WebLogic是用来构建网站的必要软件,具有解析、发布网页等功能,它是用纯java开发的。WebLogic是基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。
1.配置账号管理与权限
1.1设置账号密码复杂度
|
配置项名称 |
设置WebLogic密码复杂度,要求口令符合一定复杂度规范 |
|
检查方法 |
1、参考配置操作 询问管理员管理账户口令设置情况 2、补充操作说明 口令要求:长度至少8位,满足复杂度要求,密码生存周期为90天 |
|
操作步骤 |
登录管理控制台,依次打开主页——用户和组——myrealm——领域角色——用户和组——安全领域概要——myrealm——用户和组——身份证明映射——提供程序——SystemPasswordValidator。 修改默认口令和弱口令为满足复杂度要求的口令 |
|
回退操作 |
回退到原有的配置设置 |
|
操作风险 |
低风险 |
1.2WebLogic启动账号
|
配置项名称 |
设置WebLogic启动账号,不能以nobody方式启动 |
|
检查方法 |
以管理员身份登录控制台 1.执行# ps –ef| grep –i weblogic 2.ps -ef|grep java 查看Server名称和java进程id |
|
操作步骤 |
执行账号不可以是root和nobody |
|
回退操作 |
无 |
|
操作风险 |
低风险 |
1.3检查是否设置账号锁定时间
|
配置项名称 |
要求设定账号锁定次数和时间,错误输入密码10次,系统自动锁定,锁定时间5分钟 |
|
检查方法 |
控制台中选择 安全领域-> myrealm->配置 ->用户封锁,检查“封锁持续时间”是否为大于等于300的值。 |
|
操作步骤 |
修改lockout-duration大于等于5分钟 |
|
回退操作 |
还原修改的配置文件 |
|
操作风险 |
低风险 |
1.4账号多次登录失败锁定
|
配置项名称 |
设置允许失败登录次数为5次,第6次登录失败后锁定该账户 |
|
检查方法 |
控制台中选择 安全领域-> myrealm->配置 ->用户封锁,检查“封锁标准值”是否为小于等于5的值。 |
|
操作步骤 |
控制台中选择 安全领域-> myrealm->配置 ->用户封锁,修改“封锁标准值”为小于等于5的值。 |
|
回退操作 |
回退到原有的配置设置 |
|
操作风险 |
低风险 |
2.日志配置要求
2.1启用审计管理控制台事件
|
配置项名称 |
设置审计管理控制台事件,启用审计管理控制台 |
|
检查方法 |
登录管理控制台 依次打开主页——myrealm——领域角色——用户和组——安全领域概要——myrealm——用户和组——身份证明映射——提供程序——SyetemPasswordValidator——base_domain 查看当前审计选项 |
|
操作步骤 |
登录管理控制台 依次打开Domain-->Configuration-->General-->Configuration Auditing 设置启用审计管理控制台事件。检查到默认是“无“ 可以按照需求是否此项 有4项可选。 |
|
回退操作 |
将控制台事件还原到原有设置 |
|
操作风险 |
低风险,占用一定磁盘空间 |
2.2检查是否记录登录日志
|
配置项名称 |
设备应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的账号,登录是否成功,登录时间,以及远程登录时,用户使用的IP地址 |
|
检查方法 |
查看WebLogic安装目录下的weblogic.properties配置文件,包含以下配置:weblogic.system.enableReverseDNSLookups=true |
|
操作步骤 |
1、备份weblogic.properties文件 2、修改weblogic.properties中weblogic.system.enableReverseDNSLookups为true |
|
回退操作 |
将备份的weblogic.properties文件还原 |
|
操作风险 |
低风险 |
2.3设置日志文件权限
|
配置项名称 |
设置日志文件权限,仅赋予管理员可读写权限 |
|
检查方法 |
查看WebLogic的日志文件权限 Windows系统,日志文件权限应不存在Everyone Unix系统,日志文件权限应为644 |
|
操作步骤 |
Windows系统,设置日志文件权限取消Everyone组权限 Unix系统设置日志文件权限为644 |
|
回退操作 |
还原日志配置 |
|
操作风险 |
低风险 |
3.IP协议安全配置
3.1启用SSL加密协议
|
配置项名称 |
WebLogic启用SSL加密协议,保护传输数据的安全性 |
|
检查方法 |
登录管理控制台,依次打开domain-> servers->myserver->General,查看SSL选项配置 |
|
操作步骤 |
1、使用keytool生成公钥与私钥 2、申请服务器证书 3、使用keytool导入证书 4、在控制台依次展开Domain-> servers->myserver->General->keystores & SSL,设置证书保存目录以及私钥密码,并配置SSL访问端口 5、重启WebLogic |
|
回退操作 |
取消SSL加密配置,还原系统原有配置 |
|
操作风险 |
需重启WebLogic |
|
备注 |
这个需要重新生成证书,然后导入,可以暂住不做。 |
3.2修改SSL加密协议端口
|
配置项名称 |
修改SSL加密协议端口,默认为443,可修改为其他端口。 |
|
检查方法 |
登录管理控制台,依次打开domain-> servers->myserver->General,查看SSL选项配置 |
|
操作步骤 |
登录管理控制台,选择“服务器”->“服务器名”->“配置”标签->“一般信息”标签,检查设置访问端口号是否为默认的443,如果不是443代表已经进行了修改。 |
|
回退操作 |
取消SSL加密配置,还原系统原有配置 |
|
操作风险 |
需重启WebLogic |
3.3限制应用服务器Socket数量
|
配置项名称 |
WebLogic未限制应用服务器的Socket数量,将导致系统资源紧张,过多的连接可导致系统崩溃,并为黑客提供Dos攻击的可能 |
|
检查方法 |
以管理员身份登录管理控制台 1. 点击左侧面板的域名文件夹,然后点击Servers文件夹,双击要管理的服务器 2. 在右侧面板的“Configuration”面板下选择“Tuning”标签,查看Maximum Open Sockets值 |
|
操作步骤 |
以管理员身份登录管理控制台 1. 点击左侧面板的域名文件夹,然后点击Servers文件夹,双击要管理的服务器 2. 在右侧面板的“Configuration”面板下选择“Tuning”标签,配置Maximum Open Sockets值,要求Maximum Open Sockets不大于254。默认最小值-1 |
|
回退操作 |
1. 点击左侧面板的域名文件夹,然后点击Servers文件夹,双击要管理的服务器 2. 在右侧面板的“Configuration”面板下选择“Tuning”标签,配置Maximum Open Sockets值,还原为原有配置 |
|
操作风险 |
使配置生效需重启WebLogic |
3.4更改WebLogic默认管理端口
|
配置项名称 |
更改WebLogic默认管理端口7001,防止黑客对7001端口发起攻击 |
|
检查方法 |
以管理员身份登录管理控制台 依次打开Servers-->Configuration-->General 查看当前管理端口 |
|
操作步骤 |
以管理员身份登录管理控制台 依次打开Servers-->Configuration-->General 更改默认的管理端口7001 |
|
回退操作 |
依次打开Servers-->Configuration-->General 更改为原端口 |
|
操作风险 |
使配置生效需重启WebLogic |
4.服务配置要求
4.1错误页面处理
|
配置项名称 |
WebLogic错误页面处理,将错误页面指向指定目录 |
|
检查方法 |
Linux下: 查看 Windows下: 当前项目WEB-INFweb.xml |
|
操作步骤 |
Web.xml文件下,要求包含如下片段: |
|
回退操作 |
将错误页面指向原有配置 |
|
操作风险 |
低风险 |
|
备注 |
要客户提供error.jsp页面,配置使用 |
4.2禁用Send Server Header
|
配置项名称 |
WebLogic禁用Send Server Header,防止泄露系统信息 |
|
检查方法 |
登录管理控制台,选择“服务器”->“服务器名”->“协议”标签->“HTTP”标签,检查是否取消“发送服务器标头” |
|
操作步骤 |
登录管理控制台,选择“服务器”->“服务器名”->“协议”标签->“HTTP”标签,取消“发送服务器标头” |
|
回退操作 |
登录管理控制台,选择“服务器”->“服务器名”->“协议”标签->“HTTP”标签,设置“发送服务器标头” |
|
操作风险 |
低风险 |
4.3WebLogic定时登出
|
配置项名称 |
WebLogic定时登出,用户长时间不进行操作时,将自动退出管理控制台 |
|
检查方法 |
以管理员身份登入管理控制台 依次打开Domain-->Servers-->Protocols-->HTTP,查看超时设置选项 |
|
操作步骤 |
以管理员身份登入控制台 依次打开Domain-->Servers-->Protocols-->HTTP,设置timeout值为10分钟 |
|
回退操作 |
回退到原有的配置设置 |
|
操作风险 |
风险较低 |
4.4https超时登出
|
配置项名称 |
https定时登出,用户长时间不进行操作时,将自动退出管理控制台 |
|
检查方法 |
以管理员身份登入控制台 登录管理控制台,选择“域”->“环境”->“服务器”->“AdminServer“->”配置“->“优化” 标签,检查SSL登录超时的值是否进行了设置,可以设置为10000,单位:秒 |
|
操作步骤 |
以管理员身份登入控制台 登录管理控制台,选择“域”->“环境”->“服务器”->“AdminServer“->”配置“->“优化” 标签,检查SSL登录超时的值是否进行了设置,可以设置为10000,单位:秒 |
|
回退操作 |
回退到原有的配置设置 |
|
操作风险 |
风险较低 |
4.5http超时登出
|
配置项名称 |
http定时登出,用户长时间不进行操作时,将自动退出管理控制台 |
|
检查方法 |
以管理员身份登入控制台 登录管理控制台,选择“域”->“环境”->“服务器”->“AdminServer“->”配置“->“优化” 标签,检查SSL登录超时的值是否进行了设置,可以设置为10000,单位:秒 |
|
操作步骤 |
以管理员身份登入控制台 登录管理控制台,选择“域”->“环境”->“服务器”->“AdminServer“->”配置“->“优化” 标签,检查SSL登录超时的值是否进行了设置,可以设置为5000,单位:秒 |
|
回退操作 |
回退到原有的配置设置 |
|
操作风险 |
风险较低 |
5.安全补丁
|
配置项名称 |
查看是否安装官方最新补丁 |
|
检查方法 |
使用系统的应用账号进入WebLogic_HOME/bea/logs/log.txt中获取版本信息。 |
|
操作步骤 |
进行weblogic升级打补丁的操作。 |
|
回退操作 |
之前做好安装软件的备份工作。有问题恢复回退。 |
|
操作风险 |
官方补丁,风险较低。 |
Web安全系列课程,扫码领取
APP逆向分析/渗透测试/安全检测/隐私合规如何选择手机机型或系统
推荐星球
原文始发于微信公众号(哆啦安全):Weblogic安全加固
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论