Weblogic中间件安全配置基线检查指导文件

Weblogic中间件安全配置基线

目录第1章 概述 31.1目的 31.2适用范围 31.3适用版本 31.4安全基线说明 3第2章 基本安全配置 32.1 锁定账号策略打开 32.2 失败锁定允许尝试次数 42.3 口令尝试错误锁定持续时间 52.4 口令长度复杂度 52.5 是否启用SSL监听 62.6 设置sockets最大连接数 72.7 更改默认端口 82.8 是否设置超时登出 82.9 错误页面重定向 9第3章 增强安全配置 113.1 启用HTTP访问日志 113.2 安装官方最新补丁 12概述1.1目的本文档旨在指导Weblogic中间件安全合规配置。1.2适用范围本配置标准适用的范围包括：Weblogic中间件。1.3适用版本Weblogic中间件1.4安全基线说明本安全基线标准主要包含账户锁定安全、登录失败安全、口令安全、SSL监听、最大连接数、默认端口、错误页面冲定向、安全访问等几个方面，基线内容包括11项安全基线。基本安全配置锁定账号策略打开安全基线项目名称WebLogic启动帐号安全基线要求项安全基线编号WFNX-Weblogic-01安全基线项说明避免攻击者暴力破解帐号密码检测操作步骤参考配置操作控制台中选择安全领域->myrealm->配置->用户封锁，检查“启用封锁”是否勾选基线符合性判定依据1.判定条件用户封锁，检查“启用封锁”勾选加固标准控制台中选择安全领域->myrealm->配置->用户封锁，勾选“启用封锁”现状检查结果□符合□不符合整改结果备注失败锁定允许尝试次数安全基线项目名称WebLogic帐号失败锁定基线要求项 安全基线编号WFNX-Weblogic-02安全基线项说明要求设定帐号锁定次数和时间，错误输入密码5次，系统自动锁定。检测操作步骤1.参考配置操作控制台中选择安全领域->myrealm->配置->用户封锁，检查“封锁标准值”是否为小于等于5的值。基线符合性判定依据1.判定条件用户封锁，检查“封锁标准值”小于等于5。加固标准控制台中选择安全领域->myrealm->配置->用户封锁，“封锁标准值”设置为5.。现状检查结果□符合□不符合整改结果备注口令尝试错误锁定持续时间安全基线项目名称WebLogic口令错误锁定时间基线要求项安全基线编号WFNX-Weblogic-03安全基线项说明用户口令要求设定帐号锁定次数和时间，错误输入密码5次，系统自动锁定，锁定时间一般大于等于30检测操作步骤1.参考配置操作控制台中选择安全领域->myrealm->配置->用户封锁，检查“封锁持续时间”是否为大于等于30的值。基线符合性判定依据1.判定条件用户封锁，检查“封锁持续时间”大于等于30的值。加固标准控制台中选择安全领域->myrealm->配置->用户封锁，“封锁持续时间”设置为30。现状检查结果□符合□不符合整改结果备注口令长度复杂度安全基线项目名称WebLogic口令复杂度基线要求项安全基线编号WFNX-Weblogic-04安全基线项说明对于采用静态口令认证技术的设备，口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号四类中至少两类。检测操作步骤1.参考配置操作控制台中选择安全领域->myrealm->提供程序->选择DefaultAuthenticator->配置，检查“提供程序特定“里“最小口令长度”的值是否大于等于8基线符合性判定依据1.判定条件配置，检查“提供程序特定“里“最小口令长度”的值大于等于8加固标准控制台中选择安全领域->myrealm->提供程序->选择DefaultAuthenticator->配置，“提供程序特定“里“最小口令长度”的值设置为8现状检查结果□符合□不符合整改结果备注是否启用SSL监听安全基线项目名称WebLogicSSL监听安全基线要求项安全基线编号WFNX-Weblogic-05安全基线项说明WebLogic采用SSL加密HTTP连接检测操作步骤1.参考配置操作登录管理控制台，选择“服务器”->“服务器名”->“配置”标签->“一般信息”标签，检查是否勾选“启用SSL监听端口”登录管理控制台，选择“服务器”->“服务器名”->“配置”标签->“一般信息”标签，检查设置访问端口号是否为默认的443，如果不是443代表已经进行了修改。加固标准登录管理控制台，选择“服务器”->“服务器名”->“配置”标签->“一般信息”标签，勾选“启用SSL监听端口”；登录管理控制台，选择“服务器”->“服务器名”->“配置”标签->“一般信息”标签，设置访问端口号。基线符合性判定依据1.判定条件配置”标签->“一般信息”标签，勾选“启用SSL监听端口”；默认为443，可修改为其他端口。现状检查结果□符合□不符合整改结果备注设置sockets最大连接数安全基线项目名称WebLogic设置sockets最大连接数安全基线要求项安全基线编号WFNX-Weblogic-06安全基线项说明节省weblogic服务器资源，防止连接耗尽攻击检测操作步骤1.参考配置操作登录管理控制台，选择“服务器”->“服务器名”->“配置”标签->“优化”或“调整”标签，检查数值是多少。应根据实际情况修改“最大打开套接字数”，不能为-1（无限制）基线符合性判定依据1.判定条件登录管理控制台，选择“服务器”->“服务器名”->“配置”标签->“优化”或“调整”标签，检查数值是多少。加固标准登录管理控制台，选择“服务器”->“服务器名”->“配置”标签->“优化”或“调整”标签，应根据实际情况修改“最大打开套接字数”。（不能为-1（无限制））现状检查结果□符合□不符合整改结果备注应根据实际情况修改“最大打开套接字数”，不能为-1（无限制）更改默认端口安全基线项目名称WebLogic运行端口安全基线要求项安全基线编号WFNX-Weblogic-07安全基线项说明更改WebLogic服务器默认端口检测操作步骤1.参考配置操作登录管理控制台，选择“服务器”->“服务器名”->“配置”标签->“一般信息”标签，查看是否取消“监听端口”，或者设置访问端口号为非默认7001，如：8001基线符合性判定依据1.判定条件查看是否取消“监听端口”，或者设置访问端口号为非默认7001，如：8001加固标准登录管理控制台，选择“服务器”->“服务器名”->“配置”标签->“一般信息”标签，取消“监听端口”，或者设置访问端口号为非默认7001，如：8001现状检查结果□符合□不符合整改结果备注根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。可能会影响系统。是否设置超时登出安全基线项目名称WebLogic超时登出安全基线要求项安全基线编号WFNX-Weblogic-08安全基线项说明防止攻击者利用XSS或是CSRF等方法劫持会话，盗取用户身份，同时节省weblogic服务器资源检测操作步骤1.参考配置操作https超时登出登录管理控制台，选择“域”->“环境”->“服务器”->“AdminServer“->”配置“->“优化”或“调整”标签，检查SSL登录超时的值是否进行了设置，可以设置为10000，单位：秒http超时登出登录管理控制台，选择“域”->“环境”->“服务器”->“AdminServer“->”配置“->“优化”标签，检查登录超时是否进行了设置，可以设置为5000，单位：秒基线符合性判定依据1.判定条件检查登录超时是否进行了设置。加固标准https超时登出登录管理控制台，选择“域”->“环境”->“服务器”->“AdminServer“->”配置“->“优化”或“调整”标签，设置SSL登录超时的值，可以设置为10000，单位：秒http超时登出登录管理控制台，选择“域”->“环境”->“服务器”->“AdminServer“->”配置“->“优化”标签，设置登录超时，可以设置为5000，单位：秒现状检查结果□符合□不符合整改结果备注错误页面重定向安全基线项目名称WebLogic错误页面重定向安全基线要求项安全基线编号WFNX-Weblogic-09安全基线项说明WebLogic错误页面重定向检测操作步骤1.参考配置操作使用系统的应用帐号进入以下目录：NSF{wlshome}/server/lib/consoleapp/webapp/WEB-INF/web.xml文件，检查文件中是否添加web-app/error/exception-type节点，如果有代表已经进行了加固。如果没有则不通过基线符合性判定依据1.判定条件要求包含如下片段：<error><exception-tipe>*</exception-tipe><location>error.html</location></error>或者<error><error-code>404</error-code><location>/errors/404.jsp</location></error><error><error-code>500</error-code><location>/errors/500.jsp</location></error><error><error-code>503</error-code><location>/errors/503.jsp</location></error>。加固标准用系统的应用帐号进入以下目录：NSF{wlshome}/server/lib/consoleapp/webapp/WEB-INF/web.xml文件，文件中添加web-app/error/exception-type现状检查结果□符合□不符合整改结果备注增强安全配置启用HTTP访问日志安全基线项目名称WebLogicHTTP访问日志安全基线要求项安全基线编号WFNX-Weblogic-10安全基线项说明对运行错误、用户访问等进行记录，记录内容包括时间，用户使用的IP地址等内容。检测操作步骤1.参考配置操作登录管理控制台，选择“服务器”->“服务器名”->“日志记录”标签->“HTTP”标签，设置服务器日志：点击“启用HTTP访问日志文件”，是否有设置日志文件基线符合性判定依据1.判定条件点击“启用HTTP访问日志文件”，是否有设置日志文件加固标准登录管理控制台，选择“服务器”->“服务器名”->“日志记录”标签->“HTTP”标签，设置服务器日志：点击“启用HTTP访问日志文件”，设置日志文件现状检查结果□符合□不符合整改结果备注安装官方最新