WebLogic Server 在 CentOS 上的安全配置是一个复杂但至关重要的过程,以下是详细的步骤和建议,以确保您的 WebLogic 服务器具有最高级别的安全性。
首先,确保系统中只有必要的超级用户。可以通过查看 /etc/passwd 文件来检测具有超级用户权限的账户(user_ID=0)。使用以下命令来备份并锁定或解锁这些账户:
cat /etc/passwd | awk -F ':' '{print$1,$3}' | grep ' 0$'
cp -p /etc/passwd /etc/passwd_bak
passwd -l <用户名> # 锁定账户
passwd -u <用户名> # 解锁账户
为了减少系统受攻击的风险,应删除所有不必要的默认账户,如 adm, lp, sync 等。使用以下命令可以删除这些账户:
userdel username
groupdel groupname
用户口令是系统安全的基础。应设置复杂的口令,包含大写字母、小写字母、数字和特殊字符,并且长度大于10位。可以通过修改 /etc/login.defs 文件来强制执行这些要求:
PASS_MIN_LEN 10
使用 chattr 命令给 /etc/passwd, /etc/shadow, /etc/group, 和 /etc/gshadow 文件加上不可更改属性,以防止未授权访问:
chattr +i /etc/passwd
chattr +i /etc/shadow
chattr +i /etc/group
chattr +i /etc/gshadow
通过修改 /etc/profile 文件中的 TMOUT 参数,可以设置 root 账户的自动注销时限,以减少未授权访问的风险:
vi /etc/profile
TMOUT=300
su 命令可以通过编辑 /etc/pam.d/su 文件,限制只有特定组的用户才能使用 su 命令切换为 root:
usermod –G wheel username
通过修改 /etc/inittab 文件,可以禁用 ctrl+alt+delete 组合键重启机器的命令:
# 将 "ca::ctrlaltdel:/sbin/shutdown-t3-rnow" 一行注释掉
为了确保系统的启动服务安全,应设置 /etc/rc.d/init.d/ 目录下所有文件的权限,以确保只有 root 用户可以操作这些服务。
为了防止系统信息泄露,应避免在登录时显示系统和版本信息。
对于使用 NFS 网络文件系统服务的系统,应确保 /etc/exports 文件具有最严格的访问权限设置。
通过编辑 /etc/securetty 文件,可以限制 root 用户只能在特定的 tty 设备上登录。
为了防止 IP 欺骗和 DoS 攻击,可以编辑 host.conf 文件和设置资源限制,如最大进程数和内存使用量。
weblogic.properties 文件中设置 weblogic.httpd.indexDirectories=false。config.xml 文件以限制最大打开套接字数。使用防火墙限制 WebLogic Server 域外到域的连接;使用 Connection Filters 限制域内的连接。
设置 HTTP 超时登出、HTTPS 超时登出以及控制台会话超时,以防止未授权访问。
考虑实施官方最新的安全建议,注册 BEA Advisories & Notifications 以接收最新的安全建议信息。
通过上述步骤,您可以显著提高 WebLogic 服务器在 CentOS 上的安全性。每个步骤都旨在减少潜在的安全漏洞,确保系统的稳定性和数据的保密性。