WebLogic在CentOS下的安全设置指南

一、基础环境准备：最小化与隔离

1. 创建专用用户与组
   避免以root用户运行WebLogic，降低系统权限滥用风险。执行以下命令创建weblogic组和用户，并设置密码：

   groupadd weblogic
   useradd -g weblogic weblogic
   passwd weblogic
   

2. 安装JDK并配置环境变量
   WebLogic依赖JDK，需安装与版本兼容的JDK（如JDK 8或11），并配置weblogic用户的环境变量。编辑/home/weblogic/.bash_profile，添加：

   export JAVA_HOME=/path/to/jdk  # 替换为实际JDK路径
   export PATH=$JAVA_HOME/bin:$PATH
   source /home/weblogic/.bash_profile  # 生效配置
   

二、系统级安全加固

1. 防火墙配置（firewalld）
   仅开放WebLogic必要端口（默认管理端口7001、HTTP80、HTTPS443、SSH22），阻断未授权访问：

   firewall-cmd --permanent --add-port=7001/tcp  # WebLogic管理端口
   firewall-cmd --permanent --add-service=http  # HTTP服务
   firewall-cmd --permanent --add-service=https  # HTTPS服务
   firewall-cmd --permanent --add-port=22/tcp    # SSH远程管理
   firewall-cmd --reload  # 重新加载规则
   

2. SELinux配置
   启用SELinux以增强系统强制访问控制，设置为enforcing模式（默认）：

   setenforce 1  # 临时生效
   sed -i 's/SELINUX=permissive/SELINUX=enforcing/g' /etc/selinux/config  # 永久生效
   

3. 禁用不必要的系统服务
   关闭未使用的服务（如NFS、FTP），减少攻击面：

   systemctl stop nfs-server  # 示例：停止NFS服务
   systemctl disable nfs-server  # 禁止开机自启
   

三、WebLogic自身安全配置

1. 最小化安装与默认设置修改
   • 安装时取消勾选示例应用（如examples），避免暴露敏感代码；
   • 更改默认管理员账号：避免使用weblogic作为管理员用户名，创建高强度管理员账号（如admin_domain）；
   • 修改默认端口：将管理端口7001更改为非标准端口（如8001），降低端口扫描风险。
2. 口令策略强化
   在WebLogic控制台（console）的Security Realms > myrealm > Users and Groups中，配置：
   • 最小口令长度≥8位；
   • 要求包含大写字母、小写字母、数字和特殊字符；
   • 账户锁定策略：连续失败5次后锁定30分钟。
3. 运行模式切换
   将WebLogic域运行模式从开发模式（Development）切换至生产模式（Production）：
   • 登录控制台→Environment→Servers→选择服务器→Configuration→General→修改Domain Mode为Production；
   • 生产模式会关闭自动部署功能，防止恶意应用上传。
4. 目录列表限制
   在WebLogic配置文件（weblogic.properties）中添加以下配置，禁止目录自动列表：

   weblogic.httpd.indexDirectories=false
   

5. 禁用敏感信息泄露
   在WebLogic管理控制台的Server→Configuration→General中，取消勾选Send Server Header，防止响应中暴露服务器版本信息（如WebLogic Server 14.1.1）。
6. SSL/TLS配置
   启用SSL加密客户端与服务器之间的通信，步骤如下：
   • 生成密钥库（Keystore）：

     keytool -genkey -alias myweblogic -keyalg RSA -keystore /path/to/mykeystore.jks -keysize 2048
     

   • 登录WebLogic控制台→Environment→Servers→选择服务器→Configuration→Keystores，配置密钥库路径和密码；
   • 在SSL tab中启用SSL Listen Port（如8002），并上传证书。
7. 用户与权限管理
   • 创建角色与组：在Security Realms > myrealm > Roles and Policies中，定义角色（如AdminRole）和组（如AdminGroup）；
   • 分配权限：将用户添加至对应组（如weblogic用户加入AdminGroup），通过角色关联权限，实现最小权限原则。
8. 启用审计日志
   在Security Realms > myrealm > Auditing中，启用审计功能，配置审计级别为All（记录所有操作），记录用户登录、资源访问等行为，便于后续追溯。

四、持续维护与监控

1. 定期更新与补丁管理
   关注Oracle官方安全公告，及时升级WebLogic至最新补丁版本（如PSU），修复已知漏洞。
2. 日志监控与分析
   定期检查WebLogic日志（logs/server.log）和系统日志（/var/log/messages），使用工具（如ELK、Splunk）分析异常行为（如频繁登录失败、非法IP访问）。
3. 备份与恢复
   定期备份域配置（config/config.xml）和数据，存储至异地或云存储，确保灾难发生时可快速恢复。