Weblogic中間件安全配置基線

目錄

第1章概述3

1.1目的3

1.2適用范圍3

1.3適用版本3

1.4安全基線說(shuō)明3

第2章基本安全配置3

2.1鎖定賬號(hào)策略打開3

2.2失敗鎖定允許嘗試次數(shù)4

2.3口令嘗試錯(cuò)誤鎖定持續(xù)時(shí)間5

2.4口令長(zhǎng)度復(fù)雜度5

2.5是否啟用SSL監(jiān)聽6

2.6設(shè)置sockets最大連接數(shù)7

2.7更改默認(rèn)端口8

2.8是否設(shè)置超時(shí)登出8

2.9錯(cuò)誤頁(yè)面重定向9

第3章增強(qiáng)安全配置11

3.1啟用HTTP訪問(wèn)日志11

3.2安裝官方最新補(bǔ)丁12

第1章概述

1.1目的

本文檔旨在指導(dǎo)Weblogic中間件安全合規(guī)配置。

1.2適用范圍

本配置標(biāo)準(zhǔn)適用的范圍包括：Weblogic中間件。

1.3適用版本

Weblogic中間件

1.4安全基線說(shuō)明

本安全基線標(biāo)準(zhǔn)主要包含賬戶鎖定安全、登錄失敗安全、口令安全、SSL監(jiān)

聽、最大連接數(shù)、默認(rèn)端口、錯(cuò)誤頁(yè)面沖定向、安全訪問(wèn)等幾個(gè)方面，基線內(nèi)容

包括11項(xiàng)安全基線。

第2章基本安全配置

2.1鎖定賬號(hào)策略打開

安全基線項(xiàng)目名稱WebLogic啟動(dòng)帳號(hào)安全基線要求項(xiàng)

安全基線編號(hào)WFNX-Weblogic-01

安全基線項(xiàng)說(shuō)明避免攻擊者暴力破解帳號(hào)密碼

1.參考配置操作

檢測(cè)操作步驟控制臺(tái)中選擇

安全領(lǐng)域-＞myreal『＞配置-＞用戶封鎖，檢查“啟用封鎖”

是否勾選

基線符合性1.判定條件

判定依據(jù)用戶封鎖，檢查“啟用封鎖”勾選

控制臺(tái)中選擇

加固標(biāo)準(zhǔn)

安全領(lǐng)域-＞myrealm-＞配置-＞用戶封鎖,勾選“啟用封鎖”

現(xiàn)狀

檢查結(jié)果□符合□不符合_____________

整改結(jié)果

備注

2.2失敗鎖定允許嘗試次數(shù)

安全基線項(xiàng)目名稱WebLogic帳號(hào)失敗鎖定基線要求項(xiàng)

安全基線編號(hào)WFNX-Weblogic-02

要求設(shè)定帳號(hào)鎖定次數(shù)和時(shí)間，錯(cuò)誤輸入密碼5次，系統(tǒng)

安全基線項(xiàng)說(shuō)明

自動(dòng)鎖定。

1.參考配置操作

控制臺(tái)中選擇

檢測(cè)操作步驟

安全領(lǐng)域-＞myrealm-＞配置-〉用戶封鎖，檢查“封鎖標(biāo)準(zhǔn)

值”是否為小于等于5的值。

基線符合性1.判定條件

判定依據(jù)用戶封鎖，檢查“封鎖標(biāo)準(zhǔn)值”小于等于5。

控制臺(tái)中選擇

加固標(biāo)準(zhǔn)安全領(lǐng)域-＞myrealm-＞配置-＞用戶封鎖，"封鎖標(biāo)準(zhǔn)值”

設(shè)置為5.o

現(xiàn)狀

檢查結(jié)果□符合□不符合_____________

整改結(jié)果

備注

2.3口令嘗試錯(cuò)誤鎖定持續(xù)時(shí)間

安全基線項(xiàng)目名稱WebLogic口令錯(cuò)誤鎖定時(shí)間基線要求項(xiàng)

安全基線編號(hào)WFNX-Weblogic-03

用戶口令要求設(shè)定帳號(hào)鎖定次數(shù)和時(shí)間，錯(cuò)誤輸入密碼5

安全基線項(xiàng)說(shuō)明

次，系統(tǒng)自動(dòng)鎖定，鎖定時(shí)間一般大于等于30

1.參考配置操作

控制臺(tái)中選擇

檢測(cè)操作步驟

安全領(lǐng)域-＞myrealm-＞配置-＞用戶封鎖，檢查“封鎖持續(xù)

時(shí)間”是否為大于等于30的值。

基線符合性1.判定條件

判定依據(jù)用戶封鎖..檢查“封鎖持續(xù)時(shí)間”大于等于30的值.

控制臺(tái)中選擇

加固標(biāo)準(zhǔn)安全領(lǐng)域-＞myrealnr＞配置-＞用戶封鎖，”封鎖持續(xù)時(shí)間”

設(shè)置為30o

現(xiàn)狀

檢查結(jié)果□符合□不符合_____________

整改結(jié)果

備注

2.4口令長(zhǎng)度復(fù)雜度

安全基線項(xiàng)目名稱WebLogic口令復(fù)雜度基線要求項(xiàng)

安全基線編號(hào)WFNX-Weblogic-04

對(duì)于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，口令長(zhǎng)度至少8位，

安全基線項(xiàng)說(shuō)明并包括數(shù)字、小寫字母、大寫字母和特殊符號(hào)四類中至少

兩類。

1.參考配置操作

檢測(cè)操作步驟控制臺(tái)中選擇

安全領(lǐng)域-〉myrealm-＞提供程序-＞選擇

DefaultAuthenticator->配置,

檢查”提供程序特定”里"最小口令長(zhǎng)度”的值是否大于

等于8

1.判定條件

基線符合性

配置，

判定依據(jù)

檢查“提供程序特定“里”最小口令長(zhǎng)度”的值大于等于8

控制臺(tái)中選擇

安全領(lǐng)域->myrealm->提供程序選擇

加固標(biāo)準(zhǔn)

Defau11Authenticator->配置,

“提供程序特定”里”最小口令長(zhǎng)度”的值設(shè)置為8

現(xiàn)狀

檢查結(jié)果□符合□不符合________________

整改結(jié)果

備注

2.5是否啟用SSL監(jiān)聽

安全基線項(xiàng)目名稱WebLogicSSL監(jiān)聽安全基線要求項(xiàng)

安全基線編號(hào)WFNX-Weblogic-05

安全基線項(xiàng)說(shuō)明WebLogic采用SSL加密HTTP連接

1.參考配置操作

登錄管理控制臺(tái)，選擇“服務(wù)器”一）“服務(wù)器名”->“配

置”標(biāo)簽->“一般信息”標(biāo)簽，檢查是否勾選“啟用SSL監(jiān)

檢測(cè)操作步驟聽端口”

登錄管理控制臺(tái)，選擇“服務(wù)器”->“服務(wù)器名”->”配

置”標(biāo)簽->“一般信息”標(biāo)簽，檢查設(shè)置訪問(wèn)端口號(hào)是否

為默認(rèn)的443,如果不是443代表已經(jīng)進(jìn)行了修改。

登錄管理控制臺(tái)，選擇“服務(wù)器”->“服務(wù)器名”->“配

加固標(biāo)準(zhǔn)置”標(biāo)簽->“一般信息”標(biāo)簽，勾選“啟用SSL監(jiān)聽端口”；

登錄管理控制臺(tái)，選擇“服務(wù)器”->“服務(wù)器名”->“配

置”標(biāo)簽“一般信息”標(biāo)簽，設(shè)置訪問(wèn)端口號(hào)。

1.判定條件

基線符合性配置”標(biāo)簽->“一般信息”標(biāo)簽，勾選“啟用SSL監(jiān)聽端

判定依據(jù)口”；

默認(rèn)為443,可修改為其他端口。

現(xiàn)狀

檢查結(jié)果□符合□不符合________________

整改結(jié)果

備注

2.6設(shè)置sockets最大連接數(shù)

安全基線項(xiàng)目名稱WebLogic設(shè)置sockets最大連接數(shù)安全基線要求項(xiàng)

安全基線編號(hào)WFNX-Weblogic-06

安全基線項(xiàng)說(shuō)明節(jié)省weblogic服務(wù)器資源，防止連接耗盡攻擊

1.參考配置操作

登錄管理控制臺(tái)，選擇“服務(wù)器”->“服務(wù)器名”->”配

檢測(cè)操作步驟置”標(biāo)簽->“優(yōu)化”或“調(diào)整”標(biāo)簽，檢查數(shù)值是多少。

應(yīng)根據(jù)實(shí)際情況修改“最大打開套接字?jǐn)?shù)”，不能為T（無(wú)

限制）

1.判定條件

基線符合性

登錄管理控制臺(tái)，選擇“服務(wù)器”一）“服務(wù)器名”->“配

判定依據(jù)

置”標(biāo)簽->“優(yōu)化”或“調(diào)整”標(biāo)簽，檢查數(shù)值是多少。

登錄管理控制臺(tái)，選擇“服務(wù)器”->“服務(wù)器名”->”配

加固標(biāo)準(zhǔn)置”標(biāo)簽“優(yōu)化”或“調(diào)整”標(biāo)簽，應(yīng)根據(jù)實(shí)際情況修

改“最大打開套接字?jǐn)?shù)”。（不能為-1（無(wú)限制））

現(xiàn)狀

檢查結(jié)果口符合□不符合______________

整改結(jié)果

應(yīng)根據(jù)實(shí)際情況修改“最大打開套接字?jǐn)?shù)”，不能為-1（無(wú)

備注

限制）

2.7更改默認(rèn)端口

安全基線項(xiàng)目名稱WebLogic運(yùn)行端口安全基線要求項(xiàng)

安全基線編號(hào)WNX-Weblogic-07

安全基線項(xiàng)說(shuō)明更改WebLogic服務(wù)器默認(rèn)端口

1.參考配置操作

登錄管理控制臺(tái)，選擇“服務(wù)器”->“服務(wù)器名”->”配

檢測(cè)操作步驟

置”標(biāo)簽->“一般信息”標(biāo)簽，查看是否取消“監(jiān)聽端口”，

或者設(shè)置訪問(wèn)端口號(hào)為非默認(rèn)7001,如：8001

1.判定條件

基線符合性

查看是否取消“監(jiān)聽端口”，或者設(shè)置訪問(wèn)端口號(hào)為非默認(rèn)

判定依據(jù)

7001,如：8001

登錄管理控制臺(tái)，選擇“服務(wù)器”->“服務(wù)器名”->“配

加固標(biāo)準(zhǔn).置”標(biāo)簽->“一般信息”標(biāo)簽，取消“監(jiān)聽端口”，或者設(shè)

置訪問(wèn)端口號(hào)為非默認(rèn)7001,如：8001

現(xiàn)狀

檢查結(jié)果□符合□不符合________________

整改結(jié)果

根據(jù)應(yīng)用場(chǎng)景的不同，如部署場(chǎng)景需開啟此功能，則強(qiáng)制

備注

要求此項(xiàng)。可能會(huì)影響系統(tǒng)。

2.8是否設(shè)置超時(shí)登出

安全基線項(xiàng)目名稱WebLogic超時(shí)登出安全基線要求項(xiàng)

安全基線編號(hào)WFNX-Weblogic-08

防止攻擊者利用XSS或是CSRF等方法劫持會(huì)話，盜取用戶

安全基線項(xiàng)說(shuō)明

身份，同時(shí)節(jié)省weblogic服務(wù)器資源

1.參考配置操作

https超時(shí)登出

登錄管理控制臺(tái)，選擇“域”->“環(huán)境”->“服務(wù)器”-〉

"AdminServer配置”->“優(yōu)化”或“調(diào)整”標(biāo)簽，

檢查SSL登錄超時(shí)的值是否進(jìn)行了設(shè)置，可以設(shè)置為

檢測(cè)操作步驟

10000,單位：秒

http超時(shí)登出

登錄管理控制臺(tái)，選擇“域”->“環(huán)境”-〉“服務(wù)器”->

“AdminServer配置“->“優(yōu)化”標(biāo)簽，檢查登錄

超時(shí)是否進(jìn)行了設(shè)置，可以設(shè)置為5000,單位：秒

基線符合性L判定條件

判定依據(jù)檢查登錄超時(shí)是否進(jìn)行了設(shè)置。

https超時(shí)登出

登錄管理控制臺(tái)，選擇“域”->“環(huán)境”->“服務(wù)器”->

“AdminServer配置“->”優(yōu)化”或“調(diào)整”標(biāo)簽,

設(shè)置SSL登錄超時(shí)的值，可以設(shè)置為10000,單位：秒

加固標(biāo)準(zhǔn)

http超時(shí)登出

登錄管理控制臺(tái)，選擇“域”>“環(huán)境”>“服務(wù)器”》

"AdminServer配置“->“優(yōu)化”標(biāo)簽，設(shè)置登錄

超時(shí)，可以設(shè)置為5000,單位：秒

現(xiàn)狀

檢查結(jié)果□符合□不符合________________

整改結(jié)果

備注

2.9錯(cuò)誤頁(yè)面重定向

安全基線項(xiàng)目名稱WebLogic錯(cuò)誤頁(yè)面重定向安全基線要求項(xiàng)

安全基線編號(hào)WFNX-Weblogic-09

安全基線項(xiàng)說(shuō)明WebLogic錯(cuò)誤頁(yè)面重定向

1.參考配置操作

使用系統(tǒng)的應(yīng)用帳號(hào)進(jìn)入以下目錄：

NSF{wlshome}/server/lib/consoleapp/webapp/WEB-INF/

檢測(cè)操作步驟

web.xml文件，檢查文件中是否添加

web-app/error/exception-type

節(jié)點(diǎn)，如果有代表己經(jīng)進(jìn)行了加固。如果沒(méi)有則不通過(guò)

1.判定條件

要求包含如下片段：

<error>

<exception-tipe>*</exception-tipe>

<location>error.html</location>

</error>

或者

<error>

基線符合性<error-code>404</error-code>

<location>/errors/404.jsp</location>

判定依據(jù)</error>

<error>

<error-code>500</error-code>

<location>/errors/500.jsp</location>

</error>

<error>

<error-code>503</error-code>

<location>/errors/503.jsp</location>

</error>o

用系統(tǒng)的應(yīng)用帳號(hào)進(jìn)入以下目錄：

NSF{wlshome}/server/1ib/consoleapp/webapp/WEB-INF/

加固標(biāo)準(zhǔn)web.xml文件，文件中添加

web-app/error/exception-type

corae-fi1e-15.■金>

<wclcoine-￡ilc>index,htrol</welcome-fi1e>

<welcome-file>index.htro</welcome-fi1e>

<welcoxne-File>in<ieK.Jsp</welcome-Fi1e>

V/bu1come-fi1u-1ict>

<error-r>age>

<exrxrox*-co<de>401</co<de>

<1ocation>ZJsp/conroon/error.ocation>

</exror-x>ase：>

<errox'-r>fige>

<exrox"-code>403</earsrox*-code〉

<1ocation>/Jsp/conwnon/error.jsp</location>|

<ZeiTror-r>ager>

<exrox—page>

<CXTOX--code>404</UXTOX--VODU>

<locaition>ZJsp/conroon/error.Jsr><Zlocation>

<ZeTnroi'-page>

<ex*xrox-

<csrrox—code>SOO<Zerrrox■-code>

<1ocation>ZisoZconroon/error.isr><Zlocation>

<Zexnrox"-r>age->

</wel>-eM>r>>

現(xiàn)狀

檢查結(jié)果□符合口不符合_______________

整改結(jié)果

備注

第3章增強(qiáng)安全配置

3.1啟用HTTP訪問(wèn)日志

安全基線項(xiàng)目名稱WebLogicHTTP訪問(wèn)日志安全基線要求項(xiàng)

安全基線編號(hào)WFNX-Weblogic-10

對(duì)運(yùn)行錯(cuò)誤、用戶訪問(wèn)等進(jìn)行記錄，記錄內(nèi)容包括

安全基線項(xiàng)說(shuō)明