Weblogic 整改方法
1 应对登录操作系统和数据库的用户进行身份标识和鉴别
所有应用系统的weblogic都要登录名与密码
2 密码复杂度要求
Home > Summary
of Servers > Summary of Security Realms > myrealm > Users and Groups
> Providers > DefaultAuthenticator
这个参数是weblogic默认值,只要检查一下是不是如下图就可以,如果不是要修改为8
3 密码是否定期修改、要配置Weblogic的失败处理功能,
Lockout Threshold 设置尝试登录次数 为5
Lockout Duration 设置账号锁定时间 3
Lockout Reset
Duration 设置失败尝试时间 3
Lockout cache size
5 不操作几分钟后注销用户
4 开启SSL
选上SSL listen port enabled 端口不能与现在端口重复
5 检查不同的用户分配不同的用户名
说明相应用户的作用
6检查Weblogic应用服务器,查看其是否采用两种/以上身份鉴别技术的组合来进行身份验证。
访问控制
1 检查Weblogic 应用服务器的安全策略,查看操作系统对这些重要文件的访问权限是否进行了限制,(检查weblogic安装目录,与域目录的访问权限);修改weblogic控制区端口,不能为7001,可以通过启动管理端口,Enable
Administration Port , 并指定管理端口
2 检查服务器操作系统与weblogic应用服务器检查用户权限分离的情况;
操作系统应分为不同的账号,管理不同的工作;root 为管理员,weblogic用户为启动关闭weblogic应用的用户;在weblogic中用户应分为监控用的用户与管理员用户。
3 检查weblogic应用服务器与操作系统管理员是否由不同的管理员担任
回答是,weblogic由系统管理员做,操作系统管理员由平台组做
4 限制weblogic用户在操作系统中只能查weblogic的内容
5 检查主要服务器操作系统和weblogic应用服务器材查看匿名/默认的访问权限是否已补禁用或者严格限制,是否删除多余、过期的的共享账户。
这一项检查系统才知
6 是否依据安全策略严格控制用户对有敏感标记重要信息资源的操作
安全审计
1 检查weblogic 是否开了日志审计
Weblogic 默认打开审计日志功能,并检查HTTP是否有打开审计
选上HTTP access log file enabled, 要重启应用才生效
2 检查主要服务器操作系统、终端操作系统、weblogic应用服务器的安全审计配置是否符合审计策略的要求
Weblogic 的安全审计要求 默认值 可以满足要求, DEBUG级别就进行记录。
3 检查主要服务器操作系统、终端操作系统、weblogic应用服务器的安全审计配置是否包括发生日期、触发事件的主体、客体、事件的类型、事件成功或失败、事件的结果。
weblogic默认值可以满足要求
4 保证审计日志文件应用设置访问权限,禁止未经授权的用户访问,
如果weblogic安装在windows系统中,要确保everyone 没有访问相应目录的权限;在linux
文件的权限应为640,同时日志建议保留2个月以上。
5检查是否为授权用户提供浏览和分析审计记录的功能,是否可以根据需要生成不同的格式审计报表
Weblogic控制区可以进行表格式显示、并行进行排序等
6 测试weblogic应用服务器,非审计员的账号无法中断审计进程,
只有有启动关闭weblogic进程的用户才能中断审计进程; 默认是无问题
剩余信息保护
1 访谈系统管理员, 回答 用户的鉴别信息存储空间会自动释放或再分配时自动删除记录,系统的存储空间分配给别的用户时会先删除文件
2 回答,
数据库记录等资源分配给别的用户前会删除所有记录。
3 用户退出weblogic控制区后自动清除信息,只能在IE里实现
,weblogic 不会记录密码。
入侵防范
1、2问应该回答肯定的,一、二项在网络设备里实现,
3 有定期备份应用文档与weblogic配置文件,并做定期的恢复测试。
4 检查版本号
5 禁用 servers->protocols->http->send server header
6 按下图设置,hostname
verification 为BEA Hostname Verifier
资源控制
1 检查weblogic 应用服务器,查看是否设定了终端接入方式、网络地址范围等条件限制终端登录,
、
回答有,要运行接入认证系统才能登录IDC里的系统
2与书本对应位置不同,weblogic
9.2按以下方法处理,要重启weblogic
|
查看domain-configuration general--advanced--console session timeout参数值配置(建议为300)WLS10.3以后才能直接修改 |
WLS9.2修改方法:WLS安装目录/weblogic923/weblogic92/server/lib/consoleapp/webapp/WEB-INF/weblogic.xml 找到 <session-param> <param-name>TimeoutSecs</param-name> <param-value>3600</param-value> </session-param> <session-param> <param-name>CookieName</param-name> <param-value>ADMINCONSOLESESSION</param-value> </session-param> 将TimeOutSecs的value值从3600改成300,就是连接会话超时控制的时间变成了5分钟 |
3 检查主要服务器操作系统,查看其是否对CPU,硬盘,内存和网络等资源的使用进行监控。
IT集中监控已实现功能
4 设置Maximun
open sockets 一般为250 营销系统由于使用者比较多,修改值为500,
Weblogic 9.2 要在cofing.xml 中设置
|
检查Servers-〉Configuration-〉Tuning,检查Maximum Open Sockets参数值(建议250)。 |
在config.xml文件</ssl>后面加入代码<max-open-sock-count>250</max-open-sock-count>(要求停止应用重启adminserver) managedserver在config.xml文件<name>Server1</name>后面加入代码<max-open-sock-count>250</max-open-sock-count>(要求停止应用,重启adminserver) |
5检查主要服务器操作系统,服务水平降低到预先规定的最小值时,参检测和报警
IT集中监控已实现功能