weblogic安全加固

1、weblogic安全设置1. 用户名密码安全设置1.1. 操作系统用户weblogic安全要求：密码长度应8位以上，并符合密码复杂度要求（要求密码组成至少存在数字、字母（大，小写）和特殊字符）1.2. weblogic后台用户名密码策略要求：不使用默认用户名/密码:weblogic/weblogic（weblogic1234）密码长度应8位以上，并符合密码复杂度要求（要求密码组成至少存在数字、字母（大，小写）和特殊字符），修改完成后，保存。点击安全领域>myrealm>用户和组>提供程序>口令验证>SystemPasswordValidator>提供程序特定

2、，1.3. 帐号锁定策略要求：密码重试次数5次，锁定时间30分钟（默认配置即可）点击安全领域>myrealm>配置> 用户封锁。表1. 配置用户封锁设置描述默认值Lockout Enabled该设置表明是否启用封锁功能。如果使用另一种可选的Authentication Provider（它使用自己独有的保护用户帐户的机制），需要禁用这项功能。trueLockout Threshold该设置决定了在封锁用户之前，允许登录尝试失败的最大次数。5Lockout Reset Duration假定Lockout Threshold是5，而Lockout Reset Duration是3

3、分钟。如果一个用户在3分钟之内进行了5次失败的登录尝试，该用户帐户将被封锁。如果这5次失败的尝试并非发生在3分钟之内，那么该帐户仍然保持活动。5分钟Lockout Duration该设置决定了被封锁之后，用户无法访问其帐号的持续时间（以分钟为单位）。30分钟Lockout Cache Size该设置指定用于保存无效登录尝试的缓存大小。5Lockout GC Threshold该设置决定了内存中保存的无效登录尝试的最大值。当无效登录记录的数目超过了这个值，WebLogic的垃圾收集器就会删除所有到期的记录此时相关的用户已经被封锁。4002. 审计日志2.1. 开启访问日志，按时间滚动，并保留60

4、天1点击环境>服务器>Adminservers>日志记录2点击环境>服务器>Adminservers>HTTP>日志记录3点击base_domain >日志记录3. Weblogic header设置正确设置weblogic header可以防止扫描软件猜解weblogic的版本信息，进而进行下一步攻击。3.1. 禁用Send Server Header（默认禁用）点击环境>服务器>Adminservers>协议 >http检查是否勾选Send Server header3.2. 禁用X-Powered-By Header1点击base_domain>web应用程序2点击lock&edit修改X-Powered-By Header为“将不发送X-Powered-By Header ”4. 限制应用服务器Socket数量1点击环境>服务器>Adminservers>配置>优化修改“最大打开套接字数”，使其不为默认的“-1”5. 修改默认路径及端口5.1默认端口点击环境