账号
检查方法:
ps -ef|grep -i weblogic
要求执行账号不可以是root和nobody,否则不符合安全要求
账户锁定策略
要求账号在连续登录失败指定次数后,对账号进行锁定
配置方法:
以管理员身份登录控制台
点击左侧导航栏的“安全领域(Security Realms)”
选择右侧的myrealm
进入后,选择顶部导航栏的“用户封锁(User Lockout)”
根据业务需要设置相应的阈值即可
口令
密码复杂度
对于采用静态口令的系统或设备应采用较强的密码
配置方法:
在Weblogic的安装目录下,将weblogic.properties文件,将weblogic.system.minPasswordLen的值修改为希望的密码最小长度
日志
登录审核
设备应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的帐号,登录是否成功,登录时间,以及远程登录时,用户使用的IP地址
配置方法:
在WebLogic安装目录下的weblogic.properties配置文件,开启日志,配置按日期rotate
weblogic.system.enableReverseDNSLookups=true
IP协议
配置Weblogic支持加密协议
对于通过HTTP协议进行远程维护的设备,设备应支持使用HTTPS等加密协议
配置方法:
在WebLogic安装目录下的weblogic.properties配置文件中进行如下配置
weblogic.system.SSLListenPort=portNumber
weblogic.security.certificate.server=mycert.der
weblogic.security.key.server=mykey.der
weblogic.security.certificate.authority=CA.der
weblogic.security.certificateCacheSize=5
weblogic.security.clientRootCA=anyValidCertificate
weblogic.httpd.register.authenticated=\weblogic.t3.srvr.ClientAuthenticationServlet
weblogic.httpd.register.T3AdminCaptureRootCA=admin.T3AdminCaptureRootCA
SSL Enabled="true"
限制应用服务器Socket数量
为了防止DOS/DDOS攻击,应设置最大Socket连接数量
配置方法:
点击左侧面板的域名文件夹,然后点击Servers文件夹,双击要管理的服务器
在右侧面板的“Configuration”面板下选择“Tuning”标签,查看Maximum Open Sockets值
要求Maximum Open Sockets不大于1024
禁用Send Server Header
配置方法:
以管理员身份登录管理控制台
点击域名下的Servers文件夹,选择要管理的服务器
在右侧面板“Protocols”面板下,点击HTTP标签
检查是否勾选Send Server header
其他安全配置
更改默认端口
更改Weblogic默认端口
配置方法:
在WebLogic安装目录下的weblogic.properties配置文件中进行如下配置
weblogic.system.listenPort=integer
错误页面处理
WebLogic错误页面重定向
配置方法:
查看<Application HOME>/WEB-INF/web.xml:进行如下配置:
目录访问列表限制
防止发生目录遍历
配置方法:
在WebLogic安装目录下的weblogic.properties配置文件中进行如下配置
weblogic.httpd.indexDirectories=false
书单推荐
加入我的星球
下方查看历史文章
扫描二维码
获取更多精彩
NowSec