ｅebLogic-Web服务器安全安全配置基线

1、PAGE12WebLogic Web服务器安全配置基线中国移动通信有限公司 管理信息系统部2012年 04月版本版本控制信息更新日期更新人审批人创建2009年4月更新2012年4月备注：若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。目 录 TOC o 1-3 h z u HYPERLINK l _Toc5 第1章概述 PAGEREF _Toc5 h 4 HYPERLINK l _Toc6 目的 PAGEREF _Toc6 h 4 HYPERLINK l _Toc7 适用范围 PAGEREF _Toc7 h 4 HYPERLINK l _Toc8 适用版本 PAGEREF

2、 _Toc8 h 4 HYPERLINK l _Toc9 实施 PAGEREF _Toc9 h 4 HYPERLINK l _Toc0 例外条款 PAGEREF _Toc0 h 4 HYPERLINK l _Toc1 第2章帐号管理、认证授权 PAGEREF _Toc1 h 5 HYPERLINK l _Toc2 帐号 PAGEREF _Toc2 h 5 HYPERLINK l _Toc3 系统启动帐号 PAGEREF _Toc3 h 5 HYPERLINK l _Toc4 帐号锁定策略 PAGEREF _Toc4 h 5 HYPERLINK l _Toc5 口令 PAGEREF _Toc5

3、h 6 HYPERLINK l _Toc6 密码复杂度 PAGEREF _Toc6 h 6 HYPERLINK l _Toc7 第3章日志配置操作 PAGEREF _Toc7 h 7 HYPERLINK l _Toc8 日志配置 PAGEREF _Toc8 h 7 HYPERLINK l _Toc9 审核登录 PAGEREF _Toc9 h 7 HYPERLINK l _Toc0 第4章IP协议安全配置 PAGEREF _Toc0 h 8 HYPERLINK l _Toc1 IP协议 PAGEREF _Toc1 h 8 HYPERLINK l _Toc2 支持加密协议 PAGEREF _Toc

4、2 h 8 HYPERLINK l _Toc3 限制应用服务器Socket数量 PAGEREF _Toc3 h 8 HYPERLINK l _Toc4 禁用Send Server Header PAGEREF _Toc4 h 9 HYPERLINK l _Toc5 第5章设备其他配置操作 PAGEREF _Toc5 h 10 HYPERLINK l _Toc6 安全管理 PAGEREF _Toc6 h 10 HYPERLINK l _Toc7 定时登出 PAGEREF _Toc7 h 10 HYPERLINK l _Toc8 更改默认端口* PAGEREF _Toc8 h 10 HYPERLI

5、NK l _Toc9 错误页面处理 PAGEREF _Toc9 h 11 HYPERLINK l _Toc0 目录列表访问限制 PAGEREF _Toc0 h 11 HYPERLINK l _Toc1 第6章评审与修订 PAGEREF _Toc1 h 12概述目的本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的WebLogic Web服务器应当遵循的安全性设置标准，本文档旨在指导系统管理人员进行WebLogic Web服务器的安全配置。适用范围本配置标准的使用者包括：服务器系统管理员、应用管理员、网络安全管理员。本配置标准适用的范围包括：支持中国移动集团公司管理信息系统部运行的We

6、bLogic Web服务器系统。适用版本 版本的WebLogic Web服务器。实施本标准的解释权和修改权属于中国移动集团管理信息系统部，在本标准的执行过程中若有任何疑问或建议，应及时反馈。本标准发布之日起生效。例外条款欲申请本标准的例外条款，申请人必须准备书面申请文件，说明业务需求和原因，送交中国移动通信有限公司管理信息系统部进行审批备案。帐号管理、认证授权帐号系统启动帐号安全基线项目名称WebLogic启动帐号安全基线要求项安全基线编号SBL-WebLogic-02-01-01 安全基线项说明 要求限制帐号检测操作步骤1、参考配置操作 查看以管理员身份登录控制台执行# ps ef| gre

7、p i weblogic基线符合性判定依据1、判定条件执行帐号不可以是root和nobody。备注帐号锁定策略安全基线项目名称WebLogic帐号锁定安全基线要求项安全基线编号SBL-WebLogic-02-01-02 安全基线项说明 要求设定帐号锁定次数和时间，错误输入密码10次，系统自动锁定，锁定时间5分钟。检测操作步骤1、参考配置操作 查看以管理员身份登录控制台1. 点击左侧面板”Security”文件夹，展开”REALM”2. 点击右侧面板中的”User Lock”标签，查看Lockout Enabled，Lockout Threshold，Lockout Duration等基线符合性

8、判定依据1、判定条件要求Lockout Enabled=true;Lockout Threshold=10;Lockout Duration=5备注口令密码复杂度安全基线项目名称WebLogic密码复杂度安全基线要求项安全基线编号SBL-WebLogic-02-02-01 安全基线项说明 对于采用静态口令认证技术的设备，口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号四类中至少两类。且5次以内不得设置相同的口令。密码应至少每90天进行更换。检测操作步骤1、参考配置操作 查看WebLogic安装目录下的配置文件2、补充操作说明口令要求：口令长度至少8位，并包括数字、小写字母、大写字母和

9、特殊符号四类中至少两类。且5次以内不得设置相同的口令。密码应至少每90天进行更换。基线符合性判定依据1、判定条件等备注日志配置操作日志配置审核登录安全基线项目名称WebLogic审核登录安全基线要求项安全基线编号SBL-WebLogic-03-01-01 安全基线项说明 设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的帐号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址。检测操作步骤1、参考配置操作查看WebLogic安装目录下的配置文件基线符合性判定依据1、判定条件开启日志，配置按日期rotate备注IP协议安全配置IP协议支持加密协议安全基线项目名称WebLo

10、gic支持加密协议安全基线要求项安全基线编号SBL-WebLogic-04-01-01 安全基线项说明 对于通过HTTP协议进行远程维护的设备，设备应支持使用HTTPS等加密协议。检测操作步骤1、参考配置操作查看WebLogic安装目录下的配置文件基线符合性判定依据1、判定条件 SSL Enabled=true备注限制应用服务器Socket数量安全基线项目名称WebLogic限制应用服务器Socket数量安全基线要求项安全基线编号SBL-WebLogic-04-01-02 安全基线项说明 Sockets最大打开数目设置不当的话，容易受到拒绝服务攻击，超出操作系统文件描述符限制检测操作步骤1、参

11、考配置操作以管理员身份登录管理控制台 1. 点击左侧面板的域名文件夹，然后点击Servers文件夹，双击要管理的服务器 2. 在右侧面板的“Configuration”面板下选择“Tuning”标签，查看Maximum Open Sockets值基线符合性判定依据1、判定条件要求Maximum Open Sockets不大于1024。备注禁用Send Server Header安全基线项目名称WebLogic禁用Send Server Header安全基线要求项安全基线编号SBL-WebLogic-04-01-03 安全基线项说明 Sockets最大打开数目设置不当的话，容易受到拒绝服务攻击，

12、超出操作系统文件描述符限制检测操作步骤1、参考配置操作以管理员身份登录管理控制台1. 点击域名下的Servers文件夹，选择要管理的服务器2. 在右侧面板“Protocols”面板下，点击HTTP标签3. 检查是否勾选Send Server header基线符合性判定依据1、判定条件要求禁止Send Server header备注设备其他配置操作安全管理定时登出安全基线项目名称WebLogic定时登出安全基线要求项安全基线编号SBL-WebLogic-05-01-01 安全基线项说明 对于具备字符交互界面的设备，应支持定时帐户自动登出。登出后用户需再次登录才能进入系统。检测操作步骤1、参考配置

13、操作查看WebLogic安装目录下的配置文件自动登出时间为5分钟。基线符合性判定依据1、判定条件 备注更改默认端口*安全基线项目名称WebLogic运行端口安全基线要求项安全基线编号SBL-WebLogic-05-01-02 安全基线项说明 更改WebLogic服务器默认端口检测操作步骤1、参考配置操作查看WebLogic安装目录下的配置文件基线符合性判定依据1、判定条件备注根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。可能会影响系统。错误页面处理安全基线项目名称WebLogic错误页面处理安全基线要求项安全基线编号SBL-WebLogic-05-01-03 安全基线项说明 WebLogic错误页面重定向检测操作步骤1、参考配置操作查看/WEB-INF/:基线符合性