Weblogic 整改方法

Weblogic 整改方法

 

1 应对登陆操做系统和数据库的用户进行身份标识和鉴别

 

全部应用系统的weblogic都要登陆名与密码

2 密码复杂度要求

 

Home > Summary of Servers > Summary of Security Realms > myrealm > Users and Groups > Providers > DefaultAuthenticator   

这个参数是weblogic默认值，只要检查一下是否是以下图就能够，若是不是要修改成8

3 密码是否认期修改、要配置Weblogic的失败处理功能，

Lockout Threshold 设置尝试登陆次数 为5

Lockout Duration 设置帐号锁定时间 3

Lockout Reset Duration 设置失败尝试时间 3

Lockout cache size 5 不操做几分钟后注销用户

 

 

4 开启SSL

选上SSL listen port enabled   端口不能与如今端口重复

5 检查不一样的用户分配不一样的用户名

说明相应用户的做用

6检查Weblogic应用服务器，查看其是否采用两种/以上身份鉴别技术的组合来进行身份验证。

 

 

 

 

 

 

 

 

访问控制

1 检查Weblogic 应用服务器的安全策略，查看操做系统对这些重要文件的访问权限是否进行了限制，（检查weblogic安装目录，与域目录的访问权限）；修改weblogic控制区端口，不能为7001，能够经过启动管理端口，Enable Administration Port , 并指定管理端口

2 检查服务器操做系统与weblogic应用服务器检查用户权限分离的状况；

操做系统应分为不一样的帐号，管理不一样的工做；root 为管理员，weblogic用户为启动关闭weblogic应用的用户；在weblogic中用户应分为监控用的用户与管理员用户。

 

3 检查weblogic应用服务器与操做系统管理员是否由不一样的管理员担任

 

回答是，weblogic由系统管理员作，操做系统管理员由平台组作

 

4 限制weblogic用户在操做系统中只能查weblogic的内容

 

5 检查主要服务器操做系统和weblogic应用服务器材查看匿名/默认的访问权限是否已补禁用或者严格限制，是否删除多余、过时的的共享帐户。

 

这一项检查系统才知

 

6 是否依据安全策略严格控制用户对有敏感标记重要信息资源的操做

 

安全审计

 

1 检查weblogic 是否开了日志审计

 Weblogic 默认打开审计日志功能，并检查HTTP是否有打开审计

选上HTTP access log file enabled,   要重启应用才生效

 

2 检查主要服务器操做系统、终端操做系统、weblogic应用服务器的安全审计配置是否符合审计策略的要求

 

Weblogic 的安全审计要求 默认值  能够知足要求， DEBUG级别就进行记录。

3 检查主要服务器操做系统、终端操做系统、weblogic应用服务器的安全审计配置是否包括发生日期、触发事件的主体、客体、事件的类型、事件成功或失败、事件的结果。

weblogic默认值能够知足要求

 

4 保证审计日志文件应用设置访问权限，禁止未经受权的用户访问，

若是weblogic安装在windows系统中，要确保everyone 没有访问相应目录的权限；在linux 文件的权限应为640，同时日志建议保留2个月以上。

 

5检查是否为受权用户提供浏览和分析审计记录的功能，是否能够根据须要生成不一样的格式审计报表

 

Weblogic控制区能够进行表格式显示、并行进行排序等

 

6 测试weblogic应用服务器，非审计员的帐号没法中断审计进程，

 

只有有启动关闭weblogic进程的用户才能中断审计进程； 默认是无问题

 

剩余信息保护

 

1 访谈系统管理员， 回答 用户的鉴别信息存储空间会自动释放或再分配时自动删除记录，系统的存储空间分配给别的用户时会先删除文件

2 回答， 数据库记录等资源分配给别的用户前会删除全部记录。

3 用户退出weblogic控制区后自动清除信息，只能在IE里实现 ，weblogic 不会记录密码。

 

 

入侵防范

 

1、2问应该回答确定的，1、二项在网络设备里实现，

3 有按期备份应用文档与weblogic配置文件，并作按期的恢复测试。

4 检查版本号

5 禁用 servers->protocols->http->send server header

 

6  按下图设置，hostname verification 为BEA Hostname Verifier

 

资源控制

 

1 检查weblogic 应用服务器，查看是否设定了终端接入方式、网络地址范围等条件限制终端登陆， 、

回答有，要运行接入认证系统才能登陆IDC里的系统

 

2与书本对应位置不一样，weblogic 9.2按如下方法处理，要重启weblogic

查看domain-configuration general--advanced--console session timeout参数值配置(建议为300)WLS10.3之后才能直接修改

WLS9.2修改方法：WLS安装目录/weblogic923/weblogic92/server/lib/consoleapp/webapp/WEB-INF/weblogic.xml 找到 <session-param> <param-name>TimeoutSecs</param-name> <param-value>3600</param-value> </session-param> <session-param> <param-name>CookieName</param-name> <param-value>ADMINCONSOLESESSION</param-value> </session-param> 将TimeOutSecs的value值从3600改为300，就是链接会话超时控制的时间变成了5分钟

 

3 检查主要服务器操做系统，查看其是否对CPU，硬盘，内存和网络等资源的使用进行监控。

 

IT集中监控已实现功能

 

4  设置Maximun open sockets  通常为250   营销系统因为使用者比较多，修改值为500，

 

Weblogic 9.2 要在cofing.xml  中设置

检查Servers-〉Configuration-〉Tuning，检查Maximum Open Sockets参数值（建议250）。

在config.xml文件</ssl>后面加入代码<max-open-sock-count>250</max-open-sock-count>(要求中止应用重启adminserver) managedserver在config.xml文件<name>Server1</name>后面加入代码<max-open-sock-count>250</max-open-sock-count>(要求中止应用,重启adminserver)

 

5检查主要服务器操做系统，服务水平下降到预先规定的最小值时，参检测和报警

 

IT集中监控已实现功能

来自为知笔记(Wiz)