系统安全配置技术规范-Weblogic.doc

系统安全配置技术规范WebLogic版本V0.9日期2013-06-03文档编号文档发布文档说明（一）变更信息版本号变更日期变更者变更理由/变更内容备注（二）文档审核人姓名职位签名日期目 录1适用范围42帐号管理与授权42.1【基本】设置帐号密码复杂度42.2【基本】WebLogic启动帐号42.3【基本】检查是否设置账号锁定时间52.4帐号多次登录失败锁定53日志配置要求53.1【基本】启用审计管理控制台事件53.2检查是否记录登录日志63.3设置日志文件权限64IP协议安全配置64.1设置可远程登录控制台的IP范围64.2启用SSL加密协议74.3限制应用服务器Socket数量74.4更改WebLogic默认管理端口85服务配置要求85.1【基本】错误页面处理85.2【基本】禁用Send Server Header95.3WebLogic定时登出96操作系统配置要求91 适用范围如无特殊说明，本规范所有配置项适用于WebLogic Server 9，10版本。其中标示为“基本”字样的配置项，均为本公司对此类系统的基本安全配置要求；未标示“基本”字样的配置项，请各系统管理员视实际需求酌情遵从。2 帐号管理与授权122.1 【基本】设置帐号密码复杂度配置项名称设置WebLogic密码复杂度，要求口令符合一定复杂度规范检查方法1、参考配置操作 询问管理员管理帐户口令设置情况2、补充操作说明口令要求：长度至少8位，满足复杂度要求，密码生存周期为90天操作步骤登录管理控制台，依次打开Domain-General-View Domain-Wide Security Settings-Compatibility-Passwords修改默认口令和弱口令为满足复杂度要求的口令回退操作回退到原有的配置设置操作风险低风险2.2 【基本】WebLogic启动帐号配置项名称设置WebLogic启动帐号，不能以nobody方式启动检查方法以管理员身份登录控制台1. 执行# ps ef| grep i weblogic操作步骤执行帐号不可以是root和nobody回退操作无操作风险低风险2.3 【基本】检查是否设置账号锁定时间配置项名称要求设定帐号锁定次数和时间，错误输入密码10次，系统自动锁定，锁定时间5分钟检查方法查看以管理员身份登录控制台1. 点击左侧面板”Security”文件夹，展开”REALM”2. 点击右侧面板中的”User Lock”标签，查看Lockout Enabled，Lockout Threshold，Lockout Duration等操作步骤修改lockout-duration大于等于5回退操作还原修改的配置文件操作风险低风险2.4 帐号多次登录失败锁定配置项名称设置允许失败登录次数为5次，第6次登录失败后锁定该帐户检查方法查看以管理员身份登录控制台1. 点击左侧面板”Security”文件夹，展开”REALM”2. 点击右侧面板中的”User Lock”标签，查看Lockout Enabled，Lockout Threshold，Lockout Duration等操作步骤要求Lockout Enabled=true;Lockout Threshold=5;Lockout Duration=30回退操作回退到原有的配置设置操作风险低风险3 日志配置要求33.1 【基本】启用审计管理控制台事件配置项名称设置审计管理控制台事件，启用审计管理控制台检查方法登录管理控制台依次打开Domain-Configuration-General-Configuration Auditing查看当前审计选项操作步骤登录管理控制台依次打开Domain-Configuration-General-Configuration Auditing设置启用审计管理控制台事件回退操作将控制台事件还原到原有设置操作风险低风险，占用一定磁盘空间3.2 检查是否记录登录日志配置项名称设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的帐号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址检查方法查看WebLogic安装目录下的perties配置文件，包含以下配置：weblogic.system.enableReverseDNSLookups=true操作步骤1、 备份perties文件2、 修改perties中weblogic.system.enableReverseDNSLookups为true回退操作将备份的perties文件还原操作风险低风险3.3 设置日志文件权限配置项名称设置日志文件权限，仅赋予管理员可读写权限检查方法查看WebLogic的日志文件权限Windows系统，日志文件权限应不存在EveryoneUnix系统，日志文件权限应为644操作步骤Windows系统，设置日志文件权限取消Everyone组权限Unix系统设置日志文件权限为644回退操作还原日志配置操作风险低风险4 IP协议安全配置44.1 设置可远程登录控制台的IP范围配置项名称设置可远程登录WebLogic控制台的IP范围，只有符合配置的源IP用户可登入管理控制台检查方法以管理员身份登录管理控制台依次打开Domain-General-View Domain-Wide Security Settings-Security-Filter查看是否设置了允许访问的IP范围操作步骤以管理员身份登录管理控制台依次打开Domain-General-View Domain-Wide Security Settings- Security-Filter设置允许访问控制台的IP地址，格式为targetAddress 7001 allow http回退操作取消远程访问地址限制，还原系统原有配置操作风险需确认IP范围，配置错误将导致无法访问管理控制台4.2 启用SSL加密协议配置项名称WebLogic启用SSL加密协议，保护传输数据的安全性检查方法登录管理控制台，依次打开domain- servers-myserver-General，查看SSL选项配置操作步骤1、 使用keytool生成公钥与私钥2、 申请服务器证书3、 使用keytool导入证书4、 在控制台依次展开Domain- servers-myserver-General-keystores & SSL，设置证书保存目录以及私钥密码，并配置SSL访问端口5、 重启WebLogic回退操作取消SSL加密配置，还原系统原有配置操作风险需重启WebLogic4.3 限制应用服务器Socket数量配置项名称WebLogic未限制应用服务器的Socket数量，将导致系统资源紧张，过多的连接可导致系统崩溃，并未黑客提供Dos攻击的可能检查方法以管理员身份登录管理控制台 1. 点击左侧面板的域名文件夹，然后点击Servers文件夹，双击要管理的服务器 2. 在右侧面板的“Configuration”面板下选择“Tuning”标签，查看Maximum Open Sockets值操作步骤以管理员身份登录管理控制台 1. 点击左侧面板的域名文件夹，然后点击Servers文件夹，双击要管理的服务器 2. 在右侧面板的“Configuration”面板下选择“Tuning”标签，配置Maximum Open Sockets值，要求Maximum Open Sockets不大于254回退操作1. 点击左侧面板的域名文件夹，然后点击Servers文件夹，双击要管理的服务器 2. 在右侧面板的“Configuration”面板下选择“Tuning”标签，配置Maximum Open Sockets值，还原为原有配置操作风险使配置生效需重启WebLogic4.4 更改WebLogic默认管理端口配置项名称更改WebLogic默认管理端口7001，防止黑客对7001端口发起攻击检查方法以管理员身份登录管理控制台依次打开Servers-Configuration-General查看当前管理端口操作步骤以管理员身份登录管理控制台依次打开Servers-Configuration-General更改默认的管理端口7001回退操作依次打开Servers-Configuration-General更改未原端口操作风险使配置生效需重启WebLogic5 服务配置要求55.1 【基本】错误页面处理配置项名称WebLogic错误页面处理，将错误页面指向指定目录检查方法Linux下：查看/WEB-INF/web.xml:Windows下：当前项目WEB-INFweb.xml操作步骤Web.xml文件下，要求包含如下片段：*error.html回退操作将错误页面指向原有配置操作风险低风险5.2 【基本】禁用Send Server Header配置项名称WebLogic禁用Send Server Header，防止泄露系统信息检查方法以管理员身份登录管理控制台1. 点击域名下的Servers文件夹，选择要管理的服务器2. 在右侧面板“Protocols”面板下，点击HTTP标签3. 检查是否勾选Send Server header操作步骤以管理员身份登录管理控制台1. 点击域名下的Servers文件夹，选择要管理的服务器2. 在右侧面板“Protocols”面板下，点击HTTP标签3. 取消勾选Send Server header回退操作以管理员身份登录管理控制台1. 点击域名下的Servers文件夹，选择要管理的服务器2. 在右侧面板“Protocols”面板下，点击HTTP标签3. 还原Send Server header配置操作风险低风险5.3 WebLogic定时登出配置项名称WebLogic定时登出，用户长时间不进行操作时，将自动退出管理控制台检查方法