WebLogic安全加固1.ppt

议程 WebLogic安全管理 WebLogic安全加固 WebLogic安全基线配置 议程 WebLogic安全管理 WebLogic安全加固 WebLogic安全基线配置 WebLogic安全管理 在WebLogic服务器中，安全主要通过配置定义安全策略的属性来实现。可以用管理控制台定义安全策略。在管理控制台中，你应该为所分发的应用指定设置与安全相关的属性 WebLogic安全管理 因为各安全部件之间是紧密关联的，因此，在进行安全配置时，很难确定从哪开始。事实上，安全配置是一个递归的过程。尽管在进行安全配置时，可能会有很多种流程，建议遵照以下步骤进行。 WebLogic安全管理 1.改变system用户的口令以保护WebLogic服务器 2.定义安全域的用户。通过对安全域中不同的用户分配不同的管理权限实现安全的管控。 3.限制应用服务器socket数量 WebLogic安全管理 4.客户端与WebLogic服务器之间的通信采用SSL协议，这样可以保护网络连接。当使用SSL协议，WebLogic服务器会使用由可靠的证书管理机构所发放的数字证书对客户进行验证。 5.通过实施双向认证进一步保护你的WebLogic服务器。当使用了双向验证，客户端会对WebLogic服务器进行验证，然后WebLogic服务器在对客户端进行验证。 议程 WebLogic安全管理 WebLogic安全加固 WebLogic安全基线配置 WebLogic安全加固 改变系统口令 定义用户与用户组 配置SSL协议 限制应用服务器socket数量 配置双向认证 改变系统口令 在安装WebLogic服务器时，安装程序会要求你指定系统用户的口令。该口令是WebLogic服务器中system用户的口令，存储在$Domain_Home目录中fileRealm.properties文件中。这个口令可以用于这个域的管理服务器以及所有与这个管理服务器关联的受管服务器。 保存在fileReamln.properties文件中的口令是经过加密的。WebLogic服务器对被加密的口令进行散列化处理，从而进一步保护了口令。为了提高安全性，我们建议你经常更新系统口令。 改变系统口令 控制台选择“安全领域”?“myrealm”?用户和组?对应的系统用户?“口令”，修改后保存重启管理服务器及受管服务器即可生效。 定义用户与用户组 目的：为不同的管理用户分配不同的角色，避免共享口令和减少特权ID使用 组的分类： 定义用户与用户组 定义不同的用户加入到不同的组可以实现权限的分离，根据不同用户的实际功能归属于对应的如部署、操作、监控、管理员组。 配置SSL协议 采用安全套接层协议（SSL），两个通过网络连接的应用可以相互进行身份验证，可以对要交换的数据进行加密。SSL协议提供了服务器验证，可选的客户端验证、加密以及数据完整性。 限制应用服务器Socket数量 Sockets最大打开数目设置不当的话，容易受到拒绝服务攻击，超出操作系统文件描述符限制。 以管理员用户登陆控制台： 1.点击左侧面板的“服务器”文件夹，点击要管理的应用服务器 2.在右侧面板的“Configuration”面板下选择“Tuning”标签，查看Maximum Open Sockets值 3.要求Maximum Open Sockets不大于254. 配置双向认证 如果WebLogic服务器使用双向认证，那么客户端需要向WebLogic服务器出示数字证书，WebLogic服务器根据一个可靠的证书管理机构列表来验证数字证书。 配置双向认证 1.把WebLogic服务器使用的数字管理机构根证书复制到$Domain_Home目录中。在双向认证中，客户端需要出示由这些可靠的证书管理机构之一所发放的数字证书。 2. 要启用双向认证，在管理控制台的Server Configuration窗口中，选SSL标签页中的Client Certificate Enforced选项。该选项缺省为禁用的。 议程 WebLogic安全管理 WebLogic安全加固 WebLogic安全基线配置 WebLogic启动用户 安全基线项目名称 WebLogic启动用户安全基线要求项 安全基线项说明 WebLogic Server有相应的启停账号，也就是process ID 检测操作步骤 1、参考配置操作 通过ps -ef|grep java命令找出启动WebLogic Server的OS账号 基线符合性判定依据 1、判定条件 相应的