Weblogic 整改方法

Weblogic 整改方法

 

1 應對登陸操做系統和數據庫的用戶進行身份標識和鑑別

 

全部應用系統的weblogic都要登陸名與密碼

2 密碼複雜度要求

 

Home > Summary of Servers > Summary of Security Realms > myrealm > Users and Groups > Providers > DefaultAuthenticator   

這個參數是weblogic默認值，只要檢查一下是否是以下圖就能夠，若是不是要修改成8

3 密碼是否認期修改、要配置Weblogic的失敗處理功能，

Lockout Threshold 設置嘗試登陸次數 爲5

Lockout Duration 設置帳號鎖定時間 3

Lockout Reset Duration 設置失敗嘗試時間 3

Lockout cache size 5 不操做幾分鐘後註銷用戶

 

 

4 開啓SSL

選上SSL listen port enabled   端口不能與如今端口重複

5 檢查不一樣的用戶分配不一樣的用戶名

說明相應用戶的做用

6檢查Weblogic應用服務器，查看其是否採用兩種/以上身份鑑別技術的組合來進行身份驗證。

 

 

 

 

 

 

 

 

訪問控制

1 檢查Weblogic 應用服務器的安全策略，查看操做系統對這些重要文件的訪問權限是否進行了限制，（檢查weblogic安裝目錄，與域目錄的訪問權限）；修改weblogic控制區端口，不能爲7001，能夠經過啓動管理端口，Enable Administration Port , 並指定管理端口

2 檢查服務器操做系統與weblogic應用服務器檢查用戶權限分離的狀況；

操做系統應分爲不一樣的帳號，管理不一樣的工做；root 爲管理員，weblogic用戶爲啓動關閉weblogic應用的用戶；在weblogic中用戶應分爲監控用的用戶與管理員用戶。

 

3 檢查weblogic應用服務器與操做系統管理員是否由不一樣的管理員擔任

 

回答是，weblogic由系統管理員作，操做系統管理員由平臺組作

 

4 限制weblogic用戶在操做系統中只能查weblogic的內容

 

5 檢查主要服務器操做系統和weblogic應用服務器材查看匿名/默認的訪問權限是否已補禁用或者嚴格限制，是否刪除多餘、過時的的共享帳戶。

 

這一項檢查系統才知

 

6 是否依據安全策略嚴格控制用戶對有敏感標記重要信息資源的操做

 

安全審計

 

1 檢查weblogic 是否開了日誌審計

 Weblogic 默認打開審計日誌功能，並檢查HTTP是否有打開審計

選上HTTP access log file enabled,   要重啓應用才生效

 

2 檢查主要服務器操做系統、終端操做系統、weblogic應用服務器的安全審計配置是否符合審計策略的要求

 

Weblogic 的安全審計要求 默認值  能夠知足要求， DEBUG級別就進行記錄。

3 檢查主要服務器操做系統、終端操做系統、weblogic應用服務器的安全審計配置是否包括髮生日期、觸發事件的主體、客體、事件的類型、事件成功或失敗、事件的結果。

weblogic默認值能夠知足要求

 

4 保證審計日誌文件應用設置訪問權限，禁止未經受權的用戶訪問，

若是weblogic安裝在windows系統中，要確保everyone 沒有訪問相應目錄的權限；在linux 文件的權限應爲640，同時日誌建議保留2個月以上。

 

5檢查是否爲受權用戶提供瀏覽和分析審計記錄的功能，是否能夠根據須要生成不一樣的格式審計報表

 

Weblogic控制區能夠進行表格式顯示、並行進行排序等

 

6 測試weblogic應用服務器，非審計員的帳號沒法中斷審計進程，

 

只有有啓動關閉weblogic進程的用戶才能中斷審計進程； 默認是無問題

 

剩餘信息保護

 

1 訪談系統管理員， 回答 用戶的鑑別信息存儲空間會自動釋放或再分配時自動刪除記錄，系統的存儲空間分配給別的用戶時會先刪除文件

2 回答， 數據庫記錄等資源分配給別的用戶前會刪除全部記錄。

3 用戶退出weblogic控制區後自動清除信息，只能在IE裏實現 ，weblogic 不會記錄密碼。

 

 

入侵防範

 

1、2問應該回答確定的，1、二項在網絡設備裏實現，

3 有按期備份應用文檔與weblogic配置文件，並作按期的恢復測試。

4 檢查版本號

5 禁用 servers->protocols->http->send server header

 

6  按下圖設置，hostname verification 爲BEA Hostname Verifier

 

資源控制

 

1 檢查weblogic 應用服務器，查看是否設定了終端接入方式、網絡地址範圍等條件限制終端登陸， 、

回答有，要運行接入認證系統才能登陸IDC裏的系統

 

2與書本對應位置不一樣，weblogic 9.2按如下方法處理，要重啓weblogic

查看domain-configuration general--advanced--console session timeout參數值配置(建議爲300)WLS10.3之後才能直接修改

WLS9.2修改方法：WLS安裝目錄/weblogic923/weblogic92/server/lib/consoleapp/webapp/WEB-INF/weblogic.xml 找到 <session-param> <param-name>TimeoutSecs</param-name> <param-value>3600</param-value> </session-param> <session-param> <param-name>CookieName</param-name> <param-value>ADMINCONSOLESESSION</param-value> </session-param> 將TimeOutSecs的value值從3600改爲300，就是鏈接會話超時控制的時間變成了5分鐘

 

3 檢查主要服務器操做系統，查看其是否對CPU，硬盤，內存和網絡等資源的使用進行監控。

 

IT集中監控已實現功能

 

4  設置Maximun open sockets  通常爲250   營銷系統因爲使用者比較多，修改值爲500，

 

Weblogic 9.2 要在cofing.xml  中設置

檢查Servers-〉Configuration-〉Tuning，檢查Maximum Open Sockets參數值（建議250）。

在config.xml文件</ssl>後面加入代碼<max-open-sock-count>250</max-open-sock-count>(要求中止應用重啓adminserver) managedserver在config.xml文件<name>Server1</name>後面加入代碼<max-open-sock-count>250</max-open-sock-count>(要求中止應用,重啓adminserver)

 

5檢查主要服務器操做系統，服務水平下降到預先規定的最小值時，參檢測和報警

 

IT集中監控已實現功能

來自爲知筆記(Wiz)