Weblogic 整改方法
1 應對登陸操做系統和數據庫的用戶進行身份標識和鑑別
全部應用系統的weblogic都要登陸名與密碼
2 密碼複雜度要求
Home > Summary of Servers > Summary of Security Realms > myrealm > Users and Groups > Providers > DefaultAuthenticator
這個參數是weblogic默認值,只要檢查一下是否是以下圖就能夠,若是不是要修改成8
3 密碼是否認期修改、要配置Weblogic的失敗處理功能,
Lockout Threshold 設置嘗試登陸次數 爲5
Lockout Duration 設置帳號鎖定時間 3
Lockout Reset Duration 設置失敗嘗試時間 3
Lockout cache size 5 不操做幾分鐘後註銷用戶
4 開啓SSL
選上SSL listen port enabled 端口不能與如今端口重複
5 檢查不一樣的用戶分配不一樣的用戶名
說明相應用戶的做用
6檢查Weblogic應用服務器,查看其是否採用兩種/以上身份鑑別技術的組合來進行身份驗證。
訪問控制
1 檢查Weblogic 應用服務器的安全策略,查看操做系統對這些重要文件的訪問權限是否進行了限制,(檢查weblogic安裝目錄,與域目錄的訪問權限);修改weblogic控制區端口,不能爲7001,能夠經過啓動管理端口,Enable Administration Port , 並指定管理端口
2 檢查服務器操做系統與weblogic應用服務器檢查用戶權限分離的狀況;
操做系統應分爲不一樣的帳號,管理不一樣的工做;root 爲管理員,weblogic用戶爲啓動關閉weblogic應用的用戶;在weblogic中用戶應分爲監控用的用戶與管理員用戶。
3 檢查weblogic應用服務器與操做系統管理員是否由不一樣的管理員擔任
回答是,weblogic由系統管理員作,操做系統管理員由平臺組作
4 限制weblogic用戶在操做系統中只能查weblogic的內容
5 檢查主要服務器操做系統和weblogic應用服務器材查看匿名/默認的訪問權限是否已補禁用或者嚴格限制,是否刪除多餘、過時的的共享帳戶。
這一項檢查系統才知
6 是否依據安全策略嚴格控制用戶對有敏感標記重要信息資源的操做
安全審計
1 檢查weblogic 是否開了日誌審計
Weblogic 默認打開審計日誌功能,並檢查HTTP是否有打開審計
選上HTTP access log file enabled, 要重啓應用才生效
2 檢查主要服務器操做系統、終端操做系統、weblogic應用服務器的安全審計配置是否符合審計策略的要求
Weblogic 的安全審計要求 默認值 能夠知足要求, DEBUG級別就進行記錄。
3 檢查主要服務器操做系統、終端操做系統、weblogic應用服務器的安全審計配置是否包括髮生日期、觸發事件的主體、客體、事件的類型、事件成功或失敗、事件的結果。
weblogic默認值能夠知足要求
4 保證審計日誌文件應用設置訪問權限,禁止未經受權的用戶訪問,
若是weblogic安裝在windows系統中,要確保everyone 沒有訪問相應目錄的權限;在linux 文件的權限應爲640,同時日誌建議保留2個月以上。
5檢查是否爲受權用戶提供瀏覽和分析審計記錄的功能,是否能夠根據須要生成不一樣的格式審計報表
Weblogic控制區能夠進行表格式顯示、並行進行排序等
6 測試weblogic應用服務器,非審計員的帳號沒法中斷審計進程,
只有有啓動關閉weblogic進程的用戶才能中斷審計進程; 默認是無問題
剩餘信息保護
1 訪談系統管理員, 回答 用戶的鑑別信息存儲空間會自動釋放或再分配時自動刪除記錄,系統的存儲空間分配給別的用戶時會先刪除文件
2 回答, 數據庫記錄等資源分配給別的用戶前會刪除全部記錄。
3 用戶退出weblogic控制區後自動清除信息,只能在IE裏實現 ,weblogic 不會記錄密碼。
入侵防範
1、2問應該回答確定的,1、二項在網絡設備裏實現,
3 有按期備份應用文檔與weblogic配置文件,並作按期的恢復測試。
4 檢查版本號
5 禁用 servers->protocols->http->send server header
6 按下圖設置,hostname verification 爲BEA Hostname Verifier
資源控制
1 檢查weblogic 應用服務器,查看是否設定了終端接入方式、網絡地址範圍等條件限制終端登陸, 、
回答有,要運行接入認證系統才能登陸IDC裏的系統
2與書本對應位置不一樣,weblogic 9.2按如下方法處理,要重啓weblogic
查看domain-configuration general--advanced--console session timeout參數值配置(建議爲300)WLS10.3之後才能直接修改
|
WLS9.2修改方法:WLS安裝目錄/weblogic923/weblogic92/server/lib/consoleapp/webapp/WEB-INF/weblogic.xml |
3 檢查主要服務器操做系統,查看其是否對CPU,硬盤,內存和網絡等資源的使用進行監控。
IT集中監控已實現功能
4 設置Maximun open sockets 通常爲250 營銷系統因爲使用者比較多,修改值爲500,
Weblogic 9.2 要在cofing.xml 中設置
檢查Servers-〉Configuration-〉Tuning,檢查Maximum Open Sockets參數值(建議250)。
|
在config.xml文件</ssl>後面加入代碼<max-open-sock-count>250</max-open-sock-count>(要求中止應用重啓adminserver) |
5檢查主要服務器操做系統,服務水平下降到預先規定的最小值時,參檢測和報警
IT集中監控已實現功能