Weblogic 整改方法

Weblogic 整改方法

 

1 應對登錄操作系統和數據庫的用戶進行身份標識和鑒別

 

所有應用系統的weblogic都要登錄名與密碼

2 密碼復雜度要求

 

Home > Summary of Servers > Summary of Security Realms > myrealm > Users and Groups > Providers > DefaultAuthenticator   

這個參數是weblogic默認值，只要檢查一下是不是如下圖就可以，如果不是要修改為8

3 密碼是否定期修改、要配置Weblogic的失敗處理功能，

Lockout Threshold 設置嘗試登錄次數 為5

Lockout Duration 設置賬號鎖定時間 3

Lockout Reset Duration 設置失敗嘗試時間 3

Lockout cache size 5 不操作幾分鍾后注銷用戶

 

 

4 開啟SSL

選上SSL listen port enabled   端口不能與現在端口重復

5 檢查不同的用戶分配不同的用戶名

說明相應用戶的作用

6檢查Weblogic應用服務器，查看其是否采用兩種/以上身份鑒別技術的組合來進行身份驗證。

 

 

 

 

 

 

 

 

訪問控制

1 檢查Weblogic 應用服務器的安全策略，查看操作系統對這些重要文件的訪問權限是否進行了限制，（檢查weblogic安裝目錄，與域目錄的訪問權限）；修改weblogic控制區端口，不能為7001，可以通過啟動管理端口，Enable Administration Port , 並指定管理端口

2 檢查服務器操作系統與weblogic應用服務器檢查用戶權限分離的情況；

操作系統應分為不同的賬號，管理不同的工作；root 為管理員，weblogic用戶為啟動關閉weblogic應用的用戶；在weblogic中用戶應分為監控用的用戶與管理員用戶。

 

3 檢查weblogic應用服務器與操作系統管理員是否由不同的管理員擔任

 

回答是，weblogic由系統管理員做，操作系統管理員由平台組做

 

4 限制weblogic用戶在操作系統中只能查weblogic的內容

 

5 檢查主要服務器操作系統和weblogic應用服務器材查看匿名/默認的訪問權限是否已補禁用或者嚴格限制，是否刪除多余、過期的的共享賬戶。

 

這一項檢查系統才知

 

6 是否依據安全策略嚴格控制用戶對有敏感標記重要信息資源的操作

 

安全審計

 

1 檢查weblogic 是否開了日志審計

 Weblogic 默認打開審計日志功能，並檢查HTTP是否有打開審計

選上HTTP access log file enabled,   要重啟應用才生效

 

2 檢查主要服務器操作系統、終端操作系統、weblogic應用服務器的安全審計配置是否符合審計策略的要求

 

Weblogic 的安全審計要求 默認值  可以滿足要求， DEBUG級別就進行記錄。

3 檢查主要服務器操作系統、終端操作系統、weblogic應用服務器的安全審計配置是否包括發生日期、觸發事件的主體、客體、事件的類型、事件成功或失敗、事件的結果。

weblogic默認值可以滿足要求

 

4 保證審計日志文件應用設置訪問權限，禁止未經授權的用戶訪問，

如果weblogic安裝在windows系統中，要確保everyone 沒有訪問相應目錄的權限；在linux 文件的權限應為640，同時日志建議保留2個月以上。

 

5檢查是否為授權用戶提供瀏覽和分析審計記錄的功能，是否可以根據需要生成不同的格式審計報表

 

Weblogic控制區可以進行表格式顯示、並行進行排序等

 

6 測試weblogic應用服務器，非審計員的賬號無法中斷審計進程，

 

只有有啟動關閉weblogic進程的用戶才能中斷審計進程； 默認是無問題

 

剩余信息保護

 

1 訪談系統管理員， 回答 用戶的鑒別信息存儲空間會自動釋放或再分配時自動刪除記錄，系統的存儲空間分配給別的用戶時會先刪除文件

2 回答， 數據庫記錄等資源分配給別的用戶前會刪除所有記錄。

3 用戶退出weblogic控制區后自動清除信息，只能在IE里實現 ，weblogic 不會記錄密碼。

 

 

入侵防范

 

1、2問應該回答肯定的，一、二項在網絡設備里實現，

3 有定期備份應用文檔與weblogic配置文件，並做定期的恢復測試。

4 檢查版本號

5 禁用 servers->protocols->http->send server header

 

6  按下圖設置，hostname verification 為BEA Hostname Verifier

 

資源控制

 

1 檢查weblogic 應用服務器，查看是否設定了終端接入方式、網絡地址范圍等條件限制終端登錄， 、

回答有，要運行接入認證系統才能登錄IDC里的系統

 

2與書本對應位置不同，weblogic 9.2按以下方法處理，要重啟weblogic

查看domain-configuration general--advanced--console session timeout參數值配置(建議為300)WLS10.3以后才能直接修改

WLS9.2修改方法：WLS安裝目錄/weblogic923/weblogic92/server/lib/consoleapp/webapp/WEB-INF/weblogic.xml 找到 <session-param> <param-name>TimeoutSecs</param-name> <param-value>3600</param-value> </session-param> <session-param> <param-name>CookieName</param-name> <param-value>ADMINCONSOLESESSION</param-value> </session-param> 將TimeOutSecs的value值從3600改成300，就是連接會話超時控制的時間變成了5分鍾

 

3 檢查主要服務器操作系統，查看其是否對CPU，硬盤，內存和網絡等資源的使用進行監控。

 

IT集中監控已實現功能

 

4  設置Maximun open sockets  一般為250   營銷系統由於使用者比較多，修改值為500，

 

Weblogic 9.2 要在cofing.xml  中設置

檢查Servers-〉Configuration-〉Tuning，檢查Maximum Open Sockets參數值（建議250）。

在config.xml文件</ssl>后面加入代碼<max-open-sock-count>250</max-open-sock-count>(要求停止應用重啟adminserver) managedserver在config.xml文件<name>Server1</name>后面加入代碼<max-open-sock-count>250</max-open-sock-count>(要求停止應用,重啟adminserver)

 

5檢查主要服務器操作系統，服務水平降低到預先規定的最小值時，參檢測和報警

 

IT集中監控已實現功能

來自為知筆記(Wiz)