ITPub博客

首页 > 应用开发 > Java > weblogic安全基线标准

weblogic安全基线标准

原创 Java 作者:jaymarco 时间:2020-12-01 10:54:18 0 删除 编辑


一、安全基线要求

为了降低weblogic软件由于安全控制不足而引起的安全风险,因此需要制定一套weblogic安全基线以确保线上系统运行稳定。请参考以下安全事项来优化weblogic系统。

序号

检测项

检测内容

预期结果

1

用户权限

查看运行weblogic的用户权限

weblogic的用户权限最小化

2

帐户共用

应为不同的用户分配不同的Weblogic帐户,不允许多个用户共用同一个帐户

应为不同的用户分配不同的Weblogic帐户,不允许多个用户共用同一个帐户

3

帐户清理

应删除过期、无用帐户

登陆weblogic  web管理控制台:
  安全领域->配置->用户,查看是否有无用、过期、且未封锁的用户。

4

禁止特权身份运行

应禁止以特权用户身份运行WebLogic

Enable Post-Bind UID和" Enable Post-Bind GID "两个选项必须勾选并配置相关的UID和GID 。

5

口令长度

应设置Weblogic帐户口令长度至少为8位


6

帐户封锁

应配置当帐户连续认证失败次数超过 5次(不含 5 次),锁定该帐户30分钟

配置帐户连续认证失败次数超过 5次(不含 5 次),锁定该帐户10分钟

7

日志启用

应启用日志功能

1、审计类型设置为“Change   Log and Audit”
  2、“Rotation type”设置为“By Time”
  3、“Files to retain”设置为“180”
  4、“Severity level”设置为“Warning”

8

审计策略

应合理配置审计策略

【Weblogic 8】
  审计策略的审计级别(Severity)已经设为FAILURE,Configuration  Auditing 已经设为logAudit。
  【Weblogic 9&10】
  审计策略的审计级别(Severity)已经设为“FAILURE”,“Configuration Audit Type”已经设为“Change Log   and Audit”。

9

运行模式

应更改运行模式为“Production Mode”

WebLogic以Production Mode模式运行。

10

Send Server header

应禁用 Send Server header

在域名下的server文件夹,选择管理的服务器,在右侧版面protocols面板下,点击http标签,勾选Send Server header

11

删除 sample 程序

应删除 sample 程序

1、安装时勾选不安装Sample
  2、已安装的,删除安装目录下的 Sample 目录

12

自定义错误页面

应自定义错误页面

已自定义403、404、500错误页面。
  要求:重定向后的页面不能显示任何错误代码和错误路径信息

13

超时时间策略

600,或其他合理值

设置 session 超时时间数值不为0,且在合理范围内。

14

连接数设置

2000,或其他合理值

最大连接数和最大带宽的数值不为0,且在合理范围内。

二、基线整改

2.1 用户权限

查看运行weblogic 的用户权限,实现weblogic 用户权限最小化

、检查weblogic 的启动用户

使用ps -ef|grep java|grep weblogic可以查看启动weblogic的进程用户

从上图可以获知,weblogic进程是使用操作系统的超级管理员root用户启动。Root用户拥有超级权限,按照安全基线,需要对weblogic的启动用户进行整改,整改为操作系统普通用户启动(非root)weblogic实例。同时,从上图可以看出,weblogic的家目录为:/ycxk/app01/bea/wlserver_10.3/server

2 、用户权限整改

1)使用root用户对中间件WebLogic 目录进行重新授权,需要创建一个普通用户,以下以weblogic用户为示例:

# cd /ycxk/app01/

# chown -R weblogic:weblogic ./bea

3 、使用普通用户重启weblogic

使用普通用户启动weblogic实例,如下图所示:

2.2 账户共用

应为不同的用户分配不同的Weblogic 帐户,不允许多个用户共用同一个帐户

1 、检查weblogic 控制台的账户

从上述可以看出,weblogic 控制台只有两个用户,一个是Oracle application software system user ,一个是weblogic 控制台的超级管理员。所以,并没有为不同的用户分配不同的weblogic 账户,需整改。 检查方法,操作步骤:以管理员身份进入控制台->Security Realms->myrealm->User and  Groups;

2 、账户共用整改

1)操作步骤:以管理员身份进入控制台->Security Realms->myrealm->User and  Groups;

新建->输入“名称”->输入“说明”->输入“口令”并“确认口令”

选中新建的用户名->组->选择组->保存->

3 、测试登录weblogic 控制台新账户

输入weblogic控制台URL,键入新账户与密码进行登录,如下图所示:

2.3 账户清理

应删除过期、无用的weblogic 控制台帐户

1 、检查weblogic 控制台的账户

检查方法,操作步骤:以管理员身份进入控制台->Security Realms->myrealm->User and  Groups;

2 、帐户清理整改

1)操作步骤:以管理员身份进入控制台->Security Realms->myrealm->User and  Groups;

选中用户 OracleSystemUser ->删除->是

账户清理后

2.4  禁止特权身份运行

应禁止以特权用户身份运行WebLogic ”Enable Post-Bind UID” " Enable Post-Bind GID " 两个选项必须勾选并配置相关的UID GID

Weblogic 10.3.6.0 无法找到 Enable Post-Bind UID " Enable Post-Bind GID " 两个选项

2.5 口令长度

应设置Weblogic 帐户口令长度至少为8

1 、检查

检查方法,操作步骤:Security Realms->myrealm->providers->defaultauthenticator>Provider Specific,查看minimum password length参数值应8位以上

该值默认为 8 。符合要求

2 、口令长度整改

1)如果minimum password length的值不大于等于8,那么需要整改。

操作步骤:登录weblogic控制台->Security Realms->myrealm->providers->defaultauthenticator>Provider Specific->锁定并编辑->修改minimum password length参数值应8位以上

整改后:

2.6 帐户封锁

应配置帐户连续认证失败次数超过 5 次(不含 5 次),锁定该帐户10 分钟

1 、检查

检查方法,操作步骤:以管理员身份进入控制台->Security Realms->myrealm->Configuration->User Lockout查看Lockout Threshold(5) 失败尝试次数是否为5次;查看Lockout Duration(3) 帐号锁定时间是否为10分钟;

2 、整改

1)以管理员身份进入控制台->锁定并编辑->Security Realms->myrealm->Configuration->User Lockout整改Lockout Threshold(5) 失败尝试次数为5;

2)以管理员身份进入控制台锁定并编辑->->Security Realms->myrealm->Configuration->User Lockout整改Lockout Duration(3) 帐号锁定时间是否为10分钟;

整改后:

2.7 日志启用

应启用日志功能并调整以下配置,1 、审计类型设置为“Change Log and Audit ”;2 、“Rotation type ”设置为“By Time ”;3 、“Files to retain ”设置为“180 ”;4 、“Severity level ”设置为“Warning

1 、检查

1)检查审计类型是否设置为“ Change Log and Audit ”,操作步骤:登录weblogic控制台->域名->配置->一般信息>高级,查看配置审计类型参数值是否为“ Change Log and Audit

2) 检查“ Rotation type ”设置是否为“ By Time ”;“ Files to retain ”设置是否为“ 180 ”;“ Severity level ”设置是否为“ Warning ”,此时需要检查 DOMAINLOG SERVERLOG ACCESSLOG 三类日志。

检查DOMAINLOG的操作步骤为:登录weblogic控制台->域名->配置->日志记录>查看滚动类型是否为“按时间”,是否勾选“限制保留的文件数”,要保留的文件数的值是否为“180”

检查SERVERLOG的操作步骤为:登录weblogic控制台->环境->服务器->SERVERNAME->日志记录->一般信息,查看滚动类型是否为“按时间”,是否勾选“限制保留的文件数”,要保留的文件数的值是否为“180”

检查ACCESSLOG的操作步骤为:登录weblogic控制台->环境->服务器->SERVERNAME->日志记录->HTTP,查看滚动类型是否为“按时间”,是否勾选“限制保留的文件数”,要保留的文件数的值是否为“180”

2 、日志启用整改

1)整改审计类型设置为“ Change Log and Audit

操作步骤:登录weblogic控制台->域名->配置->一般信息>高级->锁定并编辑,整改配置审计类型参数值为“ Change Log and Audit ”->保存->激活更改

整改后:

2 )整改“ Rotation type ”设置为“ By Time ”;“ Files to retain ”设置为“ 180 ”;“ Severity level ”设置为“ Warning ”,此时需要检查 DOMAINLOG SERVERLOG ACCESSLOG 三类日志。

A.整改DOMAINLOG的操作步骤为:登录weblogic控制台->域名->配置->日志记录->锁定并编辑->整改滚动类型为“按时间”,勾选“限制保留的文件数”,要保留的文件数的值为“180”->保存->激活更改

整改后:

B.整改SERVERLOG的操作步骤为:登录weblogic控制台->环境->服务器->SERVERNAME->日志记录->一般信息->锁定并编辑,整改滚动类型为“按时间”,勾选“限制保留的文件数”,要保留的文件数的值为“180”->保存->激活更改

整改后:

2.8  发送服务器标头

1 、检查

检查方法,操作步骤:以管理员身份进入控制台->服务器->每个SERVERNAME->协议->HTTP->检查是否Send Server Header勾选;

从上图可以看出,默认是不勾选“发送服务器标头”,需整改

2 、整改

操作步骤:以管理员身份进入控制台->服务器->每个SERVERNAME->协议->HTTP->锁定并编辑->勾选Send Server Header(“发送服务器标头”)->保存->激活更改

整改后:

2.9 删除示例文件

应删除 sample 程序:1 、安装时勾选不安装Sample 2 、已安装的,删除安装目录下的 Sample 目录

1 、检查

检查方法,操作步骤:登录服务器,检查weblogic家目录下,是否存在Sample

从上图可以看出, weblogic11g 以及 12c 默认是不存在 sample 目录,无需整改

2 、整改

1)如果存在sample目录,那么需要整改。

操作步骤:登录服务器,对sample进行压缩备份在进行删除

例如:

$ cd /weblogic/bea/wlserver_92/

$ tar -cvf sample_bak.tar sample/

$ rm -fr sample/

2.10 自定义错误页面

应自定义403 404 500 错误页面,要求:重定向后的页面不能显示任何错误代码和错误路径信息

1 、检查

检查方法,操作步骤:

检查一个错误的weblogic控制台路径,例如:

检查是否返回404、405、500等信息


WebLogic 10.3.6.0 之后, weblogic 无需自定义错误页面。

2.11 连接数设置

应设置 session 超时时间数值不为0 ,且在合理范围内

1 、检查

检查方法,操作步骤:

进入控制台->Servers->对于server->Tunning查看stuck Thread超时时间;建议设置值为10分钟,即600s,若线程处理时间需要大于600s,可特殊注明。 WebLogic 默认的stuck Thread 超时时间为600 秒,无需整改。

2 、整改

1)以管理员进入控制台->服务器->每个SERVERNAME->配置->优化->锁定并编辑->修改stuck Thread超时时间为600->保存->激活更改

整改后:


2.12 超时时间策略

应设置Maximum Open Sockets数值不为0 ,且在合理范围内

1 、检查

检查方法,操作步骤:

以管理员身份进入控制台->Servers->Configuration->Tuning核查Maximum Open Sockets是否为2000。若业务处理需要大于2000,可特殊注明。

WebLogic 默认的Maximum Open Sockets为 -1 ,需整改。

2 、整改

以管理员身份进入控制台->Servers->Configuration->Tuning->锁定并编辑-修改>Maximum Open Sockets为2000->保存->激活更改(需要把weblogic节点关闭才可以激活更改)

整改后:




来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/28833846/viewspace-2738395/,如需转载,请注明出处,否则将追究法律责任。

请登录后发表评论 登录
全部评论
负责数据库、中间件、大数据等基础软件建设、优化和业务保障工作。具有10年的电信与银行企业一线/二线运维管理经验。目前专注研究云计算、中间件和数据库等领域技术研究。持有Oracle OCP、weblogic OCP、Docker容器、PGCE和阿里云ACP等认证

注册时间:2020-06-22

  • 博文量
    76
  • 访问量
    38928