WebLogicWeb服务器安全配置基线

1、WebLogic Web 服务器安全配置基线中国移动通信有限公司管理信息系统部2012年04月版本版本控制信息更新日期更新人审批人V1.0创建2009年4月V2.0更新2012年4月备注:1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。第1章概述41.1 目的41.2 适用范围41.3 适用版本41.4 实施41.5 例外条款4第2章帐号管理、认证授权 52.1 帐号52.1.1 系统启动帐号52.1.2 帐号锁定策略52.2 口令62.2.1 密码复杂度6第3章日志配置操作73.1 日志配置73.1.1 审核登录7第4章 IP协议安全配置 84.1 IP 协议84.

2、1.1 支持加密协议 84.1.2 限制应用服务器 Socket数量 84.1.3 禁用 Send Server Header 9第5章设备其他配置操作 105.1 安全管理 105.1.1 定时登出105.1.2 更改默认端口 * 105.1.3 错误页面处理 115.1.4 目录列表访问限制 11第6章 评审与修订12第1章概述1.1 目的本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的WebLogic Web服务器应当遵循的安全性设置标准， 本文档旨在指导系统管理人员进行 WebLogic Web服务器 的安全配置。1.2 适用范围本配置标准的使用者包括：服务器系统管理员、应

3、用管理员、网络安全管理员。本配置标准适用的范围包括：支持中国移动集团公司管理信息系统部运行的WebLogicWeb服务器系统。1.3 适用版本8.x 9.x 10.x 版本的 WebLogic Web 服务器。1.4 实施本标准的解释权和修改权属于中国移动集团管理信息系统部，在本标准的执行过程中若有任何疑问或建议，应及时反馈。本标准发布之日起生效。1.5 例外条款欲申请本标准的例外条款，申请人必须准备书面申请文件，说明业务需求和原因，送交中国移动通信有限公司管理信息系统部进行审批备案。第2章帐号管理、认证授权2.1 帐号2.1.1系统启动帐号安全基线项 目名称WebLogic启动帐号安全基线要

4、求项安全基线编 号SBL-WebLogic-02-01-01安全基线项 说明要求限制帐号检测操作步 骤1、参考配置操作查看以管理员身份登录控制台执行 # ps -ef| grep - weblogic基线符合性 判定依据1、判定条件执仃帐号不可以是 root和nobody。备注2.1.2帐号锁定策略安全基线项 目名称WebLogic帐号锁定安全基线要求项安全基线编 号SBL-WebLogic-02-01-02安全基线项 说明要求设定帐号锁定次数和时间，错误输入密码10次，系统自动锁定，锁定时间5分钟。检测操作步 骤1、参考配置操作查看以管理员身份登录控制台1点击左侧面板”Security ”文

5、件夹，展开”REALM ”2. 点击右侧面板中的User Lock标签，查看Lockout Enabled , LockoutThreshold , Lockout Duration 等基线符合性 判定依据1、判定条件要求 Lockout Enabled=true;Lockout Threshold=10;Lockout Durati on=5备注2.2 口令2.2.1密码复杂度安全基线项 目名称WebLogic密码复杂度安全基线要求项安全基线编 号SBL-WebLogic-02-02-01安全基线项 说明对于米用静态口令认证技术的设备，口令长度至少8位，并包括数字、小写字母、大写字母和特殊符

6、号四类中至少两类。且5次以内不得设置相同的口令。密码应至少每 90天进行更换。检测操作步 骤1、参考配置操作查看 WebLogic安装目录下的 perties配置文件2、补充操作说明口令要求：口令长度至少8位，并包括数字、小与字母、大与字母和特殊符号四类中至少两类。 且5次以内不得设置相同的口令。密码应至少每90天进行更换。基线符合性 判定依据1、判定条件weblogic.system.minPasswordLen=8 等备注第3章日志配置操作3.1 日志配置3.1.1审核登录安全基线项 目名称WebLogic审核登录安全基线要求项安全基线编 号SBL-WebLogic

7、-03-01-01安全基线项 说明设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的 帐号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址。检测操作步 骤1、参考配置操作查看 WebLogic安装目录下的 perties配置文件基线符合性 判定依据1、判定条件开启日志，配置按日期rotateweblogic.system.e nableReverseDNSLookups=true备注第4章IP协议安全配置4.1 IP协议4.1.1支持加密协议4.1.2限制应用服务器Socket数量安全基线项 目名称WebLogic支持加密协议安全基线要求项安

8、全基线编 号SBL-WebLogic-04-01-01安全基线项 说明对于通过HTTP协议进行远程维护的设备，设备应支持使用HTTPS等加密协议。检测操作步 骤1、参考配置操作查看 WebLogic安装目录下的 perties配置文件基线符合性 判定依据1、判定条件weblogic.system.SSLListe nPort=portNumber weblogic.security.certificate.server= mycert.der weblogic.security.key.server= mykey.der weblogic.security.certif

9、icate.authority= CA.der weblogic.security.certificateCacheSize= 5 weblogic.security.clie ntRootCA= anyValidCertificate weblogic.httpd.register.authe nticated= weblogic.t3.srvr.Clie ntAuthe nticati on Servlet weblogic.httpd.register.T3Admi nCaptureRootCA=admi n.T3Admi nCaptureRootCA SSL En abled=true

10、备注安全基线项 目名称WebLogic限制应用服务器Socket数量安全基线要求项安全基线编 号SBL-WebLogic-04-01-02安全基线项 说明Sockets最大打开数目设置不当的话，容易受到拒绝服务攻击，超出操作系统文件描述符限制检测操作步1、参考配置操作中国移动通信骤以管理员身份登录管理控制台1点击左侧面板的域名文件夹，然后点击Servers文件夹，双击要管理的服务器2.在右侧面板的Configuration 面板下选择Tuning标签，查看MaximumOpe n Sockets 值基线符合性 判定依据1、判定条件要求 Maximum Open Sockets 不大于 1024

11、。备注4.1.3 禁用 Send Server Header安全基线项 目名称WebLogic禁用Send Server Header安全基线要求项安全基线编 号SBL-WebLogic-04-01-03安全基线项 说明Sockets最大打开数目设置不当的话，容易受到拒绝服务攻击，超出操作系统文件描述符限制检测操作步 骤1. 参考配置操作以管理员身份登录管理控制台1点击域名下的Servers文件夹，选择要管理的服务器2. 在右侧面板Protocols面板下，点击 HTTP标签3. 检查是否勾选 Send Server header基线符合性 判定依据1、判定条件要求禁止 Send Server

12、 header备注第5章设备其他配置操作5.1 安全管理5.1.1定时登出安全基线项 目名称WebLogic定时登出安全基线要求项安全基线编 号SBL-WebLogic-05-01-01安全基线项 说明对于具备字符交互界面的设备，应支持定时帐户自动登出。登出后用户需再 次登录才能进入系统。检测操作步 骤1、参考配置操作查看 WebLogic安装目录下的 perties配置文件 自动登出时间为5分钟。基线符合性 判定依据1、判定条件weblogic .login. readTimeoutMillis=in tegerweblogic.logi n.readTimeoutM

13、illisSSL=in teger备注5.1.2更改默认端口安全基线项 目名称WebLogic运行端口安全基线要求项安全基线编 号SBL-WebLogic-05-01-02安全基线项 说明更改WebLogic服务器默认端口检测操作步 骤1、参考配置操作查看 WebLogic安装目录下的 perties配置文件基线符合性 判定依据1、判定条件weblogic.syste m.l iste nPort= in teger备注根据应用场景的不冋，如部署场景需开启此功能，则强制要求此项。可能会 影响系统。5.1.3错误页面处理安全基线项 目名称WebLogic错误页面处理安全基线要求项安全基线编 号SBL-WebLogic-05-01-03安全基线项 说明WebLogic错误页面重疋向检测操作步 骤1、参考配置操作查看（Application HOME/WEB-INF/web.xml:基线符合性 判定依据1、判定条件 要求包含如下片段：+J*/eKC eption-typwl cation err or.taiioQ*/error-page*1备注5.1.4目录列表访问限制安全基线项 目名称WebLogic目录列表安全基线要求项