信息安全等級(jí)保護(hù)測(cè)評(píng)作業(yè)指導(dǎo)書(shū)（Weblogic）

信息安全測(cè)評(píng)實(shí)施作業(yè)指導(dǎo)書(shū)測(cè)評(píng)層面：Weblogic序號(hào)測(cè)評(píng)項(xiàng)操作步驟預(yù)期結(jié)果1為不同的管理用戶分配不同的角色http://IP:7001/console用戶名weblogic密碼weblogic以管理員身份登錄控制臺(tái)1.點(diǎn)擊左側(cè)面板”Security”文件夾，展開(kāi)”REALM”2.點(diǎn)擊”Users”文件夾，修改非特權(quán)用戶為角色Administrators、Deployers、Monitors、Operators之一以管理員身份登錄控制臺(tái)1.點(diǎn)擊左側(cè)面板”Security”文件夾，展開(kāi)”REALM”2.點(diǎn)擊”Users”文件夾，查看用戶所屬組及組、全局角色配置2應(yīng)刪除與設(shè)備運(yùn)行、維護(hù)等工作無(wú)關(guān)的賬號(hào)以管理員身份登錄控制臺(tái)1.點(diǎn)擊左側(cè)面板”Security”文件夾，展開(kāi)”REALM”2.點(diǎn)擊”Users”文件夾，刪除與設(shè)備運(yùn)行、維護(hù)等工作無(wú)關(guān)的沒(méi)有與設(shè)備運(yùn)行、維護(hù)等工作無(wú)關(guān)的賬號(hào)3禁止以特權(quán)用戶身份運(yùn)行WebLogic以WebLogic管理員身份登錄管理控制臺(tái),執(zhí)行：1.在左面板，點(diǎn)擊”Machine”文件夾2.在右面板，選擇“ConfigureaNewUnixMachinelink”3.輸入unix機(jī)器名,勾選”EnablePost-bindUIDfield”并輸入用戶名,該用戶名必須對(duì)BEA_HOME及子目錄有完全控制權(quán)限，輸入對(duì)應(yīng)組(用戶名和組名須事先在OS中單獨(dú)創(chuàng)建),點(diǎn)擊”Apply”按鈕.注意：不要使用默認(rèn)的nobody用戶4.選擇”Servers”標(biāo)簽.從”Availablelist”移動(dòng)每個(gè)想要的服務(wù)器實(shí)例到“Chosenlist”.然后擊”Apply”按鈕1、判定條件以特權(quán)用戶身份啟動(dòng)應(yīng)用服務(wù)器，綁定端口之后改變UID和GID到非特權(quán)用戶和組2、檢測(cè)操作以root身份執(zhí)行：#ps–ef|grep–iweblogic以WebLogic管理員身份登錄管理控制臺(tái),執(zhí)行：1.在左面板，點(diǎn)擊”Machine”文件夾2.在右面板，查看是否配置”UnixMachinelink”4開(kāi)啟主機(jī)名認(rèn)證，設(shè)置HostnameVerification值為”BeaHostnameVerifier”設(shè)置HostnameVerification值為”BeaHostnameVerifier”以管理員身份登錄管理控制臺(tái)：1.點(diǎn)擊左面板域名文件夾，然后點(diǎn)擊“servers”文件夾，點(diǎn)擊要管理的服務(wù)器名2.在右側(cè)面板的”configuration”面板下的”Keystore&SSL”標(biāo)簽中，點(diǎn)擊Advancedoption中“Show”項(xiàng)，查看Clientattribute下的HostnameVerification值,設(shè)置為”BeaHostnameVerifier”以管理員身份登錄管理控制臺(tái)：1.點(diǎn)擊左面板域名文件夾，然后點(diǎn)擊“servers”文件夾，點(diǎn)擊要管理的服務(wù)器名2.在右側(cè)面板的”configuration”面板下的”Keystore&SSL”標(biāo)簽中，點(diǎn)擊Advancedoption中“Show”項(xiàng)，查看Clientattribute下的HostnameVerification值5對(duì)于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，口令長(zhǎng)度至少8位，并包括數(shù)字、小寫(xiě)字母、大寫(xiě)字母和特殊符號(hào)4類中至少3類以管理員身份登錄控制臺(tái)1.點(diǎn)擊左側(cè)面板”Security”文件夾，展開(kāi)”REALM”2.點(diǎn)擊”Users”文件夾，設(shè)置口令長(zhǎng)度至少8位，并包括數(shù)字、小寫(xiě)字母、大寫(xiě)字母和特殊符號(hào)4類中至少3類3.檢查WebLogic安裝目錄下的perties配置文件中參數(shù)weblogic.system.minPasswordLen=86對(duì)于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，應(yīng)配置當(dāng)用戶連續(xù)認(rèn)證失敗次數(shù)超過(guò)6次（不含6次），鎖定該用戶使用的賬號(hào)設(shè)定帳號(hào)鎖定次數(shù)和時(shí)間以管理員身份登錄控制臺(tái)1.點(diǎn)擊左側(cè)面板”Security”文件夾，展開(kāi)”REALM”2.點(diǎn)擊右側(cè)面板中的”UserLock”標(biāo)簽，設(shè)定LockoutEnabled，LockoutThreshold值為5，LockoutDuration為30（分鐘）以管理員身份登錄控制臺(tái)1.點(diǎn)擊左側(cè)面板”Security”文件夾，展開(kāi)”REALM”2.點(diǎn)擊右側(cè)面板中的”UserLock”標(biāo)簽，查看鎖定閾值，鎖定持續(xù)時(shí)間，鎖定重置持續(xù)時(shí)間7要求內(nèi)容開(kāi)啟日志功能以管理員身份登錄管理控制臺(tái)1.點(diǎn)擊域名，在右側(cè)面板選擇“Configuration”標(biāo)簽2.選擇logging標(biāo)簽，設(shè)置域級(jí)日志，勾選3.點(diǎn)擊域名下servers下的服務(wù)器名，在右側(cè)面板選擇“Logging”標(biāo)簽，選擇Domain，勾選”LogtoDomainLogfile”4.同上，點(diǎn)擊Server標(biāo)簽，配置服務(wù)器級(jí)日志，勾選”Logtostdout”等5.同上，點(diǎn)擊“HTTP”標(biāo)簽進(jìn)行配置開(kāi)啟日志功能8要求內(nèi)容配置日志審計(jì)以管理員身份登錄控制臺(tái)1.點(diǎn)擊左側(cè)面板Security文件夾,展開(kāi)provider,然后點(diǎn)擊Auditing文件夾2.查看是否配置Auditor，如無(wú)則選擇”ConfigureanewDefaultAuditor”并設(shè)置審計(jì)級(jí)另為FAILURE.3.點(diǎn)擊左側(cè)面板中域名下的服務(wù)器，在右側(cè)面板“General”標(biāo)簽中設(shè)置ConfigurationAuditing為logAudit1、判定條件配置了審計(jì)，設(shè)置審計(jì)級(jí)另為FAILURE，ConfigurationAuditing為logAudit2、檢測(cè)操作以管理員身份登錄控制臺(tái)1.點(diǎn)擊左側(cè)面板Security文件夾,展開(kāi)provider,然后點(diǎn)擊Auditing文件夾2.查看是否配置Auditor3.點(diǎn)擊左側(cè)面板中域名下的服務(wù)器9合理設(shè)置WebLogicKeystore和SSL創(chuàng)建用戶自已的私有密鑰和數(shù)字證書(shū)以管理員身份登錄管理控制臺(tái)：1.點(diǎn)擊左面板域名文件夾，然后點(diǎn)擊“servers”文件夾，點(diǎn)擊要管理的服務(wù)器名2.在右側(cè)面板的”configuration”面板下的”Keystore&SSL”標(biāo)簽中，點(diǎn)擊Keystoreconfiguration中“Change”項(xiàng)，改變默認(rèn)私有密鑰設(shè)置3.同上點(diǎn)擊SSLconfiguration中“Change”項(xiàng)，改變默認(rèn)私有密鑰設(shè)置4.同上點(diǎn)擊”Advancedoption”中”Show”項(xiàng)，勾選”SSLRejectionLoggingEnabled”以管理員身份登錄管理控制臺(tái)：1.點(diǎn)擊左面板域名文件夾，然后點(diǎn)擊“servers”文件夾，點(diǎn)擊要管理的服務(wù)器名查看2.在右側(cè)面板的”configuration”面板下的”Keystore&SSL”標(biāo)簽中查看10合理設(shè)置應(yīng)用服務(wù)器Sockets最大打開(kāi)數(shù)量以管理員身份登錄管理控制臺(tái)1.點(diǎn)擊左側(cè)面板的域名文件夾，然后點(diǎn)擊Servers文件夾，雙擊要管理的服務(wù)器2.在右側(cè)面板的“Configuration”面板下選擇“Tuning”標(biāo)簽3.設(shè)置”MaximumOpenSockets”為254或其它用戶設(shè)定值備注：此項(xiàng)操作需開(kāi)發(fā)人員在測(cè)試機(jī)修改后測(cè)試，應(yīng)用正常然后再在生產(chǎn)機(jī)器上修改以管理員身份登錄管理控制臺(tái)1.點(diǎn)擊左側(cè)面板的域名文件夾，然后點(diǎn)擊Servers文件夾，雙擊要管理的服務(wù)器2.在右側(cè)面板的“Configuration”面板下選擇“Tuning”標(biāo)簽，查看MaximumOpenSockets值11合理設(shè)置文件與目錄權(quán)限，沒(méi)有不必要的權(quán)限，也不存在不必要的文件對(duì)啟動(dòng)和環(huán)境腳本限制權(quán)限為710，確認(rèn)BEA_HOME屬主為weblogic用戶，對(duì)不必要的工具文件設(shè)置權(quán)限為700并改后綴名為.predeleted以root身份執(zhí)行以下操作：#chown–R“weblogicuser”$BEA_HOME#find$BEA_HOME/-name*.sh|xargs`chmod710`#檢查不必要工具文件，并將限制權(quán)限為700#tarcvfbeahome.`date'+%y%m%d'`.tar$BEA_HOME#find$WL_HOME/-nameconfig_builder.sh|xargs`chmod700`#find$WL_HOME/-namestartWLBuilder.sh|xargs`chmod700`#find$WL_HOME/-namejcommon-0.7.0.jar|xargs`chmod700`#find$WL_HOME/-namePointBase|xargs`chmod700`#find$WL_HOME/-namemedrec|xargs`chmod700`#檢查不必要工具文件，并改名為.predeleted#mvconfig_builder.shconfig_builder.sh.predeleted#mvstartWLBuilder.shstartWLBuilder.sh.predeleted#mvjcommon-0.7.0.jarjcommon-0.7.0.jar.predeleted#mvPointBasePointBase.predeleted#mvmedrecmedrec.predeleted以root身份執(zhí)行以下操作：#ls–alR$BEA_HOME#find$BEA_HOME/-name*.sh|xargs`ls–al`#查找不必要的工具文件#find$BEA_HOME/-nameconfig_builder.sh|xargs`ls–al`#find$BEA_HOME/-namestartWLBuilder.sh|xargs`ls–al`#find$BEA_HOME/-namejcommon-0.7.0.jar|xargs`ls–al`#find$WL_HOME/-namePointBase|xargs`ls–al`#find$WL_HOME/-namemedrec|xargs`ls–al`12更改運(yùn)行模式為”P(pán)roductionMode”以管理員身份登錄管理控制臺(tái)1.點(diǎn)擊域名，在右側(cè)面板選中”Genaral”標(biāo)簽2.勾選”P(pán)roductionMode”，更改運(yùn)行模式為”P(pán)roductionMode”以root身份執(zhí)行：1.#find$BEA_HOME/-namemyserver.log|grep–i“ProductionMode”#find$BEA_HOME/-namesetEnv.sh|grep–i“ProductionMode”2.以管理員身份登錄管理控制臺(tái),點(diǎn)擊域名，在右側(cè)面板選中”Genaral”標(biāo)簽,查看是否勾選”P(pán)roductionMode”13禁用SendServerheader以管理員身份登錄管理控制臺(tái)1.點(diǎn)擊域名下的Servers文件夾，選擇要管理的服務(wù)器2.在右側(cè)面板“Protocols”面板下，點(diǎn)擊HTTP標(biāo)簽3.去掉SendServerheader項(xiàng)前面的勾,禁止SendServerheader以管理員身份登錄管理控制臺(tái)1.點(diǎn)擊域名下的Servers文件夾，選擇要管理的服務(wù)器2.在右側(cè)面板“Protocols”面板下，點(diǎn)擊HTTP標(biāo)簽3.檢查是否勾選SendServerheader14刪除sample程序以管理員身份登錄管理控制臺(tái)1．點(diǎn)擊”Deployment”文件夾，查看是否有如下形式應(yīng)用存在：2．#find$BEA_HOME/-namesample|xargs`rm–rf`1.以root權(quán)限執(zhí)行#find$BEA_HOME/-namesample–print2.以管理員身份登錄管理控制臺(tái)a)點(diǎn)擊”Deployment”文件夾，查看是否有如下形式應(yīng)用存在：b)展開(kāi)”Deployment”子文件夾，查看是否存在以上形式內(nèi)容，其path中包含“samples“目錄15重新在應(yīng)用程序web.xml中定義默認(rèn)出錯(cuò)頁(yè)面編輯<ApplicationHOME>/WEB-INF/web.xml，加入error定義以root身份執(zhí)行：#cat<ApplicationHOME>/WEB-INF/web.xml16根據(jù)具體應(yīng)用，合理設(shè)置session超時(shí)時(shí)間在應(yīng)用程序的web.xml中定義session超時(shí)時(shí)間，例如，以下設(shè)置表示session超時(shí)時(shí)間為15分鐘<session-config><session-timeout>1