信息安全等级保护测评作业指导书(Weblogic)

信息安全测评实施作业指导书测评层面：Weblogic序测评项号不同的角色1

://IP:7001/consoleweblogicweblogic以治理员身份登录掌握台

操作步骤 预期结果以治理员身份登录掌握台1. ”REALM”应删除与设备运行、2 号WebLogic3

点击左侧面板”Security”文件夹，开放”REALM”UsersAdministrators、Deployers、Monitors、Operators之一以治理员身份登录掌握台点击左侧面板”Security”文件夹，开放”REALM”点击”Users”文件夹，删除与设备运行、维护等工作无关的WebLogic治理员身份登录治理掌握台,执行：在左面板，点击”Machine”文件夹在右面板，选择“ConfigureaNewUnixMachinelink”unix机器名,勾选”EnablePost-bindUIDfield”并输入用户名,该用户名必需对BEA_HOME及子名目有完全掌握权限，输入对应组(用户名和组名须事先在OS中单独创立),点击”Apply”按钮. 留意：不要使用默认的nobody用户选择”Servers”标签. 从”Availablelist”移动每个想要的效劳器实例到“Chosenlist”. 然后击”Apply”按钮

2. 点击”Users”文件夹，查看用户所属组及组、全局角色配置没有与设备运行、维护等工作无关的账号1、判定条件以特权用户身份启动应用效劳器，绑定端口之后转变UID和GID到非特权用户和组2、检测操作root身份执行：#ps–ef|grep–i weblogic以WebLogic治理员身份登录治理掌握台,执行：在左面板，点击”Machine”文件夹在右面板，查看是否配置”UnixMachinelink”开启主机名认证，设

HostnameVerification值为”BeaHostnameVerifier”

以治理员身份登录治理掌握台：置 Hostname 以治理员身份登录治理掌握台： 1. 点击左面板域名文件夹，然后点击VerificationBeaHostnameVerifier”对于承受静态口令认证技术的设备，口令8括数字、小写字母、大写

点击左面板域名文件夹，然后点击“servers”文件夹，点击要治理的效劳器名在右侧面板的”configuration”面板下的”Keystore&SSLAdvancedoption中“ShowClientattribute下的HostnameVerification值,设置为”BeaHostnameVerifier”以治理员身份登录掌握台点击左侧面板”Security”文件夹，开放”REALM”点击”Users”文件夹，设置口令长度至少8位，并包括数字、小写字母、大写字母和特别符号4类中至少3类WebLogic安装名目下的perties配置文件中参数

效劳器名2. 的”Keystore&SSL”标签中，点击Advancedoption中“ShoClientattributeHostnameVerification值字母和特别符号4 weblogic.system.minPasswordLen=83类对于承受静态口令认置当用户连续认证失6败次数超过6次〔不6次〕户使用的账号要求内容开启日志功能7

点击左侧面板”Security”文件夹，开放”REALM”点击右侧面板中的”UserLock”标签，设定LockoutEnabled，LockoutThreshold值为5，LockoutDuration30〔分钟〕以治理员身份登录治理掌握台点击域名，在右侧面板选择“Configuration”标签选择logging标签，设置域级日志，勾选点击域名下serversLoggingDomain，

以治理员身份登录掌握台”REALM”点击右侧面板中的”UserLock”标签，查看锁定阈值，锁定持续时间，锁定重置持续时间开启日志功能计8合理设置WebLogicKeystore 和SSL

勾选”LogtoDomainLogfile”Server标签，配置效劳器级日志，勾选”Logtostdout”等同上，点击“”标签进展配置以治理员身份登录掌握台点击左侧面板Security文件夹,开放provider,然后点击Auditing文件夹查看是否配置Auditor，如无则选择”ConfigureanewDefaultAuditor”并设置审计级FAILURE.点击左侧面板中域名下的效劳器，在右侧面板“General”标签中设置ConfigurationAuditinglogAudit创立用户自已的私有密钥和数字证书以治理员身份登录治理掌握台：1. 点击左面板域名文件夹，然后点击“servers”文件夹，点击要治理的效劳器名

1、判定条件ConfigurationAuditinglogAudit2、检测操作以治理员身份登录掌握台点击左侧面板Security文件夹,开放provider,Auditing文件夹Auditor点击左侧面板中域名下的效劳器以治理员身份登录治理掌握台：点击左面板域名文件夹，然后点击“servers”文件夹，点击要治理的9 2. 在右侧面板的”configuration”面板下的”Keystore&SSL”标签中，点击Keystore 效劳器名查看configurationChange”项，转变默认私有密钥设置3. 同上点击SSLconfiguration中“Change”项，转变默认私有密钥设置

的”Keystore&SSL”标签中查看4. 同上点击”Advancedoption”中”ShowSSLRejectionLoggingEnabled”合理设置应用效劳器 以治理员身份登录治理掌握台 以治理员身份登录治理掌握台Sockets最大翻开数量10

点击左侧面板的域名文件夹，然后点击Servers文件夹，双击要治理的效劳器在右侧面板的“Configuration”面板下选择“Tuning”标签设置”MaximumOpenSockets254或其它用户设定值备注：此项操作需开发人员在测试机修改后测试，应用正常然后再在生产机器上修改

点击左侧面板的域名文件夹，然后点Servers文件夹，双击要治理的效劳器在右侧面板的“Configuration”面板Tuning”标签，查看MaximumOpenSockets值要的文件

对启动和环境脚本限制权限为710，确认BEA_HOME属主为weblogic用户，对不必要700并改后缀名为.predeleted以root 身份执行以下操作：#chown–R“weblogicuser”$BEA_HOMEfind $BEA_HOME/-name*.sh|xargs`chmod710`#检查不必要工具文件，并将限制权限为700

以root 身份执行以下操作：#ls–alR$BEA_HOME#find $BEA_HOME/-name*.sh|xargs`ls–al`#查找不必要的工具文件#tarcvf beahome.`date”+%y%m%d”`.tar $BEA_HOME

# find

$BEA_HOME/

-name#find$WL_HOME/-nameconfig_builder.sh|xargs`chmod700` config_builder.sh|xargs`ls–al`#find$WL_HOME/-namestartWLBuilder.sh|xargs`chmod700`11

# find

$BEA_HOME/

-name#find$WL_HOME/-namejcommon-0.7.0.jar|xargs`chmod700` startWLBuilder.sh|xargs`ls–al`#find$WL_HOME/-namePointBase|xargs`chmod700`

# find

$BEA_HOME/

-name更改运行模式为”ProductionMode”12

find$WL_HOME/-namemedrec|xargs`chmod700`#检查不必要工具文件，并改名为.predeleted#mvconfig_builder.sh config_builder.sh.predeleted#mvstartWLBuilder.sh startWLBuilder.sh.predeleted#mvjcommon-0.7.0.jar #mvPointBase PointBase.predeleted#mvmedrecmedrec .predeleted以治理员身份登录治理掌握台点击域名，在右侧面板选中”Genaral”标签勾选”ProductionMode，更改运行模式为”Production

jcommon-0.7.0.jar|xargs`ls–al`#find$WL_HOME/-namePointBase|xargs`ls–al`#find$WL_HOME/-namemedrec|xargs`ls–al`root身份执行：#find$BEA_HOME/-namemyserver.log|grep–i“ProductionMode”#find$BEA_HOME/ -namesetEnv.sh|grep–i “ProductionMode”,点击域名，在右侧面板选中”Genaral”标签,查看禁用 Send Server 以治理员身份登录治理掌握台

是否勾选”ProductionMode”以治理员身份登录治理掌握台header13

Servers文件夹，选择要治理的效劳器在右侧面板“Protocols”面板下，点击标签SendServerheader项前面的勾,SendServerheader

点击域名下的Servers治理的效劳器在右侧面板“Protocols”面板下，点击标签SendServerheader删除sample程序 以治理员身份登录治理掌握台点击”Deployment”文件夹，查看是否有如下形式应用存在：2．find$BEA_HOME/-namesample|xargs`rm–rf`14重在应用程序编辑<ApplicationHOME>/WEB-INF/web.xml，参加error-定义

root权限执行#find$BEA_HOME/-namesample–print以治理员身份登录治理掌握台点击”Deployment”文件夹，查看是否有如下形式应用存在：开放”Deployment”子文件夹，查看是否存在以上形式内容，其path中包含“samples“名目root身份执行：web.xml中定义默认出错页面依据具体应用，合理设置session超时时间

web.xmlsession超时时间，例如，以下设置表示session超时时间为15分钟<session-config><session-timeout>15</session-timeout></session-config>

# cat HOME>/WEB-INF/web.xml检查是否在应用程序的web.xml中定义了session超时时间在不影响业务的状况

安装最安全相关补丁包，安全补丁下载需要 BEA公司授权，WebLogic安全公告1.以治理员身份登录治理掌握台,右键点下升级到最补丁，URL： 击左侧面板ConWLe图标，选择“View而且该补丁要通过实

“://dev2dev.bea/advisoriesnotifications/“://dev2dev.bea/advisoriesnotifications/

Server&BrowserInfo”,查看