weblogic中间件安全配置基线.doc

weblogic中间件安全配置基线 广东卓维网络有限公司 文档信息： 本文档根据信息系统安全等级保护（第二级）要求及南网标准Q/CSG 11804-2010要求文档编写而成。 文档编号： 更改记录： 目期 作者 职位 版本 备注 2010年11月 卢钢锋 1.0 2012年3月 卢钢锋 2.0 审阅： 姓名 职位 备注 分发： 序号 时间 文档版本 接收人姓名 接收单位 接收地点（方式） 适用版本： 适用weblogic9以上版本，示例版本为weblogic9.2.3  目 录 1. 用户帐号与口令安全 4 1.1. weblogic启动帐户 4 1.2. 操作系统用户weblogic安全 4 1.3. console控制台用户名密码策略 4 1.4. 控制台帐号锁定策略 5 1.5. 启动perties文件 7 1.6. 修改weblogic密码 7 2. 安装目录安全 10 3. 审计日志 11 3.1. 开启访问日志，并保留60天 11 3.2. 访问日志查看方法 13 4. 安装优化 13 5. Console控制台安全 14 5.1. 重命名控制台文件夹(console) 14 5.2. 修改默认端口及ssl加密 15 5.3. 控制台session超时设置 15 6. 开启SSL保护功能 16 7. Weblogic header设置 16 7.1. 禁用Send Server Header（默认禁用） 16 7.2. 禁用X-Powered-By Header 17 8. 限制应用服务器Sockets数量 18 8.1. 对于受管Server 18 8.2. 对于AdminServer 19 9. 错误页面处理 20 10. Session超时设置 21 11. 备份容错 21 用户帐号与口令安全 weblogic启动帐户 weblogic应以普通用户身份运行，如果weblogic以特权用户身份运行，应用服务器如果溢出，攻击者将直接获得root权限，存在较严重的安全隐患。 建议系统建立weblogic用户，并以此用户运行weblogic。（windows下亦应如此，启动时可以用runas命令以weblogic用户身份运行）: runas.exe /user:weblogic /savecred 启动weblogic命令全路径: 操作系统用户weblogic安全 要求：密码长度应8位以上，并符合密码复杂度要求。 console控制台用户名密码策略 要求：不使用默认用户名/密码:weblogic/weblogic 密码长度应8位以上，并符合密码复杂度要求 查看最小口令长度方法 点击Security RealmsmyrealmProviders DefaultAuthenticatorProvider Specific 查看Minimum Password Length是否8位以上 控制台帐号锁定策略 要求：密码重试次数5次，锁定时间3分钟，失败尝试时间3分钟 点lockedit点击security realms 点击myrealm Users lockout 表. 配置用户封锁 设置 描述 默认值 Lockout Enabled 该设置表明是否启用封锁功能。如果使用另一种可选的Authentication Provider（它使用自己独有的保护用户帐户的机制），需要禁用这项功能。 true Lockout Threshold 该设置决定了在封锁用户之前，允许登录尝试失败的最大次数。 5 Lockout Reset Duration 假定Lockout Threshold是5，而Lockout Reset Duration是3分钟。如果一个用户在3分钟之内进行了5次失败的登录尝试，该用户帐户将被封锁。如果这5次失败的尝试并非发生在3分钟之内，那么该帐户仍然保持活动。 5分钟 Lockout Duration 该设置决定了被封锁之后，用户无法访问其帐号的持续时间（以分钟为单位）。 30分钟 Lockout Cache Size 该设置指定用于保存无效登录尝试的缓存大小。 5 Lockout GC Threshold 该设置决定了内存中保存的无效登录尝试的最大值。当无效登录记录的数目超过了这个值，WebLogic的垃圾收集器就会删除所有到期的记录——此时相关的用户已经被封锁。 400 WLS_USER=weblogic, WLS_PW=xxx；而应在域目录下设置perties文件，设置username=weblogic,password=XXX。Weblogic启动后会自动加密p