centos上weblogic安全设置有哪些要点 - 问答

禁用非必要超级用户：通过/etc/passwd文件识别user ID=0的超级用户（如root以外的超级账户），使用passwd -l <用户名>锁定不必要的账户，减少系统受攻击面。
删除默认无用账户：移除adm、lp、sync等默认账户（这些账户无实际业务需求），降低潜在入侵风险。
强化口令策略：修改/etc/login.defs文件，设置PASS_MIN_LEN 10（口令最小长度≥10位），强制用户使用包含大写字母、小写字母、数字和特殊字符的复杂口令。
保护口令文件：使用chattr +i命令锁定/etc/passwd、/etc/shadow、/etc/group、/etc/gshadow文件，防止未授权修改。
设置root自动注销：编辑/etc/profile文件，添加TMOUT=300（300秒无操作自动注销root），减少root账户长期暴露的风险。
限制su命令使用：编辑/etc/pam.d/su文件，添加auth required pam_wheel.so use_uid，仅允许wheel组用户使用su切换至root。
禁用Ctrl+Alt+Delete重启：修改/etc/inittab文件，注释ca::ctrlaltdel:/sbin/shutdown -t3 -r now行，防止物理接触导致的意外重启。
调整开机启动权限：设置/etc/rc.d/init.d/目录下所有文件的权限为700（chmod 700 /etc/rc.d/init.d/*），确保仅root可操作启动服务。

创建专用用户组：使用groupadd weblogic创建专门的用户组，将WebLogic运行用户（如weblogic）加入该组，实现权限隔离。
配置强管理员账户：修改默认管理员用户名（避免使用weblogic），设置复杂口令（包含大小写字母、数字、特殊字符，长度≥12位），并定期更换。
精细化权限控制：通过WebLogic管理控制台配置角色和策略，遵循“最小权限原则”——仅授予用户完成工作所需的最低权限（如Monitor、Operator、Administrator等角色）。

准备密钥库与证书：使用keytool生成密钥库（mykeystore.jks），包含服务器私钥和自签名证书；提交CSR至CA获取正式证书，将CA根证书、中间证书及服务器证书导入密钥库。
配置WebLogic密钥库：登录WebLogic管理控制台，进入“服务器→配置→密钥库”，选择“定制身份和Java标准信任”，填写密钥库路径（如/path/to/mykeystore.jks）、密码（与生成时一致）。
启用SSL监听端口：在“服务器→配置→SSL”中，设置SSL监听端口（如7002，区别于默认HTTP端口7001），选择加密套件（优先选择TLS 1.2及以上版本）。
配置双向SSL（可选）：若需客户端认证，设置“Two Way Client Cert Behavior”为“Client Certs Requested or Required”，并将客户端CA证书导入WebLogic信任库。

限制目录列表访问：在weblogic.properties文件中添加weblogic.httpd.indexDirectories=false，禁止未授权用户通过URL直接访问目录结构。
开启详细日志：配置WebLogic日志记录用户登录、操作行为（包括账号、时间、IP地址、操作结果），便于后续审计和异常排查。
启用安全审计：在“安全领域→配置→审计”中，启用AuditingProvider，设置审计级别（如“所有事件”），记录用户对敏感资源（如配置文件、数据库连接）的访问。

切换至生产模式：通过WebLogic管理控制台“环境→服务器→配置→一般”设置运行模式为“生产模式”，关闭自动部署功能（避免未经审核的应用部署），提升系统稳定性。
更改默认端口：修改HTTP监听端口（默认7001）为非标准端口（如8081），减少恶意扫描和攻击的概率。
限制打开套接字数量：在config.xml文件中调整MaxOpenSockets参数（如设置为1000），防止DDoS攻击导致资源耗尽。

以非root用户运行WebLogic：使用weblogic用户（而非root）启动WebLogic服务（如su - weblogic -c "./startWebLogic.sh"），避免进程拥有过高权限，降低入侵后的破坏范围。
禁用示例应用：删除或禁用WebLogic安装目录下的示例应用（如examples、sample），防止攻击者利用示例代码中的漏洞入侵。
定期更新补丁：关注Oracle官方安全公告，及时应用WebLogic Server和CentOS系统的安全补丁，修复已知漏洞。

0 赞

0 踩