WebLogic 之安全配置_weblogic安全配置

2401_85192478 2024-09-01 16:33:01 阅读 100

7.开启安全审计

【说明】如果开启了 Weblogic Security Service提供的 AuditingProvider,日志会存在以下位置:DomainName\DefaultAuditRecorder.log

 可以通过以下位置设置:AdministrationConsole on the Security → Realms→ RealmName → Providers → Auditors page.

8.限制发送主机名和版本号,禁用 Send Server header

缺省条件下,当Weblogic Server响应HTTP请求时,在其HTTP响应的包头中包括服务器的名称和Weblogic版本号,这会导致服务器信息的泄漏。为防止恶意的攻击,获取更多服务器信息,应该禁止发送服务器标头。

加固方法:登录控制台选择 [环境]–>[服务器]–>服务器选择–>[协议]–>[HTTP],取消勾选"发送服务器标头",保存,激活更改。

9.运行模式设置为生产模式

WebLogic有两种工作模式,一种是开发模式,另一种是生产模式。开发模式下,启用了自动部署;生产模式下,关闭了自动部署。

加固方法:登录控制台选择[域名]–>[配置]–>[常规],勾选"生产模式",保存,激活更改。

10.限制打开套接字数量

Sockets最大打开数目设置不当的话,容易受到拒绝服务攻击,超出操作系统文件描述符限制。

加固方法1:登录控制台选择[环境]–>[服务器]–>服务器选择–>[配置]–>[优化],修改"最大打开套接字数"为254或其它用户设定值,保存,激活更改。

加固方法2:修改config.xml

在中间,后面加 250

11. 以非root 用户运行 WebLogic

WebLogic进程的用户应该是非超级用户。查看当前系统的 WebLogic进程,确认程序启动时使用的身份。禁用超级用户启动 WebLogic。

加固方法:

创建 WebLogic 组: groupadd WebLogic创建 WebLogic 用户并加入WebLogic 组useradd WebLogic -g WebLogic以 WebLogic 身份启动服务

12.配置默认出错页面

WebLogic应配置错误页面重定向,URL 地址栏中输入错误地址后,应跳转至指向指定错误页面。

加固方法:

修改<WebLogic_install_dir_path>/server/lib/consoleapp/webapp/WEB-INF/web.xml文件,添加web-app/error-page/exception-type节点。

13.设置加密协议

对于通过HTTP 协议进行远程维护的设备,设备应支持使用 HTTPS 等加密协议。

加固方法:

启用SSL监听,登录控制台选择 [环境]–>[服务器]–>服务器选择–>[一般信息],勾选"启用SSL监听端口",保存,激活更改。

修改SSL默认监听端口,登录控制台选择[环境]–>[服务器]–>服务器选择–>[一般信息],设置SSL监听端口号(非7002),保存,激活更改。

配置SSL拒绝日志记录,登录控制台选择 [环境]–>[服务器]–>服务器选择–>[配置]–>[SSL],,点击[高级],勾选"启用SSL拒绝日志记录",保存,激活更改。

配置主机名认证,登录控制台选择 [环境]–>[服务器]–>服务器选择–>[配置]–>[SSL]–>高级,主机名验证选择"BEA主机名验证",保存,激活更改。

修改主机名认证器,登录控制台选择[环境]–>[服务器]–>服务器选择–>[配置]–>[SSL]–>高级,定制主机名验证器为空,保存,激活更改。

14.使用防火墙或 Weblogic Server connection filters

加固方法:

使用防火墙限制 Weblogic Server域外到域的连接;使用

Connection Filters限制 Weblogic Server域内的连接。更多信息可参考http://e-

docs.bea.com/wls/docs70/secmanage/domain.html#connection_filte

15.配置超时退出

对于具备字符交互界面的设备,应支持定时账户自动登出。登出后用户需再次登录才能进入系统。设置http超时登出,https超时登出以及控制台会话超时。

加固方法:

设置http超时登出,登录控制台选择 [环境]–>[服务器]–>服务器选择–>[配置]–>[优化],登录超时设置为不大于5000的值,保存,激活更改。

设置https超时登出,登录控制台选择 [环境]–>[服务器]–>服务器选择–>[配置]–>[优化],SSL登录超时设置为不大于10000的值,保存,激活更改。

设置控制台会话超时,登录控制台选择 [域名]–>[配置]–>[一般信息]–>[高级],修改控制台会话超时为不大于300的值,保存,激活更改。

16.应用最新的 BEA 补丁

考虑实施官方最新的安全建议

注册BEA Advisories & Notifications(http://dev2dev.bea.com/advisories)以便收到最新的安全建议信息。

从http://commerce.beasys.com/downloads.可以下载 Service Pack

在这里插入图片描述

参考链接 :

给大家的福利

零基础入门

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

同时每个成长路线对应的板块都有配套的视频提供:

在这里插入图片描述

因篇幅有限,仅展示部分资料

网络安全面试题

绿盟护网行动

还有大家最喜欢的黑客技术

网络安全源码合集+工具包

找作者获取【vip204888】

所有资料共282G,朋友们如果有需要全套《网络安全入门+黑客进阶学习资源包》,可以扫描下方二维码领取(如遇扫码问题,可以在评论区留言领取哦)~



声明

本文内容仅代表作者观点,或转载于其他网站,本站不以此文作为商业用途
如有涉及侵权,请联系本站进行删除
转载本站原创文章,请注明来源及作者。