Ubuntu下WebLogic的安全设置怎么做

Ubuntu下WebLogic安全设置指南

1. 以非root用户运行WebLogic

避免以root用户启动WebLogic服务，降低系统权限滥用风险。需完成以下步骤：

• 创建专用用户组（如weblogic）和用户：groupadd weblogic；useradd -g weblogic weblogic；passwd weblogic（设置强密码）。
• 修改WebLogic安装目录及域目录的属主：chown -R weblogic:weblogic /usr/wubin/weblogic（安装目录）、chown -R weblogic:weblogic /usr/wubin/weblogic/Oracle/Middleware/user_projects/domains/base_domain（域目录）。
• 通过su - weblogic切换至weblogic用户，启动WebLogic服务（如./startWebLogic.sh）。

2. 强化账号与权限管理

• 禁用默认管理员账号：修改默认的weblogic管理员密码（设置8位以上包含大小写字母、数字和特殊字符的复杂密码）；避免使用weblogic作为常规管理员账号，创建专用管理员账号（如admin_user）。
• 配置账号锁定策略：在WebLogic控制台→安全领域→myrealm→用户和组→配置→账号锁定中，设置：
  • 失败尝试次数≥5次（如6次）；
  • 锁定持续时间≥30分钟（如30分钟）；
  • 启用“锁定账号”策略。
• 限制sudo权限：编辑/etc/sudoers文件（visudo命令），仅允许特定用户（如weblogic_admin）使用sudo，避免普通用户获取root权限。

3. 配置SSL加密通信

• 启用SSL监听端口：在WebLogic控制台→环境→服务器→AdminServer→配置→一般信息中，勾选“启用SSL监听端口”（默认7002），保存并激活更改。
• 配置SSL证书：
  • 生成密钥库（Keystore）：使用keytool生成自签名证书或导入第三方CA证书（如keytool -genkeypair -alias weblogic -keyalg RSA -keystore keystore.jks -validity 365）。
  • 导入信任证书：将CA根证书导入信任库（Truststore）（如keytool -importcert -alias ca -file ca.crt -keystore truststore.jks）。
  • 在WebLogic控制台→环境→服务器→AdminServer→配置→SSL→高级中，设置：
    • 身份证书别名（如weblogic）；
    • 信任库路径（如truststore.jks）及密码；
    • 主机名验证为“None”（测试环境，生产环境建议启用）。

4. 调整默认端口

修改WebLogic默认端口（如HTTP 7001→8001、HTTPS 7002→8002），减少自动化扫描工具的探测风险：

• 在WebLogic控制台→环境→服务器→AdminServer→配置→一般信息中，修改“监听端口”（HTTP）和“SSL监听端口”（HTTPS），保存并激活更改。

5. 配置认证与授权

• 添加LDAP身份认证：集成外部LDAP服务器（如OpenLDAP、Active Directory），实现集中用户管理：
  • 在WebLogic控制台→安全领域→myrealm→提供者→认证中，点击“新建”，选择“LDAP身份认证提供者”（如LDAPAuthenticator），设置：
    • 名称（如LDAPAuth）；
    • LDAP服务器地址、端口（如ldap://ldap.example.com:389）；
    • 用户基础DN（如cn=Users,dc=example,dc=com）；
    • 控制标志为“可选”（初始配置）或“必需”（生产环境）。
  • 将LDAPAuth的“控制标志”设置为“必需”，提升安全性。
• 配置应用级认证：在应用的web.xml中定义认证方式（如FORM）和角色（如mgr）；在weblogic.xml中映射角色与用户（如<principal-name>admin_user</principal-name>）。

6. 日志与审计配置

• 开启详细日志：在WebLogic控制台→域结构→mydomain→日志→通用日志记录中，设置日志级别为“调试”（Debug），记录用户登录、操作等详细信息。
• 启用安全审计：在WebLogic控制台→安全领域→myrealm→审计中，启用“审计提供者”（如FileAuditProvider），设置审计日志路径（如/var/log/weblogic/audit.log），记录关键事件（如登录成功/失败、权限变更）。

7. 系统级安全加固

• 禁用冗余服务与协议：关闭WebLogic中的IIOP协议（默认7001端口），在WebLogic控制台→环境→服务器→AdminServer→配置→一般信息中，取消“启用IIOP”选项，减少漏洞攻击面。
• 配置防火墙规则：使用Ubuntu的ufw工具，仅开放必要端口（如SSH 22、WebLogic HTTPS 8002），屏蔽其他端口：

  sudo ufw allow 22/tcp
  sudo ufw allow 8002/tcp
  sudo ufw enable
  

• 定期更新系统与补丁：执行sudo apt update && sudo apt upgrade更新Ubuntu系统；从Oracle官网下载并安装WebLogic最新安全补丁，修复已知漏洞。

8. 禁用不必要的功能

• 关闭自动部署：在WebLogic控制台→环境→服务器→AdminServer→配置→部署中，取消“自动部署”选项，避免未经授权的应用部署。
• 移除示例应用：删除WebLogic安装目录中的示例应用（如/wlserver/common/deployable-libraries中的示例库），防止示例应用暴露安全漏洞。