Weblogic 整改方法

Weblogic 整改方法

 

1 应对登录操作系统和数据库的用户进行身份标识和鉴别

 

所有应用系统的weblogic都要登录名与密码

2 密码复杂度要求

 

Home > Summary of Servers > Summary of Security Realms > myrealm > Users and Groups > Providers > DefaultAuthenticator   

这个参数是weblogic默认值，只要检查一下是不是如下图就可以，如果不是要修改为8

3 密码是否定期修改、要配置Weblogic的失败处理功能，

Lockout Threshold 设置尝试登录次数 为5

Lockout Duration 设置账号锁定时间 3

Lockout Reset Duration 设置失败尝试时间 3

Lockout cache size 5 不操作几分钟后注销用户

 

 

4 开启SSL

选上SSL listen port enabled   端口不能与现在端口重复

5 检查不同的用户分配不同的用户名

说明相应用户的作用

6检查Weblogic应用服务器，查看其是否采用两种/以上身份鉴别技术的组合来进行身份验证。

 

 

 

 

 

 

 

 

访问控制

1 检查Weblogic 应用服务器的安全策略，查看操作系统对这些重要文件的访问权限是否进行了限制，（检查weblogic安装目录，与域目录的访问权限）；修改weblogic控制区端口，不能为7001，可以通过启动管理端口，Enable Administration Port , 并指定管理端口

2 检查服务器操作系统与weblogic应用服务器检查用户权限分离的情况；

操作系统应分为不同的账号，管理不同的工作；root 为管理员，weblogic用户为启动关闭weblogic应用的用户；在weblogic中用户应分为监控用的用户与管理员用户。

 

3 检查weblogic应用服务器与操作系统管理员是否由不同的管理员担任

 

回答是，weblogic由系统管理员做，操作系统管理员由平台组做

 

4 限制weblogic用户在操作系统中只能查weblogic的内容

 

5 检查主要服务器操作系统和weblogic应用服务器材查看匿名/默认的访问权限是否已补禁用或者严格限制，是否删除多余、过期的的共享账户。

 

这一项检查系统才知

 

6 是否依据安全策略严格控制用户对有敏感标记重要信息资源的操作

 

安全审计

 

1 检查weblogic 是否开了日志审计

 Weblogic 默认打开审计日志功能，并检查HTTP是否有打开审计

选上HTTP access log file enabled,   要重启应用才生效

 

2 检查主要服务器操作系统、终端操作系统、weblogic应用服务器的安全审计配置是否符合审计策略的要求

 

Weblogic 的安全审计要求 默认值  可以满足要求， DEBUG级别就进行记录。

3 检查主要服务器操作系统、终端操作系统、weblogic应用服务器的安全审计配置是否包括发生日期、触发事件的主体、客体、事件的类型、事件成功或失败、事件的结果。

weblogic默认值可以满足要求

 

4 保证审计日志文件应用设置访问权限，禁止未经授权的用户访问，

如果weblogic安装在windows系统中，要确保everyone 没有访问相应目录的权限；在linux 文件的权限应为640，同时日志建议保留2个月以上。

 

5检查是否为授权用户提供浏览和分析审计记录的功能，是否可以根据需要生成不同的格式审计报表

 

Weblogic控制区可以进行表格式显示、并行进行排序等

 

6 测试weblogic应用服务器，非审计员的账号无法中断审计进程，

 

只有有启动关闭weblogic进程的用户才能中断审计进程； 默认是无问题

 

剩余信息保护

 

1 访谈系统管理员， 回答 用户的鉴别信息存储空间会自动释放或再分配时自动删除记录，系统的存储空间分配给别的用户时会先删除文件

2 回答， 数据库记录等资源分配给别的用户前会删除所有记录。

3 用户退出weblogic控制区后自动清除信息，只能在IE里实现 ，weblogic 不会记录密码。

 

 

入侵防范

 

1、2问应该回答肯定的，一、二项在网络设备里实现，

3 有定期备份应用文档与weblogic配置文件，并做定期的恢复测试。

4 检查版本号

5 禁用 servers->protocols->http->send server header

 

6  按下图设置，hostname verification 为BEA Hostname Verifier

 

资源控制

 

1 检查weblogic 应用服务器，查看是否设定了终端接入方式、网络地址范围等条件限制终端登录， 、

回答有，要运行接入认证系统才能登录IDC里的系统

 

2与书本对应位置不同，weblogic 9.2按以下方法处理，要重启weblogic

查看domain-configuration general--advanced--console session timeout参数值配置(建议为300)WLS10.3以后才能直接修改

WLS9.2修改方法：WLS安装目录/weblogic923/weblogic92/server/lib/consoleapp/webapp/WEB-INF/weblogic.xml 找到 <session-param> <param-name>TimeoutSecs</param-name> <param-value>3600</param-value> </session-param> <session-param> <param-name>CookieName</param-name> <param-value>ADMINCONSOLESESSION</param-value> </session-param> 将TimeOutSecs的value值从3600改成300，就是连接会话超时控制的时间变成了5分钟

 

3 检查主要服务器操作系统，查看其是否对CPU，硬盘，内存和网络等资源的使用进行监控。

 

IT集中监控已实现功能

 

4  设置Maximun open sockets  一般为250   营销系统由于使用者比较多，修改值为500，

 

Weblogic 9.2 要在cofing.xml  中设置

检查Servers-〉Configuration-〉Tuning，检查Maximum Open Sockets参数值（建议250）。

在config.xml文件</ssl>后面加入代码<max-open-sock-count>250</max-open-sock-count>(要求停止应用重启adminserver) managedserver在config.xml文件<name>Server1</name>后面加入代码<max-open-sock-count>250</max-open-sock-count>(要求停止应用,重启adminserver)

 

5检查主要服务器操作系统，服务水平降低到预先规定的最小值时，参检测和报警

 

IT集中监控已实现功能

来自为知笔记(Wiz)