Weblogic安全配置基線V1

Weblogic安全配置基線金稅三期工程Weblogic安全配置基線第1頁共15頁

Weblogic安全配置基線版本版本控制信息更新日期更新人審批人V.10新建2016年03月30日jiang備注：1.若此文檔需要日后更新，請創(chuàng)建人填寫版本控制表格，否則刪除版本控制表格。第2頁共15頁Weblogic安全配置基線TOC\o"1-5"\h\z\o"CurrentDocument"第1章概述 4\o"CurrentDocument"目的 4\o"CurrentDocument"適用范圍 4\o"CurrentDocument"第2章 帳戶管理及認(rèn)證授權(quán) 4\o"CurrentDocument"帳戶安全 4啟動帳戶 4帳戶鎖定 5帳戶超時登出 6\o"CurrentDocument"口令要求 6密碼復(fù)雜度 6\o"CurrentDocument"認(rèn)證授權(quán) 7主機(jī)名認(rèn)證 7\o"CurrentDocument"第3章日志審計 8\o"CurrentDocument"登錄審核 8\o"CurrentDocument"審核日志 9\o"CurrentDocument"第4章服務(wù)安全 9\o"CurrentDocument"禁用Sender-Server-HeaderS 9\o"CurrentDocument"更改WebLogic服務(wù)器默認(rèn)端口 10\o"CurrentDocument"配置加密協(xié)議 11\o"CurrentDocument"限制socket的數(shù)量 12\o"CurrentDocument"配置錯誤頁面處理 12\o"CurrentDocument"運(yùn)行模式 13\o"CurrentDocument"刪除sample程序 14\o"CurrentDocument"第5章補(bǔ)丁管理 15\o"CurrentDocument"5.1 補(bǔ)丁管理 15第3頁共15頁Weblogic安全配置基線第1章概述目的本基線依據(jù)金稅三期工程中間件安全配置規(guī)范要求，旨在指導(dǎo)中間件管理人員或安全檢查人員進(jìn)行中間件的安全配置，提高中間件的安全防護(hù)能力。適用范圍本基線適用于金稅三期工程中所使用的Weblogic11g。本基線的使用者包括服務(wù)器系統(tǒng)管理員、應(yīng)用管理員。第2章帳戶管理及認(rèn)證授權(quán)帳戶安全啟動帳戶安全基線項目名稱Weblogic啟動帳戶安全基線要求項安全基線編號Weblogic安全配置技術(shù)要求-1安全基線項說明嚴(yán)禁WebLogic以特權(quán)用戶身份運(yùn)行。檢測操作步驟以管理員身份登錄服務(wù)器，命令行模式執(zhí)行：#ps-ef|grep-iweblogic檢查Weblogic的執(zhí)行權(quán)限用是否為root?；€符合性判定依據(jù)如果Weblogic的執(zhí)行權(quán)限為root，不合格。加固方案建立Weblogic的賬戶，以該用戶進(jìn)行weblogic的部署工作。第4頁共15頁

Weblogic安全配置基線風(fēng)險等級高備注具有業(yè)務(wù)中斷風(fēng)險帳戶鎖定安全基線項目名稱Weblogic帳戶鎖定安全基線要求項安全基線編號Weblogic安全配置技術(shù)要求-2安全基線項說明設(shè)定帳號鎖定次數(shù)和時間，錯誤輸入口令5次，系統(tǒng)自動鎖定，鎖定時間15分鐘，封鎖重置持續(xù)時間15分鐘，封鎖高速緩存大小5檢測操作步驟.以管理員身份登錄Weblogic管理控制臺.進(jìn)入“域結(jié)構(gòu)-安全領(lǐng)域一領(lǐng)域中點(diǎn)擊需要配置的領(lǐng)域一配置一用戶封鎖”.查看是否設(shè)置啟用封鎖，以及對應(yīng)閥值。基線符合性判定依據(jù)啟用封鎖功能，并設(shè)置對于閥值。封鎖閥值=5封鎖持續(xù)時間=15封鎖重置持續(xù)時間=15封鎖高速緩存大小=5加固方案1）以管理員身份登錄Weblogic管理控制臺2）進(jìn)入“域結(jié)構(gòu)一安全領(lǐng)域一領(lǐng)域中點(diǎn)擊需要配置的領(lǐng)域一配置一用戶封鎖”3）啟用封鎖，設(shè)置封鎖閥值=5,封鎖持續(xù)時間=15,封鎖重置持續(xù)時間=15,封鎖高速緩存大小=5風(fēng)險等級高備注第5頁共15頁

Weblogic安全配置基線帳戶超時登出安全基線項目名稱Weblogic帳戶超時登出安全基線要求項安全基線編號Weblogic安全配置技術(shù)要求-3安全基線項說明設(shè)置控制臺超時時間=300秒。檢測操作步驟1、以管理員身份登錄Weblogic管理控制臺2、進(jìn)入“域結(jié)構(gòu)一配置一一般信息一高級，查看控制臺會話超時參數(shù)基線符合性判定依據(jù)session超時時間設(shè)置是否小于300加固方案1、以管理員身份登錄Weblogic管理控制臺2、進(jìn)入“域結(jié)構(gòu)一配置一一般信息一高級一控制臺會話超時”3、設(shè)置參數(shù)為300風(fēng)險等級低備注口令要求密碼復(fù)雜度安全基線項目名稱Weblogic密碼復(fù)雜度安全基線要求項安全基線編號Weblogic安全配置技術(shù)要求-4安全基線項說明口令長度至少8位，并包括數(shù)字、小寫字母、大寫字母和特殊符號四類中至少兩類。檢測操作步驟.以管理員身份登錄Weblogic管理控制臺.進(jìn)入“域結(jié)構(gòu)一安全領(lǐng)域一領(lǐng)域中點(diǎn)擊需要配置的領(lǐng)域一提供程序”.進(jìn)入“驗證一DefaultAuthenticat一提供程序特定”第6頁共15頁

Weblogic安全配置基線.查看是否設(shè)置最小口令長度.進(jìn)入“口令驗證fSystemPasswordValidatorf提供程序特定”.查看是否設(shè)置最小口令長度，以及字符策略?；€符合性判定依據(jù)最小口令長度〉=8位、最小字母字符數(shù)=1、最小數(shù)字字符數(shù)=1、最小非字母數(shù)字字符=1、最小非字母字符數(shù)=1加固方案.以管理員身份登錄Weblogic管理控制臺.進(jìn)入“域結(jié)構(gòu)-安全領(lǐng)域一領(lǐng)域中點(diǎn)擊需要配置的領(lǐng)域一提供程序”.進(jìn)入“驗證-DefaultAuthenticat一提供程序特定”.設(shè)置最小口令長度〉=8位.進(jìn)入“口令驗證fSystemPasswordValidatorf提供程序特定”.設(shè)置最小口令長度〉=8位、最小字母字符數(shù)=1、最小數(shù)字字符數(shù)=1、最小非字母數(shù)字字符=1、最小非字母字符數(shù)=1風(fēng)險等級高備注認(rèn)證授權(quán)主機(jī)名認(rèn)證安全基線項目名稱Weblogic主機(jī)名認(rèn)證安全基線要求項安全基線編號Weblogic安全配置技術(shù)要求-5安全基線項說明開啟主機(jī)名認(rèn)證，設(shè)置HostnameVerification值為“BeaHostnameVerifier”。檢測操作步驟.以管理員身份登錄Weblogic管理控制臺.進(jìn)入“域結(jié)構(gòu)一環(huán)境一服務(wù)器”.進(jìn)入需要配置的服務(wù)器，點(diǎn)擊“配置一SSL-高級一主機(jī)名驗證”第7頁共15頁

Weblogic安全配置基線4.查看是否設(shè)置為“BEA主機(jī)名驗證”基線符合性判定依據(jù)主機(jī)名驗證設(shè)置為“BEA主機(jī)名驗證”加固方案.以管理員身份登錄Weblogic管理控制臺.進(jìn)入“域結(jié)構(gòu)一環(huán)境一服務(wù)器”.進(jìn)入需要配置的服務(wù)器，點(diǎn)擊“配置一SSL-高級一主機(jī)名驗證”.設(shè)置為“BEA主機(jī)名驗證”風(fēng)險等級低備注第3章日志審計3.1登錄審核安全基線項目名稱Weblogic登錄審核安全基線要求項安全基線編號Weblogic安全配置技術(shù)要求-6安全基線項說明配置日志功能，對用戶登錄進(jìn)行記錄，記錄內(nèi)容包括用戶登錄使用的帳號，登錄是否成功，登錄時間，以及遠(yuǎn)程登錄時，用戶使用的IP地址。檢測操作步驟.以管理員身份登錄Weblogic管理控制臺.進(jìn)入“域結(jié)構(gòu)一環(huán)境一服務(wù)器”.進(jìn)入需要配置的服務(wù)器，進(jìn)入“日志記錄一HTTP”.查看是否啟用HTTP訪問日志文件?；€符合性判定依據(jù)啟用HTTP訪問日志文件。加固方案.以管理員身份登錄Weblogic管理控制臺.進(jìn)入“域結(jié)構(gòu)一環(huán)境一服務(wù)器”.進(jìn)入需要配置的服務(wù)器，進(jìn)入“日志記錄一HTTP”.啟用HTTP訪問日志文件。第8頁共15頁

Weblogic安全配置基線風(fēng)險等級低備注3.2審核日志安全基線項目名稱Weblogic審核日志安全基線要求項安全基線編號Weblogic安全配置技術(shù)要求-7安全基線項說明設(shè)置審計管理控制臺事件，啟用審計管理控制臺。檢測操作步驟.以管理員身份登錄Weblogic管理控制臺.進(jìn)入“域結(jié)構(gòu)-安全領(lǐng)域一需要配置的領(lǐng)域一提供程序一審計”.查看是否配置審計提供程序基線符合性判定依據(jù)1.配置了審計提供程序，啟用警告、錯誤、成功、失敗審計嚴(yán)重性。加固方案.以管理員身份登錄Weblogic管理控制臺.進(jìn)入“域結(jié)構(gòu)-安全領(lǐng)域一需要配置的領(lǐng)域一提供程序一審計”.新建審計提供程序，并設(shè)置審計的嚴(yán)重性為FAILURE。.啟用警告、錯誤、成功、失敗審計嚴(yán)重性。風(fēng)險等級中備注第4章服務(wù)安全禁用Sender-Server-HeaderS安全基線項目名稱Weblogic禁用Sender-Server-HeaderS安全基線要求項第9頁共15頁

Weblogic安全配置基線安全基線編號Weblogic安全配置技術(shù)要求-8安全基線項說明禁用SendServerheader檢測操作步驟.以管理員身份登錄Weblogic管理控制臺.進(jìn)入“域結(jié)構(gòu)一環(huán)境一服務(wù)器”.進(jìn)入需要管理的服務(wù)器，進(jìn)入“協(xié)議一HTTP”.查看是否勾選“發(fā)送服務(wù)器標(biāo)頭”基線符合性判定依據(jù)未勾選發(fā)送服務(wù)器標(biāo)頭加固方案.以管理員身份登錄Weblogic管理控制臺.進(jìn)入“域結(jié)構(gòu)一環(huán)境一服務(wù)器”.進(jìn)入需要管理的服務(wù)器，進(jìn)入“協(xié)議一HTTP”.取消勾選“發(fā)送服務(wù)器標(biāo)頭”風(fēng)險等級低備注更改WebLogic服務(wù)器默認(rèn)端口安全基線項目名稱Weblogic默認(rèn)端口安全基線要求項安全基線編號Weblogic安全配置技術(shù)要求-9安全基線項說明更改WebLogic默認(rèn)管理端口。檢測操作步驟.以管理員身份登錄Weblogic管理控制臺.進(jìn)入“域結(jié)構(gòu)一環(huán)境一服務(wù)器”.進(jìn)入需要管理的服務(wù)器，進(jìn)入“配置一一般信息”.查看監(jiān)聽端口基線符合性判定依據(jù)監(jiān)聽端口非默認(rèn)的7001端口第10頁共15頁

Weblogic安全配置基線加固方案.以管理員身份登錄Weblogic管理控制臺.進(jìn)入“域結(jié)構(gòu)一環(huán)境一服務(wù)器”.進(jìn)入需要管理的服務(wù)器，進(jìn)入“配置一一般信息”.修改監(jiān)聽端口風(fēng)險等級高備注配置加密協(xié)議安全基線項目名稱Weblogic加密協(xié)議安全基線要求項安全基線編號Weblogic安全配置技術(shù)要求-10安全基線項說明WebLogic啟用SSL加密協(xié)議，保護(hù)傳輸數(shù)據(jù)的安全性。檢測操作步驟.以管理員身份登錄Weblogic管理控制臺.進(jìn)入“域結(jié)構(gòu)一環(huán)境一服務(wù)器”.進(jìn)入需要管理的服務(wù)器，進(jìn)入“配置一一般信息”.查看是否啟用SSL監(jiān)聽端口基線符合性判定依據(jù)啟用SSL監(jiān)聽端口，并且端口號不為7002加固方案.以管理員身份登錄Weblogic管理控制臺.進(jìn)入“域結(jié)構(gòu)一環(huán)境一服務(wù)器”.進(jìn)入需要管理的服務(wù)器，進(jìn)入“配置一一般信息”.啟用SSL監(jiān)聽端口，并設(shè)置端口號。風(fēng)險等級高備注第11頁共15頁

Weblogic安全配置基線限制socket的數(shù)量安全基線項目名稱Weblogic限制socket數(shù)量安全基線要求項安全基線編號Weblogic安全配置技術(shù)要求-11安全基線項說明Sockets最大打開數(shù)目設(shè)置不當(dāng)?shù)脑?，容易受到拒絕服務(wù)攻擊，超出操作系統(tǒng)文件描述符限制。檢測操作步驟.以管理員身份登錄Weblogic管理控制臺.進(jìn)入“域結(jié)構(gòu)一環(huán)境一服務(wù)器”.進(jìn)入需要管理的服務(wù)器，進(jìn)入“配置一優(yōu)化”.查看最大打開套接字?jǐn)?shù)設(shè)置?；€符合性判定依據(jù)最大打開套接字?jǐn)?shù)設(shè)置不為-1加固方案.以管理員身份登錄Weblogic管理控制臺.進(jìn)入“域結(jié)構(gòu)一環(huán)境一服務(wù)器”.進(jìn)入需要管理的服務(wù)器，進(jìn)入“配置一優(yōu)化”.修改最大打開套接字?jǐn)?shù)設(shè)置＜=1024。風(fēng)險等級高備注配置錯誤頁面處理安全基線項目名稱Weblogic錯誤頁面處理安全基線要求項安全基線編號Weblogic安全配置技術(shù)要求-12安全基線項說明重新定義默認(rèn)出錯頁面檢測操作步驟1.以管理員身份登錄服務(wù)器，命令行模式查看weblogic安裝路徑下的web.xml文件：第12頁共15頁

Weblogic安全配置基線#more./consoleapp/webapp/WEB-INF/web.xml查看是否有error對應(yīng)配置2.通過web訪問weblogic不存在的頁面基線符合性判定依據(jù)具有error對應(yīng)配置能夠指向指定的錯誤頁面加固方案.以管理員身份登錄服務(wù)器，命令行模式編輯weblogic安裝路徑下的web.xml文件：#vi./server/lib/consoleapp/webapp/WEB-INF/web.xml.添加如下字段：<error><error-code>404</error-code><location>/errors/404.jsp</location></error>風(fēng)險等級低備注運(yùn)行模式安全基線項目名稱Weblogic運(yùn)行模式安全基線要求項安全基線編號Weblogic安全配置技術(shù)要求-13安全基線項說明WebLogic默認(rèn)以開發(fā)方式運(yùn)行，安全限制很寬松，需配置運(yùn)行模式為生產(chǎn)模式。檢測操作步驟.以管理員身份登錄Weblogic管理控制臺.進(jìn)入“域結(jié)構(gòu)一需要配置的域一