Ubuntu上WebLogic安全设置配置指南
避免以root用户启动WebLogic服务,降低系统权限滥用风险。操作步骤:
groupadd weblogic;useradd -g weblogic weblogic;passwd weblogic(设置强密码)。bin/startWebLogic.sh),在JAVA_OPTIONS行前添加-Dweblogic.UserLockoutEnabled=true,并确保脚本以weblogic用户身份执行(通过su - weblogic -c "/path/to/startWebLogic.sh"启动)。关闭不必要的服务及协议,减少攻击面:
环境→服务器→选中服务器→一般信息→取消“启用IIOP”勾选→保存并激活更改→重启服务。autodeploy目录下的示例应用(如examples文件夹),避免暴露敏感信息。/etc/login.defs文件配置密码复杂度(如PASS_MIN_LEN 8、PASS_WARN_AGE 7);启用账号锁定策略(连续失败5次锁定30分钟),在WebLogic控制台→安全领域→用户→锁定策略中设置。/etc/sudoers文件限制sudo权限(如weblogic ALL=(ALL) NOPASSWD: /path/to/weblogic/scripts/*),仅允许特定用户执行管理命令。启用SSL/TLS加密,保护数据传输安全:
keytool工具生成密钥库(keystore.jks),命令:keytool -genkeypair -alias weblogic -keyalg RSA -keystore /path/to/keystore.jks -keysize 2048;自签名证书可通过keytool -exportcert -alias weblogic -file weblogic.crt -keystore /path/to/keystore.jks导出,导入至信任库(cacerts)。环境→服务器→选中服务器→配置→SSL→一般信息→启用“SSL监听端口”(默认7002)→设置密钥库路径及密码→高级设置→选择TLS协议(如TLS1.2)→禁用“主机名验证”(测试环境可选,生产环境建议启用)。SSL→高级→双向客户端证书行为为“客户端证书请求并强制”,并导入客户端CA证书至信任库。修改默认端口,避免被自动化工具扫描:
环境→服务器→选中服务器→配置→一般信息→修改“监听端口”。SSL→一般信息中修改“SSL监听端口”。安全领域→用户锁out→控制台会话超时中调整。开启审计功能,记录关键操作:
安全领域→审计→审计提供者→选择“AuditProvider”→启用“审计收集”→设置审计日志路径(如/var/log/weblogic/audit)。chown命令设置日志文件权限,仅管理员可访问(如chown -R weblogic:weblogic /var/log/weblogic;chmod -R 750 /var/log/weblogic)。审计策略中启用“登录成功/失败”“配置更改”“角色分配”等事件的审计。保持软件最新,修复已知漏洞:
sudo apt update && sudo apt upgrade,安装Ubuntu系统安全补丁;启用自动更新(sudo apt install unattended-upgrades→修改/etc/apt/apt.conf.d/50unattended-upgrades配置自动升级包)。opatch工具应用(如opatch apply /path/to/patch),重启服务生效。限制入站连接,缩小攻击面:
sudo apt install ufw。sudo ufw default deny incoming);仅开放必要端口(如SSH 22、WebLogic HTTPS 8002、控制台8001)→sudo ufw allow 22/tcp;sudo ufw allow 8002/tcp;sudo ufw allow 8001/tcp。sudo ufw enable;查看状态(sudo ufw status)。防止拒绝服务(DoS)攻击:
环境→服务器→选中服务器→配置→调优→套接字→修改“最大打开套接字数”(如设置为1000)。配置→调优→线程池→修改“最大线程数”(如设置为200),避免线程耗尽。隐藏服务器标识,防止信息泄露:
环境→服务器→选中服务器→配置→HTTP→高级→设置“服务器标头”为“禁用”。config/config.xml中找到<server>标签,添加<name>CustomServer</name>(自定义服务器名称),避免暴露WebLogic版本。