Weblogic 整改方法

Weblogic 整改方法 linux

 

1 應對登陸操做系統和數據庫的用戶進行身份標識和鑑別 web

 

全部應用系統的weblogic都要登陸名與密碼 數據庫

2 密碼複雜度要求 windows

 

Home > Summary of Servers > Summary of Security Realms > myrealm > Users and Groups > Providers > DefaultAuthenticator    安全

這個參數是weblogic默認值,只要檢查一下是否是以下圖就能夠,若是不是要修改成8 服務器

3 密碼是否認期修改、要配置Weblogic的失敗處理功能, 網絡

Lockout Threshold 設置嘗試登陸次數 5 session

Lockout Duration 設置帳號鎖定時間 3 app

Lockout Reset Duration 設置失敗嘗試時間 3 dom

Lockout cache size 5 不操做幾分鐘後註銷用戶

 

 

4 開啓SSL

選上SSL listen port enabled   端口不能與如今端口重複

5 檢查不一樣的用戶分配不一樣的用戶名

說明相應用戶的做用

6檢查Weblogic應用服務器,查看其是否採用兩種/以上身份鑑別技術的組合來進行身份驗證。

 

 

 

 

 

 

 

 

訪問控制

1 檢查Weblogic 應用服務器的安全策略,查看操做系統對這些重要文件的訪問權限是否進行了限制,(檢查weblogic安裝目錄,與域目錄的訪問權限);修改weblogic控制區端口,不能爲7001,能夠經過啓動管理端口,Enable Administration Port , 並指定管理端口

2 檢查服務器操做系統與weblogic應用服務器檢查用戶權限分離的狀況

操做系統應分爲不一樣的帳號,管理不一樣的工做;root 爲管理員,weblogic用戶爲啓動關閉weblogic應用的用戶;在weblogic中用戶應分爲監控用的用戶與管理員用戶。

 

3 檢查weblogic應用服務器與操做系統管理員是否由不一樣的管理員擔任

 

回答是,weblogic由系統管理員作,操做系統管理員由平臺組作

 

4 限制weblogic用戶在操做系統中只能查weblogic的內容

 

5 檢查主要服務器操做系統和weblogic應用服務器材查看匿名/默認的訪問權限是否已補禁用或者嚴格限制,是否刪除多餘、過時的的共享帳戶。

 

這一項檢查系統才知

 

6 是否依據安全策略嚴格控制用戶對有敏感標記重要信息資源的操做

 

安全審計

 

1 檢查weblogic 是否開了日誌審計

 Weblogic 默認打開審計日誌功能,並檢查HTTP是否有打開審計

選上HTTP access log file enabled,   要重啓應用才生效

 

2 檢查主要服務器操做系統、終端操做系統、weblogic應用服務器的安全審計配置是否符合審計策略的要求

 

Weblogic 的安全審計要求 默認值  能夠知足要求, DEBUG級別就進行記錄。

3 檢查主要服務器操做系統、終端操做系統、weblogic應用服務器的安全審計配置是否包括髮生日期、觸發事件的主體、客體、事件的類型、事件成功或失敗、事件的結果。

weblogic默認值能夠知足要求

 

4 保證審計日誌文件應用設置訪問權限,禁止未經受權的用戶訪問,

若是weblogic安裝在windows系統中,要確保everyone 沒有訪問相應目錄的權限;在linux 文件的權限應爲640,同時日誌建議保留2個月以上。

 

5檢查是否爲受權用戶提供瀏覽和分析審計記錄的功能,是否能夠根據須要生成不一樣的格式審計報表

 

Weblogic控制區能夠進行表格式顯示、並行進行排序等

 

6 測試weblogic應用服務器,非審計員的帳號沒法中斷審計進程,

 

只有有啓動關閉weblogic進程的用戶才能中斷審計進程; 默認是無問題

 

剩餘信息保護

 

1 訪談系統管理員, 回答 用戶的鑑別信息存儲空間會自動釋放或再分配時自動刪除記錄,系統的存儲空間分配給別的用戶時會先刪除文件

2 回答, 數據庫記錄等資源分配給別的用戶前會刪除全部記錄。

3 用戶退出weblogic控制區後自動清除信息,只能在IE裏實現 weblogic 不會記錄密碼。

 

 

入侵防範

 

12問應該回答確定的,1、二項在網絡設備裏實現,

3 有按期備份應用文檔與weblogic配置文件,並作按期的恢復測試。

4 檢查版本號

5 禁用 servers->protocols->http->send server header

 

按下圖設置,hostname verification BEA Hostname Verifier

 

資源控制

 

1 檢查weblogic 應用服務器,查看是否設定了終端接入方式、網絡地址範圍等條件限制終端登陸

回答有,要運行接入認證系統才能登陸IDC裏的系統

 

2與書本對應位置不一樣,weblogic 9.2按如下方法處理,要重啓weblogic

查看domain-configuration general--advanced--console session timeout參數值配置(建議爲300)WLS10.3之後才能直接修改

WLS9.2修改方法:WLS安裝目錄/weblogic923/weblogic92/server/lib/consoleapp/webapp/WEB-INF/weblogic.xml
找到
<session-param>
<param-name>TimeoutSecs</param-name>
<param-value>
3600</param-value>
</session-param>
<session-param>
<param-name>CookieName</param-name>
<param-value>ADMINCONSOLESESSION</param-value>
</session-param>

TimeOutSecsvalue值從3600改爲300,就是鏈接會話超時控制的時間變成了5分鐘

 

3 檢查主要服務器操做系統,查看其是否對CPU,硬盤,內存和網絡等資源的使用進行監控。

 

IT集中監控已實現功能

 

設置Maximun open sockets  通常爲250   營銷系統因爲使用者比較多,修改值爲500

 

Weblogic 9.2 要在cofing.xml  中設置

檢查Servers-Configuration-Tuning,檢查Maximum Open Sockets參數值(建議250)。

config.xml文件</ssl>後面加入代碼<max-open-sock-count>250</max-open-sock-count>(要求中止應用重啓adminserver)
managedserver
config.xml文件<name>Server1</name>後面加入代碼<max-open-sock-count>250</max-open-sock-count>(要求中止應用,重啓adminserver)

 

5檢查主要服務器操做系統,服務水平下降到預先規定的最小值時,參檢測和報警

 

IT集中監控已實現功能



相關文章
相關標籤/搜索