weblogic安全策略配置.docx

weblogic安全策略配置1. 用户名密码安全设置1.1. 操作系统用户weblogic安全要求：密码长度应8位以上，并符合密码复杂度要求修改密码passwdweblogic/bea目录目录属性应为0755 1.2. 用户名密码策略要求：不使用默认用户名/密码:weblogic/weblogic密码长度应8位以上，并符合密码复杂度要求1.3. 帐号锁定策略要求：密码重试次数5次，锁定时间30分钟点击security realms 点击myrealm Users lockout1.4. 启动perties文件weblogic启动时会读取用户名和密码，不应在启动脚本里设置用户名和密码如WLS_USER=weblogic, WLS_PW=xxx；而应在域目录下设置perties文件，设置username=weblogic,password=XXX。Weblogic启动后会自动加密码perties文件。1.5. 修改weblogic密码1登录weblogic控制台，点击security realms2点击myrealm Users and Groups3点击weblogicpasswords4点击lockedit，修改密码5点save,会提示你密码修改成功6停止所有weblogic进程7修改域目录下perties文件8删掉perties缓存文件缓存文件在域目录/server下各个server下/security下9启动weblogic，用新密码登录测试。2. 审计日志2.1. 开启访问日志，并保留60天1点Environmentservers，对应各servers 2点进各serverlogginghttp 3点lockedit”rotation type”:by time;勾选limit number of retained files;files to retain:60 4点save 5点activate changes,会提示设置生效，但需重启weblogic。6如有其它server则按上面步骤设置7重启weblogic2.2. 访问日志查看方法访问日志存放在域目录下/servers/各server/logs/access.log*3. Weblogic header设置正确设置weblogic header可以防止扫描软件猜解weblogic的版本信息，进而进行下一步攻击。3.1. 禁用Send Server Header（默认禁用）点击EnvironmentserversAdminServerprotocolshttp 检查是否勾选Send Server header 3.2. 禁用X-Powered-By Header 1点击最顶部的域Web Applications 2点击lockedit修改X-Powered-By Header为X-Powered-By Header will not be sent 3点击saveactivate changes会提示设置生效，但需重启weblogic4重启weblogic4. 限制应用服务器Socket数量1停止weblogic2进入域目录下config下3备份config.xml文件cp config.xml config.xml.201005 4修改config.xml 在server/server中间，name/name后面加max-open-sock-count250/max-open-sock-count5启动weblogic验证是否生效5. 错误页面处理修改应用下/WEB-INF/web.xml,包含如下格式内容error exception-type*/exception-type locationerror.html/location /error 6. Session超时设置修改应用下/WEB-INF/weblogic.xml, 包含如下格式内容：session-descriptor session-param param-nameTimeoutSecs/param-name param-value7200/param-value /session-param /session-descriptor