1. 系统基础安全加固
sudo apt update && sudo apt upgrade -y,确保Debian系统及WebLogic依赖的Java环境(如OpenJDK 11+)安装最新安全补丁,降低已知漏洞风险。weblogic),通过useradd -m weblogic && passwd weblogic设置密码,避免使用root账户运行WebLogic服务;配置服务启动脚本(如/opt/weblogic/startWebLogic.sh)以weblogic用户身份启动,限制系统权限。ufw(Uncomplicated Firewall)限制访问,仅允许可信IP访问WebLogic管理端口(默认7001)及应用端口(如8001),命令示例:sudo ufw allow from 192.168.1.0/24 to any port 7001,启用防火墙sudo ufw enable。2. WebLogic自身安全配置
console)或配置文件(config.xml),关闭未使用的服务(如Telnet、FTP、JMX远程管理),减少攻击面;修改默认管理端口(7001)为非标准端口(如7002),降低端口扫描风险。config.xml中的<ssl>标签,启用enabled=true);设置强密码策略(如密码长度≥8位、包含大小写字母、数字和特殊字符),并要求定期更换(每90天)。keytool生成JKS密钥库),配置WebLogic密钥库(key-store)和信任库(trust-store),在config.xml中启用SSL,加密管理控制台与客户端、应用之间的通信,防止数据泄露。3. 用户与权限管理
myrealm)配置认证提供者(如LDAP、Active Directory),替代默认的内存认证;定义细粒度角色(如Admin、Monitor、Deployer)和权限,将用户分配到对应角色,限制对敏感资源(如config.xml、域数据)的访问。Security Realms→myrealm→User Lockout标签,启用Lockout Enabled(默认开启),设置Lockout Threshold(如5次无效登录)、Lockout Duration(如30分钟)、Lockout Reset Duration(如5分钟),防止暴力破解攻击。4. 日志与监控
FINE或FINER,记录管理操作(如登录、配置变更)、访问尝试(如无效登录)和系统错误;确保日志文件(位于/opt/weblogic/user_projects/domains/base_domain/servers/AdminServer/logs)定期归档,避免日志被篡改或删除。Monitoring标签)或第三方工具(如Prometheus+Grafana),监控服务器性能(CPU、内存、线程)和安全状态(如登录失败次数、端口扫描);设置告警阈值(如连续5次登录失败),及时响应异常情况。5. 补丁与备份管理
opatch工具或手动部署更新,确保服务稳定性。config目录)、应用数据(applications目录)和数据库连接信息(datasource配置);备份文件存储在安全位置(如异地服务器、加密存储设备),确保灾难发生时可快速恢复。