centos环境下weblogic的安全设置指南

CentOS环境下WebLogic安全设置指南

1. 系统基础安全配置

• 创建专用用户与组：避免以root用户运行WebLogic，创建专用用户及组（如weblogic），并设置强密码。

  groupadd weblogic
  useradd -g weblogic weblogic
  passwd weblogic  # 设置复杂密码（如包含大小写字母、数字、特殊字符）
  

• 配置防火墙：使用firewalld开放必要端口（如管理控制台7001、SSH22），限制访问源IP（如仅允许可信网段访问）。

  firewall-cmd --zone=public --add-port=7001/tcp --permanent  # WebLogic管理端口
  firewall-cmd --zone=public --add-port=22/tcp --permanent    # SSH远程管理
  firewall-cmd --reload
  

• 禁用不必要的服务：关闭CentOS中未使用的服务（如sendmail、cups），减少攻击面。

  systemctl stop sendmail && systemctl disable sendmail
  systemctl stop cups && systemctl disable cups
  

• 强化SSH访问：修改/etc/ssh/sshd_config，禁用root远程登录、启用公钥认证，提升SSH安全性。

  sed -i 's/PermitRootLogin yes/PermitRootLogin no/g' /etc/ssh/sshd_config
  sed -i 's/#PubkeyAuthentication yes/PubkeyAuthentication yes/g' /etc/ssh/sshd_config
  systemctl restart sshd
  

2. WebLogic安装与域安全配置

• 以非root用户安装：切换至weblogic用户，使用静默安装方式部署WebLogic，避免权限过高导致的安全风险。

  su - weblogic
  java -jar /opt/weblogic/fmw_14.1.1.0.0_wls_lite_generic.jar -silent -responseFile /opt/weblogic/wls.rsp
  

• 最小化安装组件：安装时取消勾选“示例应用”“测试模块”等非必要组件，减少潜在漏洞入口。
• 更改默认管理员账号：避免使用默认的weblogic管理员用户名，创建自定义管理员账号（如admin_domain），并设置强密码。
• 设置域运行模式：将域运行模式切换为“生产模式”（production mode），关闭自动部署功能（防止恶意WAR包自动上传部署）。

  cd /opt/weblogic/domains/base_domain/bin
  ./setDomainEnv.sh  # 编辑此文件，设置RUN_MODE=prod
  

3. 用户认证与权限管理

• 配置强口令策略：通过WebLogic管理控制台（console）进入“安全领域→myrealm→密码策略”，设置：
  • 最小口令长度≥8位；
  • 包含大写字母、小写字母、数字、特殊字符；
  • 账户锁定阈值（如连续5次失败锁定15分钟）。
• 创建角色与权限：在“安全领域→myrealm→角色和策略”中，为用户/组分配最小必要权限（如Admin角色仅授予管理员，Monitor角色授予监控人员），避免权限过度授予。
• 集成外部LDAP认证：若企业有LDAP服务器（如OpenLDAP、Active Directory），配置LDAP认证提供者，实现集中用户管理。

  # 管理控制台路径：安全领域→myrealm→身份断言→新建→选择LDAP类型→配置LDAP服务器连接信息
  

4. SSL/TLS加密配置

• 生成SSL证书：使用keytool生成自签名证书（生产环境建议使用CA签发的证书），并导入至WebLogic密钥库。

  keytool -genkey -alias weblogic_ssl -keyalg RSA -keystore /opt/weblogic/domains/base_domain/security/weblogic.keystore -keysize 2048 -validity 365
  

• 启用SSL监听端口：在管理控制台“配置→监听端口”中，新增SSL监听端口（如7002），并指定密钥库路径与密码。

  # 管理控制台路径：配置→监听端口→新建→选择SSL→设置端口、密钥库路径
  

• 强制HTTPS访问：通过WebLogic的“安全约束”配置，强制管理控制台（console）及关键应用使用HTTPS协议，防止数据在传输过程中被窃取。

5. 审计与日志管理

• 启用安全审计：在“安全领域→myrealm→审计”中，开启审计功能，记录用户登录、权限变更、资源访问等操作（如记录账号、操作时间、IP地址、操作结果）。

  # 管理控制台路径：安全领域→myrealm→审计→启用审计→选择审计项（如登录、授权）
  

• 配置日志轮转：编辑/opt/weblogic/domains/base_domain/config/config.xml，设置日志文件大小（如100MB）与保留天数（如7天），避免日志文件过大占用磁盘空间。

  <log>
    <file-name>logs/weblogic.log</file-name>
    <rotation-type>bySize</rotation-type>
    <max-size>100</max-size>
    <max-history>7</max-history>
  </log>
  

• 定期检查日志：使用grep、awk等工具分析日志，及时发现异常行为（如频繁的登录失败、未授权访问尝试）。

  grep "Failed login" /opt/weblogic/domains/base_domain/logs/weblogic.log  # 查找登录失败记录
  

6. 运行时安全优化

• 禁用目录列表：在应用的weblogic.xml配置文件中，设置indexDirectories为false，防止用户通过浏览器直接访问目录结构。

  <weblogic-web-app>
    <container-descriptor>
      <index-directories>false</index-directories>
    </container-descriptor>
  </weblogic-web-app>
  

• 隐藏服务器信息：在管理控制台“配置→服务器→通用”中，取消勾选“发送服务器版本信息”，防止攻击者通过HTTP响应头获取WebLogic版本，针对性发起攻击。
• 限制最大连接数：在“配置→服务器→调优”中，设置最大打开套接字数（如max-open-sockets=5000），防止DDoS攻击导致资源耗尽。
• 定期更新补丁：关注Oracle官方发布的安全补丁，及时升级WebLogic至最新版本，修复已知漏洞。