在CentOS环境下配置WebLogic服务器的安全性是确保系统稳定运行和数据安全的关键步骤。以下是一些关键的安全设置步骤和最佳实践:
-
最小化安装:
- 禁止采用示例应用。
- 禁止采用默认weblogic作为管理员用户名,建议采用不易被猜测的用户名,如“root_domain”等。
-
口令长度设置:
- 默认在安装时,weblogic要求密码至少为8位,但是没有限制密码复杂度。
- 按照如下步骤在安装时手工设置密码复杂度。加固方法:登录控制台选择[安全领域]–>领域选择–>[提供程序]–>[DefaultAuthenticator]–>[配置]–>[提供程序特定],在“提供程序特定“里设置“最小口令长度”大于等于8,保存,激活更改。
-
设置账号锁定策略:
- 对于采用静态口令认证技术的设备,应配置当用户连续认证失败次数超若干次,锁定该用户使用的账号。
- 加固方法:配置失败锁定允许尝试次数,登录控制台选择[安全领域]–>领域选择–>[配置]–>[用户封锁]–>勾选"启用封锁",把“封锁阀值”设为一个小于等于6的值,保存,激活更改。
- 配置锁定持续时间,登录控制台选择[安全领域]–>领域选择–>[配置]–>[用户封锁]–>勾选"启用封锁",把“封锁持续时间”设为一个大于等于30的值,保存,激活更改。
- 打开锁定帐号策略,登录控制台选择[安全领域]–>领域选择–>[配置]–>[用户封锁]–>勾选"启用封锁",保存,激活更改。
- 配置锁定重置持续时间,登录控制台选择[安全领域]–>领域选择–>[配置]–>[用户封锁]–>勾选"启用封锁",封锁重置持续时间:6,保存,激活更改。
-
更改默认端口:
- 为防止恶意的攻击,使得攻击者难以找到数据库并将其定位,使用HTTP协议的设备,应更改WebLogic服务器默认端口。
- 加固方法:登录控制台选择[环境]–>[服务器]–>服务器选择–>[配置]–>[一般信息],勾选"启用监听端口",并修改默认端口号为非7001的数值(例如:8001)。
-
设置目录列表访问限制:
- 查看weblogic安装目录下的weblogic.properties配置文件,将weblogic.httpd.indexDirectories=false。
-
开启日志功能:
- 设备应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的账号,登录是否成功,登录时间,使用的IP地址。
- 加固方法:登录控制台选择[环境]–>[服务器]–>服务器选择–>[日志记录]–>[HTTP],勾选"启用HTTP访问日志文件",保存,激活更改。
-
开启安全审计:
- 如果开启了WebLogic Security Service提供的AuditingProvider,日志会存在以下位置:DomainName\DefaultAuditRecorder.log。
- 可以通过以下位置设置:Administration Console on the Security → Realms→ RealmName → Providers → Auditors page。
-
限制发送主机名和版本号,禁用Send Server header:
- 缺省条件下,当WeblogicServer响应HTTP请求时,在其HTTP响应的包头中包括服务器的名称和Weblogic版本号,这会导致服务器信息的泄漏。
- 为防止恶意的攻击,获取更多服务器信息,应该禁止发送服务器标头。
- 加固方法:登录控制台选择[环境]–>[服务器]–>服务器选择–>[协议]–>[HTTP],取消勾选"发送服务器标头",保存,激活更改。
-
运行模式设置为生产模式:
- WebLogic有两种工作模式,一种是开发模式,另一种是生产模式。开发模式下,启用了自动部署;生产模式下,关闭了自动部署。
- 加固方法:登录控制台选择[域名]–>[配置]–>[常规],勾选"生产模式",保存,激活更改。
-
限制打开套接字数量:
- Sockets最大打开数目设置不当的话,容易受到拒绝服务攻击,超出操作系统文件描述符限制。
- 加固方法1:登录控制台选择[环境]–>[服务器]–>服务器选择–>[配置]–>[优化],修改"最大打开套接字数"为254或其它用户设定值,保存,激活更改。
- 加固方法2:修改config.xml在中间,后面加250。
-
以非root用户运行WebLogic:
- WebLogic进程的用户应该是非超级用户。查看当前系统的WebLogic进程。
请注意,这些安全措施需要定期审查和更新,以应对不断变化的安全威胁。