WebLogic 安全配置要求及操做指南

范围
适用于使用的 Weblogic 服务器。本规范提出了 Weblogic 服务器安全配置
要求，适用于全部的安全等级，可做为编制设备入网测试、安全验收、安全检查规范等
文档的参考。
因为版本不一样，配置操做有所不一样，本规范以 unix 平台上 Weblogic9.x 为例，给出
参考配置操做。
2 规范性引用文件
GB/T22239-2008《信息安全技术 信息系统安全等级保护基本要求》
YD/T 1736-2008《互联网安全防御要求》
YD/T 1738-2008《增值业务网—消息网安全防御要求》
YD/T 1740-2008《增值业务网—智能网安全防御要求》
YD/T 1758-2008《非核心生产单元安全防御要求》
YD/T 1752-2008《支撑网安全防御要求》
3 缩略语

SSL Secure Sockets Layer 安全套接层
HTTP HyperText Transfer Protocol 超文本传输协议

4 安全配置要求
4.1 帐号
编号：1
要求内容 为不一样的管理用户分配不一样的角色
参考操做

以管理员身份登陆控制台

1. 点击左侧面板”Security”文件夹，展开”REALM”
2. 点击 ”Users” 文件夹，修改非特权用户为角色
   Administrators、Deployers、Monitors、Operators 之一

2 检测方法
一、断定条件
二、检测操做
以管理员身份登陆控制台

1. 点击左侧面板”Security”文件夹，展开”REALM”
2. 点击”Users”文件夹，查看用户所属组及组、全局角色配置

编号：2
要求内容 应删除与设备运行、维护等工做无关的帐号
参考操做

以管理员身份登陆控制台

1. 点击左侧面板”Security”文件夹，展开”REALM”
2. 点击”Users”文件夹，删除与设备运行、维护等工做无关的
   帐号
   检测方法 一、断定条件
   没有与设备运行、维护等工做无关的帐号

编号：3
要求内容 禁止以特权用户身份运行 WebLogic
操做指南 一、参考配置操做
以WebLogic管理员身份登陆管理控制台,执行：

1. 在左面板，点击”Machine”文件夹
2. 在右面板，选择“Configure a New Unix Machine link”
3. 输入 unix 机器名,勾选” Enable Post-bind UID field”并输入用户名,
   该用户名必须对 BEA_HOME 及子目录有彻底控制权限，输入对应组(用
   户名和组名须事先在 OS中单首创建),点击”Apply”按钮. 注意：不要使用
   默认的 nobody用户。

4. 选择”Servers”标签. 从”Available list” 移动 每一个想要的服务器实例到
   “Chosen list”. 而后击”Apply”按钮

检测方法 一、断定条件
以特权用户身份启动应用服务器， 绑定端口以后改变 UID和 GID到非特
权用户和组
二、检测操做
以root身份执行：

ps –ef| grep –i weblogic

以WebLogic管理员身份登陆管理控制台,执行：

1. 在左面板，点击”Machine”文件夹
2. 在右面板，查看是否配置”Unix Machine link”

编号 4：
要求内容 开启主机名认证，设置 Hostname Verification 值为”Bea Hostname
Verifier”
参考操做
设置Hostname Verification值为”Bea Hostname Verifier”
以管理员身份登陆管理控制台：

1. 点击左面板域名文件夹，而后点击“servers”文件夹，点击要管理的

4
服务器名

2. 在右侧面板的”configuration”面板下的”Keystore &SSL”标签中， 点击
   Advanced option中 “Show”项，查看Client attribute下的Hostname
   Verification值,设置为”Bea Hostname Verifier”
   检测方法 一、断定条件
   二、检测操做
   以管理员身份登陆管理控制台：
3. 点击左面板域名文件夹，而后点击“servers”文件夹，点击要管理的
   服务器名
4. 在右侧面板的”configuration”面板下的”Keystore &SSL”标签中， 点击
   Advanced option中 “Show”项，查看Client attribute下的Hostname
   Verification值

4.2 口令
编号：1
要求内容 对于采用静态口令认证技术的设备，口令长度至少 8 位，并包括数
字、小写字母、大写字母和特殊符号 4 类中至少 3 类
操做指南 以管理员身份登陆控制台

1. 点击左侧面板”Security”文件夹，展开”REALM”
2. 点击”Users”文件夹，设置口令长度至少 8 位，并包括数字、小写字
   母、大写字母和特殊符号 4 类中至少 3 类
   检查 WebLogic 安装目录下的 weblogic.properties 配置文件中参数
   weblogic.system.minPasswordLen=8
   检测方法 一、断定条件
   二、检测操做

编号：2
要求内容 对于采用静态口令认证技术的设备， 应配置当用户连续认证失败次数超
过6次（不含6次） ，锁定该用户使用的帐号
操做指南 一、参考配置操做
设定账号锁定次数和时间
以管理员身份登陆控制台

1. 点击左侧面板”Security”文件夹，展开”REALM”
2. 点击右侧面板中的”User Lock”标签，设定 Lockout Enabled，Lockout
   5
   Threshold 值为 5，Lockout Duration 为30（分钟）

检测方法 一、断定条件
二、检测操做
以管理员身份登陆控制台

1. 点击左侧面板”Security”文件夹，展开”REALM”
2. 点击右侧面板中的”User Lock”标签，查看锁定阈值，锁定持续时间，
   锁定重置持续时间
   4.3 日志
   编号 1：
   要求内
   容
   开启日志功能
   参考操
   做

以管理员身份登陆管理控制台

1. 点击域名，在右侧面板选择“Configuration”标签
2. 选择logging标签，设置域级日志，勾选以下图红色标记部分

6

3. 点击域名下 servers 下的服务器名，在右侧面板选择“Logging”标签，选择
   Domain，勾选”Log to Domain Log file”

4. 同上，点击 Server标签，配置服务器级日志，勾选”Log to stdout”等，如
   下红色标记项
   7

5. 同上，点击“HTTP”标签，按以下红色标记部分进行配置

8
检测方法 一、断定条件
开启日志功能

编号 2：
要求内
容
配置日志审计
参考
操做

以管理员身份登陆控制台

1. 点击左侧面板Security文件夹,展开provider,而后点击Auditing文件夹

2. 查看是否配置Auditor，如无则选择”Configure a new Default Auditor”并设置
   审计级另为FAILURE.

3. 点击左侧面板中域名下的服务器，在右侧面板“General”标签中设置
   Configuration Auditing为logAudit

检测方
法
一、断定条件
配置了审计，设置审计级另为 FAILURE，Configuration Auditing 为
logAudit
二、检测操做
以管理员身份登陆控制台

1. 点击左侧面板 Security文件夹,展开 provider,而后点击 Auditing文件夹

2. 查看是否配置 Auditor，对照以下图的红色标记部分配置

   9

3. 点击左侧面板中域名下的服务器，对照以下图的红色标记部分配置
   4.4 Keystore 和SSL设置
   编号 1：
   要求内容 合理设置 WebLogic Keystore 和 SSL
   操做指南 建立用户自已的私有密钥和数字证书
   以管理员身份登陆管理控制台：
4. 点击左面板域名文件夹，而后点击“servers”文件夹，点击要管理的
   服务器名
5. 在右侧面板的”configuration”面板下的”Keystore &SSL”标签中，点
   击Keystore configuration中 “Change”项，改变默认私有密钥设置
6. 同上点击SSL configuration中 “Change”项，改变默认私有密钥设置
7. 同上点击”Advanced option”中”Show”项，勾选” SSLRejection
   Logging Enabled”
   检测方法 以管理员身份登陆管理控制台：
8. 点击左面板域名文件夹，而后点击“servers”文件夹，点击要管理的
   服务器名

10

2. 在右侧面板的”configuration”面板下的”Keystore &SSL”标签中查看
   以下图相应红色标记部分和蓝色标记部分

4.5 Sockets最大打开数量
编号 1：
要求内容 合理设置应用服务器 Sockets 最大打开数量
操做指南 一、 参考配置操做：
11
以管理员身份登陆管理控制台

1. 点击左侧面板的域名文件夹，而后点击Servers文件夹，双
   击要管理的服务器
2. 在右侧面板的“Configuration”面板下选择“Tuning”标签
3. 设置” Maximum Open Sockets”为254 或其它用户设定值
   备注：此项操做需开发人员在测试机修改后测试，应用正常而后
   再在生产机器上修改
   检测方法 以管理员身份登陆管理控制台
4. 点击左侧面板的域名文件夹，而后点击Servers文件夹，双击
   要管理的服务器
5. 在右侧面板的“Configuration”面板下选择“Tuning”标签，查看
   Maximum Open Sockets 值

4.6 文件和目录权限
编号：1
要求内容 合理设置文件与目录权限，没有没必要要的权限，也不存在没必要要
的文件
参考操做

对启动和环境脚本限制权限为710，确认BEA_HOME属主为
weblogic用户，对没必要要的工具文件设置权限为700并改后缀名
为.predeleted
以root 身份执行如下操做：

chown –R “weblogicuser” $BEA_HOME

find $BEA_HOME/ -name *.sh |xargs chmod 710

#检查没必要要工具文件，并将限制权限为 700

tar cvf beahome.date '+%y%m%d'.tar $BEA_HOME

find $WL_HOME/ -name config_builder.sh |xargs chmod 700

find $WL_HOME/ -name startWLBuilder.sh |xargs chmod 700

find $WL_HOME/ -name jcommon-0.7.0.jar |xargs chmod 700

find $WL_HOME/ -name PointBase |xargs chmod 700

find $WL_HOME/ -name medrec |xargs chmod 700

#检查没必要要工具文件，并更名为.predeleted
#mv config_builder.sh config_builder.sh.predeleted
#mv startWLBuilder.sh startWLBuilder.sh.predeleted
#mv jcommon-0.7.0.jar jcommon-0.7.0.jar.predeleted
#mv PointBase PointBase.predeleted
#mv medrec medrec .predeleted
检测方法
以root 身份执行如下操做：

ls –alR $BEA_HOME

find $BEA_HOME/ -name *.sh |xargs ls –al

12
#查找没必要要的工具文件

find $BEA_HOME/ -name config_builder.sh |xargs ls –al

find $BEA_HOME/ -name startWLBuilder.sh |xargs ls –al

find $BEA_HOME/ -name jcommon-0.7.0.jar |xargs ls –al

find $WL_HOME/ -name PointBase |xargs ls –al

find $WL_HOME/ -name medrec |xargs ls –al

4.7 WebLogic运行模式
编号：1
要求内容 更改运行模式为”Production Mode”
参考操做

以管理员身份登陆管理控制台

1. 点击域名，在右侧面板选中”Genaral”标签
2. 勾选” Production Mode”，更改运行模式为” Production
   Mode”
   检测方法
   以root身份执行：

3. find $BEA_HOME/ -name myserver.log | grep –i

   “Production Mode”

   find $BEA_HOME/ -name setEnv.sh | grep –i “Production

   Mode”

4. 以管理员身份登陆管理控制台,点击域名，在右侧面板选
   中”Genaral”标签,查看是否勾选” Production Mode”

4.8 Sender Server Header
编号：1
要求内容 禁用 Send Server header
参考操做

以管理员身份登陆管理控制台

1. 点击域名下的Servers文件夹，选择要管理的服务器
2. 在右侧面板“Protocols”面板下，点击HTTP标签
3. 去掉 Send Server header 项前面的勾,禁止 Send Server
   header
   检测方法
   以管理员身份登陆管理控制台
4. 点击域名下的Servers文件夹，选择要管理的服务器
5. 在右侧面板“Protocols”面板下，点击HTTP标签
6. 检查是否勾选 Send Server header

4.9 删除Sample程序
13
编号：1
要求
内容
删除sample程序
参考
操做

以管理员身份登陆管理控制台
1．点击”Deployment”文件夹，查看是否有以下形式应用存在：
2．# find $BEA_HOME/ -name sample | xargs rm –rf
检测
方法

1. 以root权限执行

   find $BEA_HOME/ -name sample –print

2. 以管理员身份登陆管理控制台
   a) 点击”Deployment”文件夹，查看是否有以下形式应用存在：

   b) 展开”Deployment”子文件夹，查看是否存在以上形式内容，其path中包
   含“samples“目录, 以下图

14

4.10 设定默认出错页面
编号：1
要求内容 从新在应用程序 web.xml 中定义默认出错页面
参考操做

编辑<Application HOME>/WEB-INF/web.xml ， 加入 error-page
定义
检测方法
一、判断依据：

二、检查操做：
以root身份执行：

cat <Application HOME>/WEB-INF/web.xml

4.11 session超时时间
编号：1
要求内容 根据具体应用，合理设置 session 超时时间
参考操做

在应用程序的 web.xml 中定义 session超时时间，例如，如下设
置表示 session超时时间为 15分钟
15
<session-config>
<session-timeout>15</session-timeout>
</session-config>

检测方法 检查是否在应用程序的 web.xml 中定义了 session 超时时间

4.12 补丁
编号：1
要求内容 在不影响业务的状况下，升级到最新补丁，并且该补丁要经过实
验测试
参考操做
安装最新安全相关补丁包，安全补丁下载须要 BEA 公司受权，
WebLogic 安全公告 URL：
http://dev2dev.bea.com/advisoriesnotifications/

检测方法

1. 以管理员身份登陆管理控制台, 右键点击左侧面板ConWLe图
   标，选择“View Server & Browser Info”,查看版本号
   2．以 root 身份执行：

   cat $BEA_HOME/logs/log.txt

4.13 HTTP加密协议
要求内容 对于经过 HTTP 协议进行远程维护的设备，设备应支持使用
HTTPS等加密协议。
操做指南 一、参考配置操做
以管理员身份登陆管理控制台：

1. 点击左面板域名文件夹，而后点击“servers”文件夹，点击要管
   理的服务器名
2. 在右侧面板的”configuration”面板下的”Keystore &SSL”标签
   中，启用 ssl configure
   检测方法 一、断定条件
   二、检测操做

4.14 链接数设置
要求内容 根据机器性能和业务需求，设置最大最小链接数。
操做指南 一、 参考配置操做

16
以管理员身份登陆管理控制台

1. 点击左侧面板的域名文件夹，而后点击Servers文件夹，双击要管理
   的服务器
2. 在右侧面板的“Configuration”面板下选择“Tuning”标签
3. 设置” Maximum Open Sockets”为254 或其它用户设定值 二、 补充操做说明 检测方法 一、断定条件 二、检测操做 检查当前的链接数