Weblogic安全配置基线V11

《Weblogic安全配置基线V11》由会员分享，可在线阅读，更多相关《Weblogic安全配置基线V11（16页珍藏版）》请在装配图网上搜索。

1、金税三期工程Weblogic 安全配置基线版本版本控制信息更新日期更新人审批人V.10新建2016年03月30日jiang备注：1. 若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。第 1 章概述 41.1目的 41.2适用范围 4第 2 章帐户管理及认证授权 42.1 帐户安全 42.1.1启动帐户 42.1.2帐户锁定 52.1.3帐户超时登出 62.2 口令要求 62.2.1密码复杂度 62.3认证授权 72.3.1主机名认证 7第 3 章日志审计 83.1登录审核 83.2审核日志 9第4章服务安全 94.1禁用 SENDER-SERVER-HEADERS 94.

2、2 更改WebLogic服务器默认端口 104.3 配置加密协议 114.4 限制 SocKET 的数量 124.5 配置错误页面处理 124.6 运行模式 134.7 删除 SAMPLE 程序 14第 5 章补丁管理 155.1补丁管理 15第1章 概述1.1 目的本基线依据金税三期工程中间件安全配置规范要求，旨在指导中间件管理人 员或安全检查人员进行中间件的安全配置，提高中间件的安全防护能力。1.2 适用范本基线适用于金税三期工程中所使用的 Weblogic 11g。本基线的使用者包括服务器系统管理员、应用管理员第2章帐户管理及认证授权2.1 帐户安全2.1.1 启动帐户安全基线 项目名称

3、Weblogic启动帐户安全基线要求项安全基线编号Weblogic安全配置技术要求-1安全基线项说明严禁WebLogic以特权用户身份运行。检测操作步骤以管理员身份登录服务器，命令行模式执行：# ps -ef | grep -i weblogic检查Weblogic的执行权限用是否为root。基线符合性 判定依据如果Weblogic的执行权限为root,不合格。加固方案建立Weblogic的账户，以该用户进行weblogic的部署工作。风险等级高备注具有业务中断风险2.1.2 帐户锁定安全基线 项目名称Weblogic帐户锁定安全基线要求项安全基线编号Weblogic安全配置技术要求-2安全基

4、线项说明设定帐号锁定次数和时间，错误输入口令5次，系统自动锁定，锁定时 间15分钟，封锁重置持续时间15分钟，封锁高速缓存大小5检测操作步骤1. 以管理员身份登录Weblogic管理控制台2. 进入“域结构一安全领域一领域中点击需要配置的领域一配置一用 户封锁”3. 查看是否设置启用封锁，以及对应阀值。基线符合性 判定依据启用封锁功能，并设置对于阀值。封锁阀值=5封锁持续时间=15封锁重置持续时间=15封锁高速缓存大小=5加固方案1）以管理员身份登录Weblogic管理控制台2）进入“域结构一安全领域一领域中点击需要配置的领域一配置一用户封锁”3）启用封锁，设置封锁阀值=5，封锁持续时间=15

5、，封锁重置持续时间=15,封锁高速缓存大小=5风险等级高备注2.1.3 帐户超时登出安全基线 项目名称Weblogic帐户超时登出安全基线要求项安全基线编号Weblogic安全配置技术要求-3安全基线项说明设置控制台超时时间=300秒。检测操作步骤1、以管理员身份登录Weblogic管理控制台2、进入“域结构一配置一一般信息一高级，查看控制台会话超时参数基线符合性 判定依据session超时时间设置是否小于300加固方案1、以管理员身份登录Weblogic管理控制台2、进入“域结构一配置一一般信息一高级一控制台会话超时”3、设置参数为300风险等级低备注2.2 口令要求2.2.1 密码复杂度安

6、全基线 项目名称Weblogic密码复杂度安全基线要求项安全基线编号Weblogic安全配置技术要求-4安全基线项说明口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号四类中至少两类。检测操作步骤1. 以管理员身份登录Weblogic管理控制台2. 进入“域结构一安全领域一领域中点击需要配置的领域一提供程 序”3-进入“验证一 DefaultAuthenticat一提供程序特定”4. 查看是否设置最小口令长度5. 进入“口令验证Sys temPasswordValida tor提供程序特定”6. 查看疋否设置最小口令长度，以及字付朿略。基线符合性 判定依据最小口令长度8位、最小字母字付

7、数1、最小数字字付数1、最小非字母数字字符=1、最小非字母字符数=1加固方案1. 以管理员身份登录Weblogic管理控制台2. 进入“域结构一安全领域一领域中点击需要配置的领域一提供程 序”3-进入“验证DefaultAuthenticat提供程序特定”4. 设置最小口令长度=8位5. 进入“口令验证Sys temPasswordValida tor提供程序特定”6. 设置最小口令长度8位、最小字母字符数1、最小数字字符数1、 最小非字母数字字符=1、最小非字母字符数=1风险等级高备注2.3 认证授权2.3.1 主机名认证安全基线 项目名称Weblogic主机名认证安全基线要求项安全基线编号

8、Weblogic安全配置技术要求-5安全基线项说明开启主机名认证，设置 Hostname Verification 值为” Bea Hostname Verifier”。检测操作步骤1. 以管理员身份登录Weblogic管理控制台2. 进入“域结构一环境一服务器”3. 进入需要配置的服务器，点击“配置SSL咼级一主机名验证”4.查看是否设置为“BEA主机名验证”基线符合性 判定依据主机名验证设置为“BEA主机名验证”加固方案1. 以管理员身份登录Weblogic管理控制台2. 进入“域结构一环境一服务器”3. 进入需要配置的服务器，点击“配置一SSL-咼级一主机名验证”4. 设置为“BEA主机

9、名验证”风险等级低备注第3章 日志审计3.1 登录审核安全基线 项目名称Weblogic登录审核安全基线要求项安全基线编号Weblogic安全配置技术要求-6安全基线项说明配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的帐 号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址。检测操作步骤1. 以管理员身份登录Weblogic管理控制台2. 进入“域结构一环境一服务器”3. 进入需要配置的服务器，进入“日志记录一HTTP”4. 查看是否启用HTTP访问日志文件。基线符合性 判定依据启用HTTP访问日志文件。加固方案1. 以管理员身份登录Weblogic管理控制台2. 进入

10、“域结构一环境一服务器”3. 进入需要配置的服务器，进入“日志记录一HTTP”4. 启用HTTP访问日志文件。风险等级低备注3.2 审核日志安全基线 项目名称Weblogic审核日志安全基线要求项安全基线编号Weblogic安全配置技术要求-7安全基线项说明设置审计管理控制台事件，启用审计管理控制台。检测操作步骤1. 以管理员身份登录Weblogic管理控制台2. 进入“域结构一安全领域一需要配置的领域一提供程序一审计”3. 查看是否配置审计提供程序基线符合性 判定依据1.配置了审计提供程序，启用警告、错误、成功、失败审计严重性。加固方案1. 以管理员身份登录Weblogic管理控制台2. 进

11、入“域结构一安全领域一需要配置的领域一提供程序一审计”3. 新建审计提供程序，并设置审计的严重性为FAILURE。4. 启用警告、错误、成功、失败审计严重性。风险等级中备注第4章 服务安全4.1 禁用 Sender-Server-HeaderS安全基线 项目名称Weblogic 禁用 Sender-Server-HeaderS 安全基线要求项安全基线编号Weblogic安全配置技术要求-8安全基线项说明禁用 Send Server header检测操作步骤1. 以管理员身份登录Weblogic管理控制台2. 进入“域结构一环境一服务器”3. 进入需要管理的服务器，进入“协议一HTTP”4. 查

12、看是否勾选“发送服务器标头”基线符合性 判定依据未勾选发送服务器标头加固方案1. 以管理员身份登录Weblogic管理控制台2. 进入“域结构一环境一服务器”3. 进入需要管理的服务器，进入“协议一HTTP”4. 取消勾选“发送服务器标头”风险等级低备注4.2更改WebLogic服务器默认端口安全基线 项目名称Weblogic默认端口安全基线要求项安全基线编号Weblogic安全配置技术要求-9安全基线项说明更改WebLogic默认管理端口。检测操作步骤1. 以管理员身份登录Weblogic管理控制台2. 进入“域结构一环境一服务器”3. 进入需要管理的服务器，进入“配置一一般信息”4. 查看

13、监听端口基线符合性 判定依据监听端口非默认的7001端口加固方案1. 以管理员身份登录Weblogic管理控制台2. 进入“域结构一环境一服务器”3. 进入需要管理的服务器，进入“配置一一般信息”4. 修改监听端口风险等级高备注4.3 配置加密协议安全基线 项目名称Weblogic加密协议安全基线要求项安全基线编号Weblogic安全配置技术要求-10安全基线项说明WebLogic启用SSL加密协议，保护传输数据的安全性。检测操作步骤1. 以管理员身份登录Weblogic管理控制台2. 进入“域结构一环境一服务器”3. 进入需要管理的服务器，进入“配置一一般信息”4. 查看是否启用SSL监听端

14、口基线符合性 判定依据启用SSL监听端口，并且端口号不为7002加固方案1. 以管理员身份登录Weblogic管理控制台2. 进入“域结构一环境一服务器”3. 进入需要管理的服务器，进入“配置一一般信息”4. 启用SSL监听端口，并设置端口号。风险等级高备注4.4 限制 socket 的数量安全基线 项目名称Weblogic限制socket数量安全基线要求项安全基线编号Weblogic安全配置技术要求T1安全基线项说明Sockets最大打开数目设置不当的话，容易受到拒绝服务攻击，超出操 作系统文件描述符限制。检测操作步骤1. 以管理员身份登录Weblogic管理控制台2. 进入“域结构一环境一

15、服务器”3. 进入需要管理的服务器，进入“配置一优化”4. 查看最大打开套接字数设置。基线符合性 判定依据最大打开套接字数设置不为-1加固方案1. 以管理员身份登录Weblogic管理控制台2. 进入“域结构一环境一服务器”3. 进入需要管理的服务器，进入“配置一优化”4. 修改最大打开套接字数设置=1024。风险等级高备注4.5 配置错误页面处理安全基线 项目名称Weblogic错误页面处理安全基线要求项安全基线编号Weblogic安全配置技术要求-12安全基线项说明重新定义默认出错页面检测操作步骤1.以管理员身份登录服务器，命令行模式查看weblogic安装路径下的 web.xml 文件：

16、#more ./consoleapp/webapp/WEBTNF/ web.xml 查看是否有error-page对应配置2. 通过web访问weblogic不存在的贝面基线符合性 判定依据具有error-page对应配置能够指向指定的错误页面加固方案1. 以管理员身份登录服务器，命令行模式编辑weblogic安装路径下的 web.xml 文件：#vi ./server/lib/consoleapp/webapp/WEBTNF/web.xml2. 添加如下字段：errorpageerror-code404/error-codelocation/errors/404.jsp/location /

17、error-page风险等级低备注4.6 运行模式安全基线 项目名称Weblogic运行模式安全基线要求项安全基线编号Weblogic安全配置技术要求T3安全基线项说明WebLogic默认以开发方式运行，安全限制很宽松，需配置运行模式为 生产模式。检测操作步骤1. 以管理员身份登录Weblogic管理控制台2. 进入“域结构一需要配置的域一一般信息”3. 查看是否勾选“生产模式”基线符合性 判定依据设置为生产模式加固方案1.以管理员身份登录Weblogic管理控制台2. 进入“域结构一需要配置的域一一般信息”3. 勾选“生产模式”风险等级低备注4.7 删除 sample 程序安全基线 项目名称

18、Weblogic删除sample程序安全基线要求项安全基线编号Weblogic安全配置技术要求T4安全基线项说明需删除示例程序检测操作步骤1. 以管理员身份登录Weblogic管理控制台2. 进入“域结构一部署”3. 查看是否有类似“examplesWebApp、mainWebApp等例子程序”基线符合性 判定依据无例子程序加固方案1. 以管理员身份登录Weblogic管理控制台2. 进入“域结构一部署”3. 删除类似“examplesWebApp、mainWebApp 等例子程序”风险等级高备注第5章 补丁管理5.1 补丁管理安全基线 项目名称Weblogic取新补丁安全基线要求项安全基线编号Weblogic安全配置技术要求T5安全基线项说明在不影响业务的情况下，升级到最新补丁，而且该补丁要通过实验测试。检测操作步骤1. 以管理员身份登录Weblogic管理控制台2. 进入“域结构一服务器”3. 进入需要管理的服务器，进入“监视一一般信息”4. 查看Weblogic版本基线符合性 判定依据安装最新安全相关补丁包加固方案安全补丁下载需要BEA公司授权，查询WebLogic官网安全公告风险等级高备注