WebLogicWeb服务器安全配置基线同名23086.docx

WebLogicWeb服务器安全配置基线同名23086.docx

《WebLogicWeb服务器安全配置基线同名23086.docx》由会员分享，可在线阅读，更多相关《WebLogicWeb服务器安全配置基线同名23086.docx（12页珍藏版）》请在冰点文库上搜索。

WebLogicWeb服务器安全配置基线同名23086

WebLogic-Web服务器安全配置基线（同名23086）

WebLogicWeb服务器

安全配置基线

版

本

版本控制信息

更新日期

更新人

审批人

V1.

0

创建

2009

年4月

V2.

0

更新

2012

年4月

备注：

1.若此文档需要日后更新，请创建人填写版本控

制表格，否则删除版本控制表格

第1章概述6

1.1目的6

1.2适用范围6

1.3适用版本6

1.4实施6

1.5例外条款6

第2章帐号管理、认证授权7

2.1帐号7

2.1.1系统启动帐号7

2.1.2帐号锁定策略8

2.2口令9

2.2.1密码复杂度9

第3章日志配置操作11

3.1日志配置11

3.1.1审核登录11

第4章IP协议安全配置13

4.1IP协议13

4.1.1支持加密协议13

4.1.2限制应用服务器Socket数量15

4.1.3禁用SendServerHeader16

第5章设备其他配置操作18

5.1安全管理18

5.1.1定时登出18

5.1.2更改默认端口*19

5.1.3错误页面处理20

5.1.4目录列表访问限制21

第6章评审与修订23

第1章概述

1.1目的本文档旨在指导系统管理人员进行

WebLogicWeb服务器的安全配置。

1.2适用范围本配置标准的使用者包括：

服务器系统管理

员、应用管理员、网络安全管理员。

1.3适用版本

8.x9.x10.x版本的WebLogicWeb服务器。

1.4实施

1.5例外条款

第2章帐号管理、认证授权

2.1帐号

2.1.1系统启动帐号

安全

WebLogic启动帐号安全基线要求项

基线

项目

名称

安全

SBL-WebLogic-02-01-01

基线

编号

安全

要求限制帐号

基线

项说

明

检测

1、参考配置操作

操作

查看以管理员身份登录控制台

步骤

执行#ps-ef|grep-weblogic

基线

1、判定条件

符合

执行帐号不可以是root和nobody。

性判

定依据

备注

2.1.2帐号锁定策略

安全基线项目名称

WebLogic帐号锁定安全基线要求项

安全

基线

编号

SBL-WebLogic-02-01-02

安全基线项说

明

要求设定帐号锁定次数和时间，错误输入密码10次，系统自动锁定，锁定时间5分钟。

检测

操作

步骤

1、参考配置操作

查看以管理员身份登录控制台

1.点击左侧面板Security文件夹，展

开”REALM”

2.点击右侧面板中的”UserLock”标签，

查看LockoutEnabled，LockoutThreshold，LockoutDuration等

基线符合性判定依据

1、判定条件

要求LockoutEnabled=true;

LockoutThreshold=10;

LockoutDuration=5

备注

2.2口令

2.2.1密码复杂度

安全基线项目名称

WebLogic密码复杂度安全基线要求项

安全

基线

编号

SBL-WebLogic-02-02-01

安全基线

对于采用静态口令认证技术的设备，口令长度至少8位，并包括数字、小写字

项说明

母、大写字母和特殊符号四类中至少两类。

且5次以内不得设置相同的口令。

密码应至少每90天进行更换。

检测

操作

步骤

1、参考配置操作

查看WebLogic安装目录下的weblogic.properties配置文件

2、补充操作说明

口令要求：

口令长度至少8位，并包括数字、小与字母、大与字母和特殊符号四类中至少两类。

且5次以内不得设置相同的口令。

密码应至少每90天进行更换。

基线符合性判定依据

1、判定条件

weblogic.system.minPasswordLen=8等

备注

第3章日志配置操作

3.1日志配置

3.1.1审核登录

安全

WebLogic审核登录安全基线要求项

基线

项目

名称

安全

SBL-WebLogic-03-01-01

基线

编号

安全

设备应配置日志功能，对用户登录进行

基线

记录，记录内容包括用户登录使用的帐

项说

号，登录是否成功，登录时间，以及远

明

程登录时，用户使用的IP地址。

检测

1、参考配置操作

操作

查看WebLogic安装目录下的

步骤

weblogic.properties配置文件

基线

1、判定条件

符合

开启日志，配置按日期rotate

性判定依据

weblogic.system.enableReverseDNSLookups=

true

备注

第4章IP协议安全配置

4.1IP协议

4.1.1支持加密协议

安全

WebLogic支持加密协议安全基线要求

基线

项

项目

名称

安全

SBL-WebLogic-04-01-01

基线

编号

安全

对于通过HTTP协议进行远程维护的设

基线

备，设备应支持使用HTTPS等加密协

项说

议。

明

检测

1、参考配置操作

操作

查看WebLogic安装目录下的

步骤

weblogic.properties配置文件

基线

1、判定条件

符合性判定依据

weblogic.system.SSLListenPort=port

Numberweblogic.security.certificate.server=mycert.derweblogic.security.key.server=mykey

.derweblogic.security.certificate.authority=CA.derweblogic.security.certificateCacheSize=5weblogic.security.clientRootCA=any

ValidCertificateweblogic.httpd.register.authenticated=\weblogic.t3.srvr.ClientAuthenticationServletweblogic.httpd.register.T3AdminCaptureRootCA=admin.T3AdminCaptureRootCASSLEnabled="true"

备注

4.1.2限制应用服务器Socket数量

安全基线项目名称

WebLogic限制应用服务器Socket数量安全基线要求项

安全基线编号

SBL-WebLogic-04-01-02

安全基线项说

明

Sockets最大打开数目设置不当的话，容易受到拒绝服务攻击，超出操作系统文件描述符限制

检测

操作

步骤

1、参考配置操作

以管理员身份登录管理控制台

1•点击左侧面板的域名文件夹，然后点击Servers文件夹，双击要管理的服务器

2.在右侧面板的“Configuration”面板下选择“Tuning”标签，查看MaximumOpenSockets值

基线符合

1、判定条件

要求MaximumOpenSockets不大于1024。

性判定依据

备注

4.1.3禁用SendServerHeader

安全基线项目名称

WebLogic禁用SendServerHeader安全基线要求项

安全

基线

编号

SBL-WebLogic-04-01-03

安全基线项说

明

Sockets最大打开数目设置不当的话，容易受到拒绝服务攻击，超出操作系统文件描述符限制

检测

操作

步骤

1、参考配置操作

以管理员身份登录管理控制台

1.点击域名下的Servers文件夹，选择要管理的服务器

2.在右侧面板“Protocols"面板下，点击

HTTP标签

3.检查是否勾选SendServerheader

基线符合性判定依据

1、判定条件

要求禁止SendServerheader

备注

第5章设备其他配置操作

5.1安全管理

5.1.1定时登出

安全基线项目名称

WebLogic定时登出安全基线要求项

安全

基线

编号

SBL-WebLogic-05-01-01

安全基线项说

明

对于具备字符交互界面的设备，应支持定时帐户自动登出。

登出后用户需再次登录才能进入系统。

检测

操作

步骤

1、参考配置操作

查看WebLogic安装目weblogic.properties配置文件自动登出时间为5分钟。

录下的

基线符合性判定依据

1、判定条件

weblogic.login.readTimeoutMillis=integer

weblogic.login.readTimeoutMillisSSL=integer

备注

5.1.2更改默认端口

安全基线项目名称

WebLogic运行端口安全基线要求项

安全基线编号

SBL-WebLogic-05-01-02

安全基线项说

明

更改WebLogic服务器默认端口

检测

操作

步骤

1、参考配置操作

查看WebLogic安装目录下的weblogic.properties配置文件

基线符合性判定依据

1、判定条件

weblogic.system.1istenPort=integer

备注

根据应用场景的不冋，如部署场景需开启此功能，则强制要求此项。

可能会影响系统。

5.1.3错误页面处理

安全基线项目名称

WebLogic错误页面处理安全基线要求项

安全

基线

编号

SBL-WebLogic-05-01-03

安全基线项说

明

WebLogic错误页面重定向

检测

1、参考配置操作

操作步骤

查看

HOME>/WEB-INF/web

vApplication

.xml:

基线

1、判定条件

符合

要求包含如下片段：

性判

+j

定依

■=;eicceptian-typ亡a*vfesception-typo*-1

<1ocaLiani>error.hknl

据

■^/error-page^*1

备注

5.1.4目录列表访问限制

安全基线项目名称

WebLogic目录列表安全基线要求项

安全基线编号

SBL-WebLogic-05-01-04

安全基线项说

明

禁止WebLogic列表显示文件

检测

操作

步骤

1、参考配置操作

查看WebLogic安装目录下的weblogic.properties配置文件

基线符合性判定依据

1、判定条件

weblogic.httpd.indexDirectories=false

备注

第6章评审与修订