WebLogicWeb 服務(wù)器安全配置基線目 錄第1章?概述 ....................................................................

WebLogicWeb 服務(wù)器安全配置基線

目 錄

第1章?概述 ......................................................................................................................................... 1?

1.1?

1.2?

1.3?目的 ......................................................................................................................................... 1?適用范圍 ................................................................................................................................. 1?適用版本 ................................................................................................................................. 1?

第2章?賬號管理、認(rèn)證授權(quán) ............................................................................................................. 2?

2.1?賬號 ......................................................................................................................................... 2?

賬號鎖定策略 ................................................................................................................. 2?

2.2?口令 ......................................................................................................................................... 2?

2.2.1?密碼復(fù)雜度 ..................................................................................................................... 2?2.1.1?

第3章?日志配置操作 ......................................................................................................................... 4?

3.1?日志配置 ................................................................................................................................. 4?

3.1.1?

第4章?

4.1?審核登錄 ......................................................................................................................... 4?IP 協(xié)議安全配置 ................................................................................................................ 5?IP 協(xié)議. .................................................................................................................................... 5?

4.1.1?

4.1.2?

4.1.3?支持加密協(xié)議 ................................................................................................................. 5?限制應(yīng)用服務(wù)器Socket 數(shù)量. ........................................................................................ 5?禁用Send Server Header ................................................................................................ 6?

第5章?設(shè)備其他配置操作 ................................................................................................................. 7?

5.1?安全管理 ................................................................................................................................. 7?

5.1.1?

5.1.2?

5.1.3?

5.1.4?定時登出 ......................................................................................................................... 7?更改默認(rèn)端口 ................................................................................................................. 7?錯誤頁面處理 ................................................................................................................. 8?目錄列表訪問限制 ......................................................................................................... 8?

I

第1章 概述

1.1 目的

本文檔規(guī)定了WebLogic Web服務(wù)器應(yīng)當(dāng)遵循的安全性設(shè)置標(biāo)準(zhǔn)，本文檔旨在指導(dǎo)系統(tǒng)管理人員進行WebLogic Web服務(wù)器的安全配置。

1.2 適用范圍

本配置標(biāo)準(zhǔn)的使用者包括：服務(wù)器系統(tǒng)管理員、應(yīng)用管理員、網(wǎng)絡(luò)安全管理員。

1.3 適用版本

6.x 、7.x 、8.x 版本的WebLogic Web服務(wù)器。

現(xiàn)在最新的weblogic 服務(wù)器時9.1，此文件不適用與最新的服務(wù)器

第2章 賬號管理、認(rèn)證授權(quán)

2.1 賬號

2.1.1 賬號鎖定策略 安全基線項

目名稱

安全基線編

號

安全基線項

說明

檢測操作步

驟 WebLogic 賬號鎖定安全基線要求項 SBL-WebLogic-02-01-01 要求設(shè)定帳號鎖定次數(shù)和時間 1、參考配置操作 查看以管理員身份登錄控制臺

1. 點擊左側(cè)面板”Security”文件夾，展開”REALM”

2. 點擊右側(cè)面板中的”User Lock”標(biāo)簽，查看Lockout Enabled，Lockout

Threshold ，Lockout Duration等

基線符合性

判定依據(jù) 1、判定條件 要求Lockout Enabled=true;

Lockout Threshold=5;

Lockout Duration=30

備注

2.2 口令

2.2.1 密碼復(fù)雜度

安全基線項

目名稱

安全基線編

號

安全基線項

說明

檢測操作步

驟 WebLogic 密碼復(fù)雜度安全基線要求項 SBL-WebLogic-02-01-01 對于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，口令長度至少8位。 1、參考配置操作 查看WebLogic 安裝目錄下的weblogic.properties 配置文件

2、補充操作說明

口令要求：長度至少8位。

基線符合性判定依據(jù) 備注 1、判定條件 weblogic.system.minPasswordLen=8

第3章 日志配置操作

3.1 日志配置

3.1.1 審核登錄 安全基線項

目名稱

安全基線編

號

安全基線項

說明

檢測操作步

驟

基線符合性

判定依據(jù)

備注

WebLogic 審核登錄安全基線要求項 SBL-WebLogic-03-01-01 設(shè)備應(yīng)配置日志功能，對用戶登錄進行記錄，記錄內(nèi)容包括用戶登錄使用的賬號，登錄是否成功，登錄時間，以及遠(yuǎn)程登錄時，用戶使用的IP 地址。 1、參考配置操作 查看WebLogic 安裝目錄下的weblogic.properties 配置文件 1、判定條件 weblogic.system.enableReverseDNSLookups=true

第4章 IP 協(xié)議安全配置

4.1 IP協(xié)議

4.1.1 支持加密協(xié)議 安全基線項

目名稱

安全基線編

號

安全基線項

說明

檢測操作步

驟

基線符合性

判定依據(jù) WebLogic 支持加密協(xié)議安全基線要求項 SBL-WebLogic-04-01-01 對于通過HTTP 協(xié)議進行遠(yuǎn)程維護的設(shè)備，設(shè)備應(yīng)支持使用HTTPS 等加密協(xié)議。 1、參考配置操作 查看WebLogic 安裝目錄下的weblogic.properties 配置文件 1、判定條件 weblogic.system.SSLListenPort=portNumber

weblogic.security.certificate.server=mycert.der weblogic.security.key.server=mykey.der

weblogic.security.certificate.authority=CA.der

weblogic.security.certificateCacheSize=5

weblogic.security.clientRootCA=anyValidCertificate weblogic.httpd.register.authenticated=

weblogic.t3.srvr.ClientAuthenticationServlet

weblogic.httpd.register.T3AdminCaptureRootCA=admin.T3AdminCaptureRootCA

備注

4.1.2 限制應(yīng)用服務(wù)器Socket 數(shù)量

安全基線項

目名稱

安全基線編

號

安全基線項

說明

檢測操作步

驟 WebLogic 限制應(yīng)用服務(wù)器Socket 數(shù)量安全基線要求項 SBL-WebLogic-04-01-02 Sockets 最大打開數(shù)目設(shè)置不當(dāng)?shù)脑挘菀资艿骄芙^服務(wù)攻擊，超出操作系統(tǒng)文件描述符限制 1、參考配置操作 以管理員身份登錄管理控制臺

1. 點擊左側(cè)面板的域名文件夾，然后點擊Servers 文件夾，雙擊要管理的服務(wù)器

2. 在右側(cè)面板的“Configuration”面板下選擇“Tuning”標(biāo)簽，查看Maximum Open Sockets值

基線符合性

判定依據(jù)

備注 1、判定條件 要求Maximum Open Sockets不大于254。

4.1.3 禁用Send Server Header 安全基線項

目名稱

安全基線編

號

安全基線項

說明

檢測操作步

驟 WebLogic 禁用Send Server Header安全基線要求項 SBL-WebLogic-04-01-03 Sockets 最大打開數(shù)目設(shè)置不當(dāng)?shù)脑挘菀资艿骄芙^服務(wù)攻擊，超出操作系統(tǒng)文件描述符限制 1、參考配置操作 以管理員身份登錄管理控制臺

1. 點擊域名下的Servers 文件夾，選擇要管理的服務(wù)器

2. 在右側(cè)面板“Protocols”面板下，點擊HTTP 標(biāo)簽

3. 檢查是否勾選Send Server header

基線符合性

判定依據(jù)

備注 1、判定條件 要求禁止Send Server header

第5章 設(shè)備其他配置操作

5.1 安全管理

5.1.1 定時登出 安全基線項

目名稱

安全基線編

號

安全基線項

說明

檢測操作步

驟

基線符合性

判定依據(jù)

備注 WebLogic 定時登出安全基線要求項 SBL-WebLogic-05-01-01 對于具備字符交互界面的設(shè)備，應(yīng)支持定時賬戶自動登出。登出后用戶需再次登錄才能進入系統(tǒng)。 1、參考配置操作 查看WebLogic 安裝目錄下的weblogic.properties 配置文件 1、判定條件 weblogic.login.readTimeoutMillis=integer weblogic.login.readTimeoutMillisSSL=integer 5.1.2 更改默認(rèn)端口

安全基線項

目名稱

安全基線編

號

安全基線項

說明

檢測操作步

驟

基線符合性

判定依據(jù)

備注 WebLogic 運行端口安全基線要求項 SBL-WebLogic-05-01-02 更改WebLogic 服務(wù)器默認(rèn)端口 1、參考配置操作 查看WebLogic 安裝目錄下的weblogic.properties 配置文件 1、判定條件 weblogic.system.listenPort=integer

5.1.3 錯誤頁面處理

安全基線項

目名稱

安全基線編

號

安全基線項

說明

檢測操作步

驟

基線符合性

判定依據(jù) WebLogic 錯誤頁面處理安全基線要求項 SBL-WebLogic-05-01-03 WebLogic 錯誤頁面重定向 1、參考配置操作 查看/WEB-INF/web.xml: 1、 判定條件 要求包含如下片段： 備注

5.1.4 目錄列表訪問限制 安全基線項

目名稱

安全基線編

號

安全基線項

說明

檢測操作步

驟

基線符合性

判定依據(jù)

備注

WebLogic 目錄列表安全基線要求項 SBL-WebLogic-05-01-04 禁止WebLogic 列表顯示文件 1、參考配置操作 查看WebLogic 安裝目錄下的weblogic.properties 配置文件 1、判定條件 weblogic.httpd.indexDirectories=false