CentOS上WebLogic的安全配置怎么做

CentOS 上 WebLogic 安全配置清单

一 系统与运行环境加固

• 以非 root专用用户运行 WebLogic（如创建用户组与用户：groupadd weblogic、useradd -g weblogic weblogic），避免使用 root 启动域与管理进程。
• 配置最小权限与登录安全：设置复杂口令策略（长度、字符集）、开启账号锁定与登录失败处理，禁用不必要的系统账户与默认示例应用。
• 加固操作系统：仅开启必需服务与端口，使用firewalld/iptables实施最小暴露面，定期执行yum update与安全补丁更新，部署防病毒与入侵检测（如 ClamAV、OpenVAS/Nessus）并做基线核查。
• 资源与稳定性：在 /etc/security/limits.conf 或 systemd 服务单元中设置文件描述符、进程数等上限；为 WebLogic 设置合适的JVM 堆与元空间（如 -Xms/-Xmx 与 -XX:MaxMetaspaceSize），避免 OOM 与资源耗尽。
• 运行模式：将域设置为生产模式，关闭自动部署，减少攻击面与不可控变更。

二 网络与端口最小化

• 仅开放必要端口（如管理端口与业务端口），并限制来源网段；示例（firewalld）：firewall-cmd --permanent --add-port=7001/tcp（HTTP）与 7002/tcp（HTTPS），按需仅对管理网段放行。
• 更改默认管理端口，避免被脚本化扫描与暴力尝试；对管理口与敏感接口实施源地址限制与访问控制。
• 关闭未使用的协议与高危端口，定期用 netstat/ss 检查监听端口与异常连接，停用无用服务。

三 认证与授权体系

• 使用生产级身份存储：优先对接企业 LDAP/AD 或数据库认证提供者，避免在嵌入式 LDAP 中长期使用默认管理员；当仅配置 LDAP 时，确保用于启动的管理员用户属于目录中的Administrators组（或具备等效角色）。
• 多认证提供者编排：在安全域中可配置多个认证提供者（如内置 LDAP、外部 LDAP、SAML、Kerberos/Negotiate、X.509 证书等），并通过JAAS 控制标志（REQUIRED/REQUISITE/SUFFICIENT/OPTIONAL）与调用顺序控制登录流程与单点登录行为。
• 应用层安全：在 Web 应用中使用声明式安全（web.xml 安全约束、角色映射）与/或编程式安全（HttpServletRequest.login/logout、@RolesAllowed 等）实现表单登录与基于角色的访问控制（RBAC）。

四 传输加密与证书管理

• 启用 SSL/TLS：为管理通道与业务通道配置单向或双向 SSL；WebLogic 的 SSL 监听端口默认是7002，生产环境应始终使用 HTTPS。
• 证书与密钥：使用受信任 CA 签发的服务器证书，或先用 keytool 生成 CSR 申请证书；将身份（私钥+证书）与信任（CA 证书链）导入配置的密钥库，在控制台设置私钥别名与密码。
• 主机名校验：保持主机名验证开启以防止中间人攻击；仅在明确需要时自定义或关闭。
• 高级场景：可按需启用双向 SSL（客户端证书认证）、配置入站/出站证书链验证、以及启用FIPS 140-2 合规加密模块（在启动脚本中设置 PRE_CLASSPATH 与 -Dweblogic.security.SSL.nojce=true）。

五 审计日志与持续运维

• 启用安全审计与访问日志：在域的安全域中配置审计提供者，记录登录、授权、管理操作等关键事件；开启 WebLogic 与操作系统的访问与系统日志，集中到 SIEM 进行关联分析。
• 变更与合规：遵循变更管理流程，变更前备份（如 config.xml、密钥库、启动脚本），变更后在维护窗口滚动重启；定期做漏洞扫描与基线核查，对高风险发现闭环修复。
• 监控与告警：对管理端口访问异常、证书即将过期、SSL 握手失败、进程资源异常等设定阈值告警，结合日志审计实现快速响应。