weblogic安全设置.doc

weblogic安全设置 用户名密码安全设置 操作系统用户weblogic安全 要求：密码长度应8位以上，并符合密码复杂度要求 修改密码 passwd weblogic /bea目录目录属性应为0755 用户名密码策略 要求：不使用默认用户名/密码:weblogic/weblogic 密码长度应8位以上，并符合密码复杂度要求 帐号锁定策略 要求：密码重试次数5次，锁定时间30分钟 点击security realms 点击myrealm Users lockout 表. 配置用户封锁 设置 描述 默认值 Lockout Enabled 该设置表明是否启用封锁功能。如果使用另一种可选的Authentication Provider（它使用自己独有的保护用户帐户的机制），需要禁用这项功能。 true Lockout Threshold 该设置决定了在封锁用户之前，允许登录尝试失败的最大次数。 5 Lockout Reset Duration 假定Lockout Threshold是5，而Lockout Reset Duration是3分钟。如果一个用户在3分钟之内进行了5次失败的登录尝试，该用户帐户将被封锁。如果这5次失败的尝试并非发生在3分钟之内，那么该帐户仍然保持活动。 5分钟 Lockout Duration 该设置决定了被封锁之后，用户无法访问其帐号的持续时间（以分钟为单位）。 30分钟 Lockout Cache Size 该设置指定用于保存无效登录尝试的缓存大小。 5 Lockout GC Threshold 该设置决定了内存中保存的无效登录尝试的最大值。当无效登录记录的数目超过了这个值，WebLogic的垃圾收集器就会删除所有到期的记录——此时相关的用户已经被封锁。 400 WLS_USER=weblogic, WLS_PW=xxx；而应在域目录下设置perties文件，设置username=weblogic,password=XXX。Weblogic启动后会自动加密码perties文件，如下图： 修改weblogic密码 1登录weblogic控制台，点击security realms 2点击myrealm Users and Groups 3点击weblogicpasswords 4点击lockedit，修改密码 5点save,会提示你密码修改成功 6停止所有weblogic进程 或者： 7修改域目录下perties文件 8删掉perties缓存文件 缓存文件在域目录/server下各个server下/security下： 9启动weblogic，用新密码登录测试。 审计日志 开启访问日志，并保留60天 1点Environmentservers，对应各servers 2点进各serverlogginghttp 3点lockedit”rotation type”:by time;勾选limit number of retained files;files to retain:60 4点save 5点activate changes,会提示设置生效，但需重启weblogic。 6如有其它server则按上面步骤设置 7重启weblogic 访问日志查看方法 访问日志存放在域目录下/servers/各server/logs/access.log* Weblogic header设置 正确设置weblogic header可以防止扫描软件猜解weblogic的版本信息，进而进行下一步攻击。 禁用Send Server Header（默认禁用） 点击EnvironmentserversAdminServerprotocolshttp 检查是否勾选Send Server header 禁用X-Powered-By Header 1点击最顶部的域Web Applications 2点击lockedit修改X-Powered-By Header为X-Powered-By Header will not be sent 3点击saveactivate changes会提示设置生效，但需重启weblogic 4重启weblogic 限制应用服务器Socket数量 1停止weblogic 2进入域目录下config下 3备份config.xml文件 cp config.xml config.xml.201005 4修改config.xml 在server/server中间，name/name后面加 max-open-sock-count250/max-open-sock-count 5启动weblogic验证是否生效 错误页面处理 修改应用下/WEB-INF/web.xml,包含如下格式内容: error