Weblogic Web 服务器的安全设置
Weblogic 简单介绍
WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。
Weblogic 安全设置
1、更改weblogic后台用户名密码策略
要求:不使用默认用户密码、弱密码。密码长度最小8位以上,并符合密码复杂要求(密码组成至少存在数字、大小写字母和特殊字符)。
实际操作:
主页 >安全领域概要 >myrealm >用户和组 >myrealm >提供程序 >SystemPasswordValidator>提供程序特定
2、账号锁定策略
要求:密码重试次数5次,锁定时间30分钟(默认配置)
实际操作:
主页 >安全领域概要 >myrealm >配置>用户封锁
3、日志审计配置
要求:开启访问日志,按时间滚动,并保留60天
实际操作:
环境> 服务器 > Adminservers > 日志记录
4、Weblogic header 设置
禁用 Send server header (默认禁用)
实际操作:
环境> 服务器 > Adminservers > 协议 > http > 检查是否开启发送服务器标头
禁用 X-Powered-By Hearder
实际操作:
Base_domain> web应用程序 > 修改X-Powered-By Header为“将不发送X-Powered-By Header ”
5、限制应用服务器Socket 数量
实际操作:
环境>服务器>Adminservers>配置>优化 修改“最大打开套接字数”,使其不为默认的“-1”
6、修改默认路径和端口
实际操作:
环境>服务器>Adminservers>配置>一般信息