WebLogicWeb 服務(wù)器安全配置基線目 錄第1章?概述 ....................................................................

WebLogicWeb 服務(wù)器安全配置基線

目 錄

第1章?概述 ......................................................................................................................................... 1?

1.1?

1.2?

1.3?目的 ......................................................................................................................................... 1?適用范圍 ................................................................................................................................. 1?適用版本 ................................................................................................................................. 1?

第2章?賬號(hào)管理、認(rèn)證授權(quán) ............................................................................................................. 2?

2.1?賬號(hào) ......................................................................................................................................... 2?

賬號(hào)鎖定策略 ................................................................................................................. 2?

2.2?口令 ......................................................................................................................................... 2?

2.2.1?密碼復(fù)雜度 ..................................................................................................................... 2?2.1.1?

第3章?日志配置操作 ......................................................................................................................... 4?

3.1?日志配置 ................................................................................................................................. 4?

3.1.1?

第4章?

4.1?審核登錄 ......................................................................................................................... 4?IP 協(xié)議安全配置 ................................................................................................................ 5?IP 協(xié)議. .................................................................................................................................... 5?

4.1.1?

4.1.2?

4.1.3?支持加密協(xié)議 ................................................................................................................. 5?限制應(yīng)用服務(wù)器Socket 數(shù)量. ........................................................................................ 5?禁用Send Server Header ................................................................................................ 6?

第5章?設(shè)備其他配置操作 ................................................................................................................. 7?

5.1?安全管理 ................................................................................................................................. 7?

5.1.1?

5.1.2?

5.1.3?

5.1.4?定時(shí)登出 ......................................................................................................................... 7?更改默認(rèn)端口 ................................................................................................................. 7?錯(cuò)誤頁(yè)面處理 ................................................................................................................. 8?目錄列表訪問限制 ......................................................................................................... 8?

I

第1章 概述

1.1 目的

本文檔規(guī)定了WebLogic Web服務(wù)器應(yīng)當(dāng)遵循的安全性設(shè)置標(biāo)準(zhǔn)，本文檔旨在指導(dǎo)系統(tǒng)管理人員進(jìn)行WebLogic Web服務(wù)器的安全配置。

1.2 適用范圍

本配置標(biāo)準(zhǔn)的使用者包括：服務(wù)器系統(tǒng)管理員、應(yīng)用管理員、網(wǎng)絡(luò)安全管理員。

1.3 適用版本

6.x 、7.x 、8.x 版本的WebLogic Web服務(wù)器。

現(xiàn)在最新的weblogic 服務(wù)器時(shí)9.1，此文件不適用與最新的服務(wù)器

第2章 賬號(hào)管理、認(rèn)證授權(quán)

2.1 賬號(hào)

2.1.1 賬號(hào)鎖定策略 安全基線項(xiàng)

目名稱

安全基線編

號(hào)

安全基線項(xiàng)

說(shuō)明

檢測(cè)操作步

驟 WebLogic 賬號(hào)鎖定安全基線要求項(xiàng) SBL-WebLogic-02-01-01 要求設(shè)定帳號(hào)鎖定次數(shù)和時(shí)間 1、參考配置操作 查看以管理員身份登錄控制臺(tái)

1. 點(diǎn)擊左側(cè)面板”Security”文件夾，展開”REALM”

2. 點(diǎn)擊右側(cè)面板中的”User Lock”標(biāo)簽，查看Lockout Enabled，Lockout

Threshold ，Lockout Duration等

基線符合性

判定依據(jù) 1、判定條件 要求Lockout Enabled=true;

Lockout Threshold=5;

Lockout Duration=30

備注

2.2 口令

2.2.1 密碼復(fù)雜度

安全基線項(xiàng)

目名稱

安全基線編

號(hào)

安全基線項(xiàng)

說(shuō)明

檢測(cè)操作步

驟 WebLogic 密碼復(fù)雜度安全基線要求項(xiàng) SBL-WebLogic-02-01-01 對(duì)于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，口令長(zhǎng)度至少8位。 1、參考配置操作 查看WebLogic 安裝目錄下的weblogic.properties 配置文件

2、補(bǔ)充操作說(shuō)明

口令要求：長(zhǎng)度至少8位。

基線符合性判定依據(jù) 備注 1、判定條件 weblogic.system.minPasswordLen=8

第3章 日志配置操作

3.1 日志配置

3.1.1 審核登錄 安全基線項(xiàng)

目名稱

安全基線編

號(hào)

安全基線項(xiàng)

說(shuō)明

檢測(cè)操作步

驟

基線符合性

判定依據(jù)

備注

WebLogic 審核登錄安全基線要求項(xiàng) SBL-WebLogic-03-01-01 設(shè)備應(yīng)配置日志功能，對(duì)用戶登錄進(jìn)行記錄，記錄內(nèi)容包括用戶登錄使用的賬號(hào)，登錄是否成功，登錄時(shí)間，以及遠(yuǎn)程登錄時(shí)，用戶使用的IP 地址。 1、參考配置操作 查看WebLogic 安裝目錄下的weblogic.properties 配置文件 1、判定條件 weblogic.system.enableReverseDNSLookups=true

第4章 IP 協(xié)議安全配置

4.1 IP協(xié)議

4.1.1 支持加密協(xié)議 安全基線項(xiàng)

目名稱

安全基線編

號(hào)

安全基線項(xiàng)

說(shuō)明

檢測(cè)操作步

驟

基線符合性

判定依據(jù) WebLogic 支持加密協(xié)議安全基線要求項(xiàng) SBL-WebLogic-04-01-01 對(duì)于通過HTTP 協(xié)議進(jìn)行遠(yuǎn)程維護(hù)的設(shè)備，設(shè)備應(yīng)支持使用HTTPS 等加密協(xié)議。 1、參考配置操作 查看WebLogic 安裝目錄下的weblogic.properties 配置文件 1、判定條件 weblogic.system.SSLListenPort=portNumber

weblogic.security.certificate.server=mycert.der weblogic.security.key.server=mykey.der

weblogic.security.certificate.authority=CA.der

weblogic.security.certificateCacheSize=5

weblogic.security.clientRootCA=anyValidCertificate weblogic.httpd.register.authenticated=

weblogic.t3.srvr.ClientAuthenticationServlet

weblogic.httpd.register.T3AdminCaptureRootCA=admin.T3AdminCaptureRootCA

備注

4.1.2 限制應(yīng)用服務(wù)器Socket 數(shù)量

安全基線項(xiàng)

目名稱

安全基線編

號(hào)

安全基線項(xiàng)

說(shuō)明

檢測(cè)操作步

驟 WebLogic 限制應(yīng)用服務(wù)器Socket 數(shù)量安全基線要求項(xiàng) SBL-WebLogic-04-01-02 Sockets 最大打開數(shù)目設(shè)置不當(dāng)?shù)脑?，容易受到拒絕服務(wù)攻擊，超出操作系統(tǒng)文件描述符限制 1、參考配置操作 以管理員身份登錄管理控制臺(tái)

1. 點(diǎn)擊左側(cè)面板的域名文件夾，然后點(diǎn)擊Servers 文件夾，雙擊要管理的服務(wù)器

2. 在右側(cè)面板的“Configuration”面板下選擇“Tuning”標(biāo)簽，查看Maximum Open Sockets值

基線符合性

判定依據(jù)

備注 1、判定條件 要求Maximum Open Sockets不大于254。

4.1.3 禁用Send Server Header 安全基線項(xiàng)

目名稱

安全基線編

號(hào)

安全基線項(xiàng)

說(shuō)明

檢測(cè)操作步

驟 WebLogic 禁用Send Server Header安全基線要求項(xiàng) SBL-WebLogic-04-01-03 Sockets 最大打開數(shù)目設(shè)置不當(dāng)?shù)脑挘菀资艿骄芙^服務(wù)攻擊，超出操作系統(tǒng)文件描述符限制 1、參考配置操作 以管理員身份登錄管理控制臺(tái)

1. 點(diǎn)擊域名下的Servers 文件夾，選擇要管理的服務(wù)器

2. 在右側(cè)面板“Protocols”面板下，點(diǎn)擊HTTP 標(biāo)簽

3. 檢查是否勾選Send Server header

基線符合性

判定依據(jù)

備注 1、判定條件 要求禁止Send Server header

第5章 設(shè)備其他配置操作

5.1 安全管理

5.1.1 定時(shí)登出 安全基線項(xiàng)

目名稱

安全基線編

號(hào)

安全基線項(xiàng)

說(shuō)明

檢測(cè)操作步

驟

基線符合性

判定依據(jù)

備注 WebLogic 定時(shí)登出安全基線要求項(xiàng) SBL-WebLogic-05-01-01 對(duì)于具備字符交互界面的設(shè)備，應(yīng)支持定時(shí)賬戶自動(dòng)登出。登出后用戶需再次登錄才能進(jìn)入系統(tǒng)。 1、參考配置操作 查看WebLogic 安裝目錄下的weblogic.properties 配置文件 1、判定條件 weblogic.login.readTimeoutMillis=integer weblogic.login.readTimeoutMillisSSL=integer 5.1.2 更改默認(rèn)端口

安全基線項(xiàng)

目名稱

安全基線編

號(hào)

安全基線項(xiàng)

說(shuō)明

檢測(cè)操作步

驟

基線符合性

判定依據(jù)

備注 WebLogic 運(yùn)行端口安全基線要求項(xiàng) SBL-WebLogic-05-01-02 更改WebLogic 服務(wù)器默認(rèn)端口 1、參考配置操作 查看WebLogic 安裝目錄下的weblogic.properties 配置文件 1、判定條件 weblogic.system.listenPort=integer

5.1.3 錯(cuò)誤頁(yè)面處理

安全基線項(xiàng)

目名稱

安全基線編

號(hào)

安全基線項(xiàng)

說(shuō)明

檢測(cè)操作步

驟

基線符合性

判定依據(jù) WebLogic 錯(cuò)誤頁(yè)面處理安全基線要求項(xiàng) SBL-WebLogic-05-01-03 WebLogic 錯(cuò)誤頁(yè)面重定向 1、參考配置操作 查看/WEB-INF/web.xml: 1、 判定條件 要求包含如下片段： 備注

5.1.4 目錄列表訪問限制 安全基線項(xiàng)

目名稱

安全基線編

號(hào)

安全基線項(xiàng)

說(shuō)明

檢測(cè)操作步

驟

基線符合性

判定依據(jù)

備注

WebLogic 目錄列表安全基線要求項(xiàng) SBL-WebLogic-05-01-04 禁止WebLogic 列表顯示文件 1、參考配置操作 查看WebLogic 安裝目錄下的weblogic.properties 配置文件 1、判定條件 weblogic.httpd.indexDirectories=false