ubuntu上weblogic安全设置如何操作

Ubuntu上WebLogic安全设置操作指南

1. 以非root用户运行WebLogic

避免以root用户启动WebLogic服务，降低系统权限滥用风险。

• 创建专用用户与组：执行groupadd WebLogic创建组，useradd WebLogic -g WebLogic创建用户并加入组。
• 修改服务启动身份：编辑WebLogic启动脚本（如/u01/weblogic/startWebLogic.sh），在首行添加su - WebLogic -c "..."，确保以WebLogic用户身份启动。

2. 配置SSL加密通信

通过SSL/TLS加密数据传输，防止中间人攻击。

• 准备keystore：使用keytool生成密钥库（Identity）和信任库（Trust），例如：

  keytool -genkeypair -alias weblogic -keyalg RSA -keystore identity.jks -validity 365
  keytool -importcert -alias ca -file ca.crt -keystore trust.jks
  

• 控制台配置：登录WebLogic控制台→环境→服务器→选择服务器→配置→SSL，设置：
  • 勾选“启用SSL监听端口”（默认7002，建议修改为非标准端口如8002）；
  • 指定Identity Keystore（identity.jks路径）、Password及Private Key Alias（weblogic）；
  • 在高级选项卡中，设置“主机名验证”为“BEA主机名验证”（或自定义验证器）。
• 激活更改：点击“保存”→“激活更改”，重启SSL服务使配置生效。

3. 强化用户认证与权限管理

控制用户访问权限，防止未授权登录。

• 禁用默认管理员账户：登录控制台→安全→Realms→myrealm→用户，删除或禁用默认的Admin账户，创建新管理员账户（如weblogic_admin）。
• 配置强密码策略：在myrealm→配置→密码策略中，设置：
  • 密码长度≥8位；
  • 包含大小写字母、数字、特殊字符；
  • 密码有效期≤90天；
  • 连续失败登录次数≤5次（锁定账户30分钟）。
• 配置认证提供者：在myrealm→Providers→Authentication中，确保“Default Authenticator”（嵌入式LDAP）为首选（Control Flag设为REQUIRED），可添加LDAP认证（如Active Directory）扩展身份源。

4. 关闭冗余服务与端口

减少攻击面，禁用不必要的服务。

• 禁用IIOP协议：登录控制台→环境→服务器→选择服务器→配置→一般信息，取消勾选“启用IIOP”，避免暴露RMI over IIOP接口（易受CVE-2020-2551等漏洞攻击）。
• 更改默认端口：将HTTP监听端口从7001改为非标准端口（如8001），HTTPS端口从7002改为8002，降低端口扫描风险。
• 关闭自动部署：登录控制台→域→配置→常规，取消勾选“自动部署”，防止恶意WAR包自动上传部署。

5. 启用安全审计与日志监控

记录安全事件，便于溯源与响应。

• 开启HTTP访问日志：登录控制台→环境→服务器→选择服务器→日志记录→HTTP，勾选“启用HTTP访问日志文件”，记录请求URL、IP、状态码等信息。
• 配置安全审计：登录控制台→安全→Realms→myrealm→Providers→Auditors，添加“AuditingProvider”（默认开启），日志默认存储在域目录/servers/服务器名/logs/DefaultAuditRecorder.log，定期审查日志（如登录失败、权限变更等）。
• 系统日志监控：使用journalctl -u weblogic -f实时查看WebLogic服务日志，或配置logrotate定期归档日志（如每天归档，保留30天）。

6. 配置防火墙限制访问

通过防火墙过滤非法IP访问，缩小攻击范围。

• 使用UFW配置规则：执行以下命令仅开放必要端口（SSH：22、HTTP：8001、HTTPS：8002）：

  sudo ufw allow 22/tcp    # SSH管理端口
  sudo ufw allow 8001/tcp  # HTTP服务端口
  sudo ufw allow 8002/tcp  # HTTPS服务端口
  sudo ufw default deny incoming  # 默认拒绝入站连接
  sudo ufw enable          # 启用防火墙
  

• 限制管理端口访问：仅允许可信IP访问WebLogic管理端口（如7001/8001），例如：

  sudo ufw allow from 192.168.1.100 to any port 8001/tcp
  

7. 禁止发送服务器敏感信息

隐藏WebLogic版本号，防止攻击者利用已知漏洞攻击。

• 禁用HTTP Server Header：登录控制台→环境→服务器→选择服务器→协议→HTTP，取消勾选“发送服务器标头”，避免响应中暴露“WebLogic Server/版本号”信息。

8. 设置连接数限制防DoS攻击

限制最大打开套接字数，防止资源耗尽攻击。

• 控制台配置：登录控制台→环境→服务器→选择服务器→配置→优化，修改“最大打开套接字数”为合理值（如254，默认值可能较高），保存并激活更改。

9. 更新系统与WebLogic补丁

修复已知漏洞，提升系统安全性。

• 更新Ubuntu系统：执行sudo apt update && sudo apt upgrade -y，安装系统安全补丁。
• 更新WebLogic Server：从Oracle官网下载最新稳定版本（如WebLogic 14c），按照官方文档升级，确保修复最新安全漏洞（如CVE-2024-XXXX等）。

10. 配置自定义错误页面

避免暴露系统默认错误信息（如Tomcat错误页），防止信息泄露。

• 修改web.xml文件：编辑<WebLogic_install_dir>/server/lib/consoleapp/webapp/WEB-INF/web.xml，在<web-app>标签内添加：

  <error-page>
      <exception-type>java.lang.Exception</exception-type>
      <location>/error.jsp</location>
  </error-page>
  <error-page>
      <error-code>404</error-code>
      <location>/404.jsp</location>
  </error-page>
  

• 创建错误页面：在consoleapp/webapp目录下创建error.jsp（显示友好提示：“系统繁忙，请稍后再试”）、404.jsp（显示“页面未找到”），避免暴露服务器内部路径。