信息安全等级保护测评作业指导书(Weblogic)_第1页
信息安全等级保护测评作业指导书(Weblogic)_第2页
信息安全等级保护测评作业指导书(Weblogic)_第3页
信息安全等级保护测评作业指导书(Weblogic)_第4页
信息安全等级保护测评作业指导书(Weblogic)_第5页
已阅读5页,还剩1页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

信息安全测评实施作业指导书测评层面:Weblogic序测评项号不同的角色1

://IP:7001/consoleweblogicweblogic以治理员身份登录掌握台

操作步骤 预期结果以治理员身份登录掌握台1. ”REALM”应删除与设备运行、2 号WebLogic3

点击左侧面板”Security”文件夹,开放”REALM”UsersAdministrators、Deployers、Monitors、Operators之一以治理员身份登录掌握台点击左侧面板”Security”文件夹,开放”REALM”点击”Users”文件夹,删除与设备运行、维护等工作无关的WebLogic治理员身份登录治理掌握台,执行:在左面板,点击”Machine”文件夹在右面板,选择“ConfigureaNewUnixMachinelink”unix机器名,勾选”EnablePost-bindUIDfield”并输入用户名,该用户名必需对BEA_HOME及子名目有完全掌握权限,输入对应组(用户名和组名须事先在OS中单独创立),点击”Apply”按钮. 留意:不要使用默认的nobody用户选择”Servers”标签. 从”Availablelist”移动每个想要的效劳器实例到“Chosenlist”. 然后击”Apply”按钮

2. 点击”Users”文件夹,查看用户所属组及组、全局角色配置没有与设备运行、维护等工作无关的账号1、判定条件以特权用户身份启动应用效劳器,绑定端口之后转变UID和GID到非特权用户和组2、检测操作root身份执行:#ps–ef|grep–i weblogic以WebLogic治理员身份登录治理掌握台,执行:在左面板,点击”Machine”文件夹在右面板,查看是否配置”UnixMachinelink”开启主机名认证,设

HostnameVerification值为”BeaHostnameVerifier”

以治理员身份登录治理掌握台:置 Hostname 以治理员身份登录治理掌握台: 1. 点击左面板域名文件夹,然后点击VerificationBeaHostnameVerifier”对于承受静态口令认证技术的设备,口令8括数字、小写字母、大写

点击左面板域名文件夹,然后点击“servers”文件夹,点击要治理的效劳器名在右侧面板的”configuration”面板下的”Keystore&SSLAdvancedoption中“ShowClientattribute下的HostnameVerification值,设置为”BeaHostnameVerifier”以治理员身份登录掌握台点击左侧面板”Security”文件夹,开放”REALM”点击”Users”文件夹,设置口令长度至少8位,并包括数字、小写字母、大写字母和特别符号4类中至少3类WebLogic安装名目下的perties配置文件中参数

效劳器名2. 的”Keystore&SSL”标签中,点击Advancedoption中“ShoClientattributeHostnameVerification值字母和特别符号4 weblogic.system.minPasswordLen=83类对于承受静态口令认置当用户连续认证失6败次数超过6次〔不6次〕户使用的账号要求内容开启日志功能7

点击左侧面板”Security”文件夹,开放”REALM”点击右侧面板中的”UserLock”标签,设定LockoutEnabled,LockoutThreshold值为5,LockoutDuration30〔分钟〕以治理员身份登录治理掌握台点击域名,在右侧面板选择“Configuration”标签选择logging标签,设置域级日志,勾选点击域名下serversLoggingDomain,

以治理员身份登录掌握台”REALM”点击右侧面板中的”UserLock”标签,查看锁定阈值,锁定持续时间,锁定重置持续时间开启日志功能计8合理设置WebLogicKeystore 和SSL

勾选”LogtoDomainLogfile”Server标签,配置效劳器级日志,勾选”Logtostdout”等同上,点击“”标签进展配置以治理员身份登录掌握台点击左侧面板Security文件夹,开放provider,然后点击Auditing文件夹查看是否配置Auditor,如无则选择”ConfigureanewDefaultAuditor”并设置审计级FAILURE.点击左侧面板中域名下的效劳器,在右侧面板“General”标签中设置ConfigurationAuditinglogAudit创立用户自已的私有密钥和数字证书以治理员身份登录治理掌握台:1. 点击左面板域名文件夹,然后点击“servers”文件夹,点击要治理的效劳器名

1、判定条件ConfigurationAuditinglogAudit2、检测操作以治理员身份登录掌握台点击左侧面板Security文件夹,开放provider,Auditing文件夹Auditor点击左侧面板中域名下的效劳器以治理员身份登录治理掌握台:点击左面板域名文件夹,然后点击“servers”文件夹,点击要治理的9 2. 在右侧面板的”configuration”面板下的”Keystore&SSL”标签中,点击Keystore 效劳器名查看configurationChange”项,转变默认私有密钥设置3. 同上点击SSLconfiguration中“Change”项,转变默认私有密钥设置

的”Keystore&SSL”标签中查看4. 同上点击”Advancedoption”中”ShowSSLRejectionLoggingEnabled”合理设置应用效劳器 以治理员身份登录治理掌握台 以治理员身份登录治理掌握台Sockets最大翻开数量10

点击左侧面板的域名文件夹,然后点击Servers文件夹,双击要治理的效劳器在右侧面板的“Configuration”面板下选择“Tuning”标签设置”MaximumOpenSockets254或其它用户设定值备注:此项操作需开发人员在测试机修改后测试,应用正常然后再在生产机器上修改

点击左侧面板的域名文件夹,然后点Servers文件夹,双击要治理的效劳器在右侧面板的“Configuration”面板Tuning”标签,查看MaximumOpenSockets值要的文件

对启动和环境脚本限制权限为710,确认BEA_HOME属主为weblogic用户,对不必要700并改后缀名为.predeleted以root 身份执行以下操作:#chown–R“weblogicuser”$BEA_HOMEfind $BEA_HOME/-name*.sh|xargs`chmod710`#检查不必要工具文件,并将限制权限为700

以root 身份执行以下操作:#ls–alR$BEA_HOME#find $BEA_HOME/-name*.sh|xargs`ls–al`#查找不必要的工具文件#tarcvf beahome.`date”+%y%m%d”`.tar $BEA_HOME

# find

$BEA_HOME/

-name#find$WL_HOME/-nameconfig_builder.sh|xargs`chmod700` config_builder.sh|xargs`ls–al`#find$WL_HOME/-namestartWLBuilder.sh|xargs`chmod700`11

# find

$BEA_HOME/

-name#find$WL_HOME/-namejcommon-0.7.0.jar|xargs`chmod700` startWLBuilder.sh|xargs`ls–al`#find$WL_HOME/-namePointBase|xargs`chmod700`

# find

$BEA_HOME/

-name更改运行模式为”ProductionMode”12

find$WL_HOME/-namemedrec|xargs`chmod700`#检查不必要工具文件,并改名为.predeleted#mvconfig_builder.sh config_builder.sh.predeleted#mvstartWLBuilder.sh startWLBuilder.sh.predeleted#mvjcommon-0.7.0.jar #mvPointBase PointBase.predeleted#mvmedrecmedrec .predeleted以治理员身份登录治理掌握台点击域名,在右侧面板选中”Genaral”标签勾选”ProductionMode,更改运行模式为”Production

jcommon-0.7.0.jar|xargs`ls–al`#find$WL_HOME/-namePointBase|xargs`ls–al`#find$WL_HOME/-namemedrec|xargs`ls–al`root身份执行:#find$BEA_HOME/-namemyserver.log|grep–i“ProductionMode”#find$BEA_HOME/ -namesetEnv.sh|grep–i “ProductionMode”,点击域名,在右侧面板选中”Genaral”标签,查看禁用 Send Server 以治理员身份登录治理掌握台

是否勾选”ProductionMode”以治理员身份登录治理掌握台header13

Servers文件夹,选择要治理的效劳器在右侧面板“Protocols”面板下,点击标签SendServerheader项前面的勾,SendServerheader

点击域名下的Servers治理的效劳器在右侧面板“Protocols”面板下,点击标签SendServerheader删除sample程序 以治理员身份登录治理掌握台点击”Deployment”文件夹,查看是否有如下形式应用存在:2.find$BEA_HOME/-namesample|xargs`rm–rf`14重在应用程序编辑<ApplicationHOME>/WEB-INF/web.xml,参加error-定义

root权限执行#find$BEA_HOME/-namesample–print以治理员身份登录治理掌握台点击”Deployment”文件夹,查看是否有如下形式应用存在:开放”Deployment”子文件夹,查看是否存在以上形式内容,其path中包含“samples“名目root身份执行:web.xml中定义默认出错页面依据具体应用,合理设置session超时时间

web.xmlsession超时时间,例如,以下设置表示session超时时间为15分钟<session-config><session-timeout>15</session-timeout></session-config>

# cat HOME>/WEB-INF/web.xml检查是否在应用程序的web.xml中定义了session超时时间在不影响业务的状况

安装最安全相关补丁包,安全补丁下载需要 BEA公司授权,WebLogic安全公告1.以治理员身份登录治理掌握台,右键点下升级到最补丁,URL: 击左侧面板ConWLe图标,选择“View而且该补丁要通过实

“://dev2dev.bea/advisoriesnotifications/“://dev2dev.bea/advisoriesnotifications/

Server&BrowserInfo”,查看

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论