WebLogicWeb服務(wù)器安全配置基線

1、WebLogic Web 服務(wù)器安全配置基線中國移動通信有限公司管理信息系統(tǒng)部2012年04月版本版本控制信息更新日期更新人審批人V1.0創(chuàng)建2009年4月V2.0更新2012年4月備注:1.若此文檔需要日后更新，請創(chuàng)建人填寫版本控制表格，否則刪除版本控制表格。第1章概述41.1 目的41.2 適用范圍41.3 適用版本41.4 實施41.5 例外條款4第2章帳號管理、認(rèn)證授權(quán) 52.1 帳號52.1.1 系統(tǒng)啟動帳號52.1.2 帳號鎖定策略52.2 口令62.2.1 密碼復(fù)雜度6第3章日志配置操作73.1 日志配置73.1.1 審核登錄7第4章 IP協(xié)議安全配置 84.1 IP 協(xié)議84.

2、1.1 支持加密協(xié)議 84.1.2 限制應(yīng)用服務(wù)器 Socket數(shù)量 84.1.3 禁用 Send Server Header 9第5章設(shè)備其他配置操作 105.1 安全管理 105.1.1 定時登出105.1.2 更改默認(rèn)端口 * 105.1.3 錯誤頁面處理 115.1.4 目錄列表訪問限制 11第6章 評審與修訂12第1章概述1.1 目的本文檔規(guī)定了中國移動通信有限公司管理信息系統(tǒng)部門所維護管理的WebLogic Web服務(wù)器應(yīng)當(dāng)遵循的安全性設(shè)置標(biāo)準(zhǔn)， 本文檔旨在指導(dǎo)系統(tǒng)管理人員進行 WebLogic Web服務(wù)器 的安全配置。1.2 適用范圍本配置標(biāo)準(zhǔn)的使用者包括：服務(wù)器系統(tǒng)管理員、應(yīng)

3、用管理員、網(wǎng)絡(luò)安全管理員。本配置標(biāo)準(zhǔn)適用的范圍包括：支持中國移動集團公司管理信息系統(tǒng)部運行的WebLogicWeb服務(wù)器系統(tǒng)。1.3 適用版本8.x 9.x 10.x 版本的 WebLogic Web 服務(wù)器。1.4 實施本標(biāo)準(zhǔn)的解釋權(quán)和修改權(quán)屬于中國移動集團管理信息系統(tǒng)部，在本標(biāo)準(zhǔn)的執(zhí)行過程中若有任何疑問或建議，應(yīng)及時反饋。本標(biāo)準(zhǔn)發(fā)布之日起生效。1.5 例外條款欲申請本標(biāo)準(zhǔn)的例外條款，申請人必須準(zhǔn)備書面申請文件，說明業(yè)務(wù)需求和原因，送交中國移動通信有限公司管理信息系統(tǒng)部進行審批備案。第2章帳號管理、認(rèn)證授權(quán)2.1 帳號2.1.1系統(tǒng)啟動帳號安全基線項 目名稱WebLogic啟動帳號安全基線要

4、求項安全基線編 號SBL-WebLogic-02-01-01安全基線項 說明要求限制帳號檢測操作步 驟1、參考配置操作查看以管理員身份登錄控制臺執(zhí)行 # ps -ef| grep - weblogic基線符合性 判定依據(jù)1、判定條件執(zhí)仃帳號不可以是 root和nobody。備注2.1.2帳號鎖定策略安全基線項 目名稱WebLogic帳號鎖定安全基線要求項安全基線編 號SBL-WebLogic-02-01-02安全基線項 說明要求設(shè)定帳號鎖定次數(shù)和時間，錯誤輸入密碼10次，系統(tǒng)自動鎖定，鎖定時間5分鐘。檢測操作步 驟1、參考配置操作查看以管理員身份登錄控制臺1點擊左側(cè)面板”Security ”文

5、件夾，展開”REALM ”2. 點擊右側(cè)面板中的User Lock標(biāo)簽，查看Lockout Enabled , LockoutThreshold , Lockout Duration 等基線符合性 判定依據(jù)1、判定條件要求 Lockout Enabled=true;Lockout Threshold=10;Lockout Durati on=5備注2.2 口令2.2.1密碼復(fù)雜度安全基線項 目名稱WebLogic密碼復(fù)雜度安全基線要求項安全基線編 號SBL-WebLogic-02-02-01安全基線項 說明對于米用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，口令長度至少8位，并包括數(shù)字、小寫字母、大寫字母和特殊符

6、號四類中至少兩類。且5次以內(nèi)不得設(shè)置相同的口令。密碼應(yīng)至少每 90天進行更換。檢測操作步 驟1、參考配置操作查看 WebLogic安裝目錄下的 perties配置文件2、補充操作說明口令要求：口令長度至少8位，并包括數(shù)字、小與字母、大與字母和特殊符號四類中至少兩類。 且5次以內(nèi)不得設(shè)置相同的口令。密碼應(yīng)至少每90天進行更換?；€符合性 判定依據(jù)1、判定條件weblogic.system.minPasswordLen=8 等備注第3章日志配置操作3.1 日志配置3.1.1審核登錄安全基線項 目名稱WebLogic審核登錄安全基線要求項安全基線編 號SBL-WebLogic

7、-03-01-01安全基線項 說明設(shè)備應(yīng)配置日志功能，對用戶登錄進行記錄，記錄內(nèi)容包括用戶登錄使用的 帳號，登錄是否成功，登錄時間，以及遠(yuǎn)程登錄時，用戶使用的IP地址。檢測操作步 驟1、參考配置操作查看 WebLogic安裝目錄下的 perties配置文件基線符合性 判定依據(jù)1、判定條件開啟日志，配置按日期rotateweblogic.system.e nableReverseDNSLookups=true備注第4章IP協(xié)議安全配置4.1 IP協(xié)議4.1.1支持加密協(xié)議4.1.2限制應(yīng)用服務(wù)器Socket數(shù)量安全基線項 目名稱WebLogic支持加密協(xié)議安全基線要求項安

8、全基線編 號SBL-WebLogic-04-01-01安全基線項 說明對于通過HTTP協(xié)議進行遠(yuǎn)程維護的設(shè)備，設(shè)備應(yīng)支持使用HTTPS等加密協(xié)議。檢測操作步 驟1、參考配置操作查看 WebLogic安裝目錄下的 perties配置文件基線符合性 判定依據(jù)1、判定條件weblogic.system.SSLListe nPort=portNumber weblogic.security.certificate.server= mycert.der weblogic.security.key.server= mykey.der weblogic.security.certif

9、icate.authority= CA.der weblogic.security.certificateCacheSize= 5 weblogic.security.clie ntRootCA= anyValidCertificate weblogic.httpd.register.authe nticated= weblogic.t3.srvr.Clie ntAuthe nticati on Servlet weblogic.httpd.register.T3Admi nCaptureRootCA=admi n.T3Admi nCaptureRootCA SSL En abled=true

10、備注安全基線項 目名稱WebLogic限制應(yīng)用服務(wù)器Socket數(shù)量安全基線要求項安全基線編 號SBL-WebLogic-04-01-02安全基線項 說明Sockets最大打開數(shù)目設(shè)置不當(dāng)?shù)脑挘菀资艿骄芙^服務(wù)攻擊，超出操作系統(tǒng)文件描述符限制檢測操作步1、參考配置操作中國移動通信驟以管理員身份登錄管理控制臺1點擊左側(cè)面板的域名文件夾，然后點擊Servers文件夾，雙擊要管理的服務(wù)器2.在右側(cè)面板的Configuration 面板下選擇Tuning標(biāo)簽，查看MaximumOpe n Sockets 值基線符合性 判定依據(jù)1、判定條件要求 Maximum Open Sockets 不大于 1024

11、。備注4.1.3 禁用 Send Server Header安全基線項 目名稱WebLogic禁用Send Server Header安全基線要求項安全基線編 號SBL-WebLogic-04-01-03安全基線項 說明Sockets最大打開數(shù)目設(shè)置不當(dāng)?shù)脑?，容易受到拒絕服務(wù)攻擊，超出操作系統(tǒng)文件描述符限制檢測操作步 驟1. 參考配置操作以管理員身份登錄管理控制臺1點擊域名下的Servers文件夾，選擇要管理的服務(wù)器2. 在右側(cè)面板Protocols面板下，點擊 HTTP標(biāo)簽3. 檢查是否勾選 Send Server header基線符合性 判定依據(jù)1、判定條件要求禁止 Send Server

12、 header備注第5章設(shè)備其他配置操作5.1 安全管理5.1.1定時登出安全基線項 目名稱WebLogic定時登出安全基線要求項安全基線編 號SBL-WebLogic-05-01-01安全基線項 說明對于具備字符交互界面的設(shè)備，應(yīng)支持定時帳戶自動登出。登出后用戶需再 次登錄才能進入系統(tǒng)。檢測操作步 驟1、參考配置操作查看 WebLogic安裝目錄下的 perties配置文件 自動登出時間為5分鐘?；€符合性 判定依據(jù)1、判定條件weblogic .login. readTimeoutMillis=in tegerweblogic.logi n.readTimeoutM

13、illisSSL=in teger備注5.1.2更改默認(rèn)端口安全基線項 目名稱WebLogic運行端口安全基線要求項安全基線編 號SBL-WebLogic-05-01-02安全基線項 說明更改WebLogic服務(wù)器默認(rèn)端口檢測操作步 驟1、參考配置操作查看 WebLogic安裝目錄下的 perties配置文件基線符合性 判定依據(jù)1、判定條件weblogic.syste m.l iste nPort= in teger備注根據(jù)應(yīng)用場景的不冋，如部署場景需開啟此功能，則強制要求此項?？赡軙?影響系統(tǒng)。5.1.3錯誤頁面處理安全基線項 目名稱WebLogic錯誤頁面處理安全基線要求項安全基線編 號SBL-WebLogic-05-01-03安全基線項 說明WebLogic錯誤頁面重疋向檢測操作步 驟1、參考配置操作查看（Application HOME/WEB-INF/web.xml:基線符合性 判定依據(jù)1、判定條件 要求包含如下片段：+J*/eKC eption-typwl cation err or.taiioQ*/error-page*1備注5.1.4目錄列表訪問限制安全基線項 目名稱WebLogic目錄列表安全基線要求項