Ubuntu上WebLogic安全如何设置

Ubuntu上WebLogic安全设置清单

一 系统与账户安全

• 保持系统与软件包为最新：执行apt update && apt upgrade，及时修补漏洞。
• 创建非 root专用系统账户运行 WebLogic，遵循最小权限原则：
  • 创建用户与组：sudo groupadd weblogic；sudo useradd -g weblogic -m -d /opt/weblogic weblogic
  • 赋权域目录：sudo chown -R weblogic:weblogic /opt/weblogic
  • 禁止 root 直接启动 WebLogic 服务
• 加固 SSH：禁用 root 登录（PermitRootLogin no）、使用密钥登录、限制可登录用户（AllowUsers），减少暴力破解面。

二 网络与端口防护

• 更改默认管理端口（如将 7001 改为 8001/9000 等），降低被自动化扫描识别概率。
• 启用管理端口（Administration Port），将管理流量与业务流量隔离，仅限跳板/堡垒机访问。
• 启用SSL/TLS监听并修改默认 SSL 端口（避免 7002），配置主机名验证与拒绝日志，强制管理端与节点间通信加密。
• 使用UFW/iptables最小化放通：仅开放必要端口（如 22/8001/9000/443），对管理端口限制来源网段；在域边界启用**连接过滤器（Connection Filters）**限制非法对内/对外连接。

三 身份与访问控制

• 运行模式设置为生产模式，关闭自动部署，减少被植入风险。
• 强化密码策略与账号锁定：设置复杂度（长度≥8，包含大小写/数字/特殊字符）、定期更换；配置失败登录锁定次数与锁定持续时间，防止暴力破解。
• 启用安全审计（Auditing Provider），审计关键安全事件，日志默认位于域目录下的 DefaultAuditRecorder.log。
• 限制管理控制台访问：仅允许内网/跳板机访问；在不需要时可通过控制台或配置关闭控制台（ConsoleEnabled=false）。

四 日志与监控

• 启用并落盘HTTP 访问日志，记录客户端 IP、时间、请求资源等，便于溯源与风控。
• 配置服务器运行日志与域日志的级别与滚动策略，确保 ERROR/WARNING 等关键告警被及时记录与告警。
• 定期审计与归档日志，结合外部 SIEM/日志平台进行关联分析。

五 会话与协议加固

• 配置会话与连接超时：HTTP 登录超时≤5000 秒、SSL 登录超时≤10000 秒、控制台会话超时≤300 秒，降低会话劫持与资源占用风险。
• 禁用目录列表与信息泄露：关闭目录浏览，隐藏服务器版本与类型（如取消发送服务器标头）。
• 限制最大打开套接字数（如 254 或依据容量规划设定），缓解资源耗尽与 DoS 风险。
• 全站HTTPS：在应用或 WebLogic 层面将 HTTP 自动跳转至 HTTPS（web.xml 配置 transport-guarantee 为 CONFIDENTIAL），仅暴露 443/HTTPS 对外服务。

六 快速实施示例命令

• 创建系统账户与赋权
  • sudo groupadd weblogic
  • sudo useradd -g weblogic -m -d /opt/weblogic weblogic
  • sudo chown -R weblogic:weblogic /opt/weblogic
• UFW 放通必要端口（示例）
  • sudo ufw allow 22,8001,9000,443/tcp
  • sudo ufw enable
• 生成自签名证书并配置 WebLogic SSL（示例）
  • keytool -genkeypair -alias weblogic -keyalg RSA -keysize 2048 -keystore /opt/weblogic/identity.jks -storepass ChangeMe123 -dname “CN=weblogic,OU=IT,O=Org,L=City,ST=State,C=CN” -validity 365
  • 控制台路径：Environment → Servers → → Configuration → General 勾选“Enable SSL Listen Port”；Keystores 选择“Custom Identity and Custom Trust”，导入 identity.jks 与信任库；SSL 中设置私钥别名与密码，保存并重启。