WebLogic 安全配置要求及操做指南

範圍
適用於使用的 Weblogic 服務器。本規範提出了 Weblogic 服務器安全配置
要求，適用於全部的安全等級，可做爲編制設備入網測試、安全驗收、安全檢查規範等
文檔的參考。
因爲版本不一樣，配置操做有所不一樣，本規範以 unix 平臺上 Weblogic9.x 爲例，給出
參考配置操做。
2 規範性引用文件
GB/T22239-2008《信息安全技術 信息系統安全等級保護基本要求》
YD/T 1736-2008《互聯網安全防禦要求》
YD/T 1738-2008《增值業務網—消息網安全防禦要求》
YD/T 1740-2008《增值業務網—智能網安全防禦要求》
YD/T 1758-2008《非核心生產單元安全防禦要求》
YD/T 1752-2008《支撐網安全防禦要求》
3 縮略語

SSL Secure Sockets Layer 安全套接層
HTTP HyperText Transfer Protocol 超文本傳輸協議

4 安全配置要求
4.1 帳號
編號：1
要求內容 爲不一樣的管理用戶分配不一樣的角色
參考操做

以管理員身份登陸控制檯

1. 點擊左側面板」Security」文件夾，展開」REALM」
2. 點擊 」Users」 文件夾，修改非特權用戶爲角色
   Administrators、Deployers、Monitors、Operators 之一

2 檢測方法
一、斷定條件
二、檢測操做
以管理員身份登陸控制檯

1. 點擊左側面板」Security」文件夾，展開」REALM」
2. 點擊」Users」文件夾，查看用戶所屬組及組、全局角色配置

編號：2
要求內容 應刪除與設備運行、維護等工做無關的帳號
參考操做

以管理員身份登陸控制檯

1. 點擊左側面板」Security」文件夾，展開」REALM」
2. 點擊」Users」文件夾，刪除與設備運行、維護等工做無關的
   帳號
   檢測方法 一、斷定條件
   沒有與設備運行、維護等工做無關的帳號

編號：3
要求內容 禁止以特權用戶身份運行 WebLogic
操做指南 一、參考配置操做
以WebLogic管理員身份登陸管理控制檯,執行：

1. 在左面板，點擊」Machine」文件夾
2. 在右面板，選擇「Configure a New Unix Machine link」
3. 輸入 unix 機器名,勾選」 Enable Post-bind UID field」並輸入用戶名,
   該用戶名必須對 BEA_HOME 及子目錄有徹底控制權限，輸入對應組(用
   戶名和組名須事先在 OS中單首創建),點擊」Apply」按鈕. 注意：不要使用
   默認的 nobody用戶。

4. 選擇」Servers」標籤. 從」Available list」 移動 每一個想要的服務器實例到
   「Chosen list」. 而後擊」Apply」按鈕

檢測方法 一、斷定條件
以特權用戶身份啓動應用服務器， 綁定端口以後改變 UID和 GID到非特
權用戶和組
二、檢測操做
以root身份執行：

ps –ef| grep –i weblogic

以WebLogic管理員身份登陸管理控制檯,執行：

1. 在左面板，點擊」Machine」文件夾
2. 在右面板，查看是否配置」Unix Machine link」

編號 4：
要求內容 開啓主機名認證，設置 Hostname Verification 值爲」Bea Hostname
Verifier」
參考操做
設置Hostname Verification值爲」Bea Hostname Verifier」
以管理員身份登陸管理控制檯：

1. 點擊左面板域名文件夾，而後點擊「servers」文件夾，點擊要管理的

4
服務器名

2. 在右側面板的」configuration」面板下的」Keystore &SSL」標籤中， 點擊
   Advanced option中 「Show」項，查看Client attribute下的Hostname
   Verification值,設置爲」Bea Hostname Verifier」
   檢測方法 一、斷定條件
   二、檢測操做
   以管理員身份登陸管理控制檯：
3. 點擊左面板域名文件夾，而後點擊「servers」文件夾，點擊要管理的
   服務器名
4. 在右側面板的」configuration」面板下的」Keystore &SSL」標籤中， 點擊
   Advanced option中 「Show」項，查看Client attribute下的Hostname
   Verification值

4.2 口令
編號：1
要求內容 對於採用靜態口令認證技術的設備，口令長度至少 8 位，幷包括數
字、小寫字母、大寫字母和特殊符號 4 類中至少 3 類
操做指南 以管理員身份登陸控制檯

1. 點擊左側面板」Security」文件夾，展開」REALM」
2. 點擊」Users」文件夾，設置口令長度至少 8 位，幷包括數字、小寫字
   母、大寫字母和特殊符號 4 類中至少 3 類
   檢查 WebLogic 安裝目錄下的 weblogic.properties 配置文件中參數
   weblogic.system.minPasswordLen=8
   檢測方法 一、斷定條件
   二、檢測操做

編號：2
要求內容 對於採用靜態口令認證技術的設備， 應配置當用戶連續認證失敗次數超
過6次（不含6次） ，鎖定該用戶使用的帳號
操做指南 一、參考配置操做
設定賬號鎖定次數和時間
以管理員身份登陸控制檯

1. 點擊左側面板」Security」文件夾，展開」REALM」
2. 點擊右側面板中的」User Lock」標籤，設定 Lockout Enabled，Lockout
   5
   Threshold 值爲 5，Lockout Duration 爲30（分鐘）

檢測方法 一、斷定條件
二、檢測操做
以管理員身份登陸控制檯

1. 點擊左側面板」Security」文件夾，展開」REALM」
2. 點擊右側面板中的」User Lock」標籤，查看鎖定閾值，鎖定持續時間，
   鎖定重置持續時間
   4.3 日誌
   編號 1：
   要求內
   容
   開啓日誌功能
   參考操
   做

以管理員身份登陸管理控制檯

1. 點擊域名，在右側面板選擇「Configuration」標籤
2. 選擇logging標籤，設置域級日誌，勾選以下圖紅色標記部分

6

3. 點擊域名下 servers 下的服務器名，在右側面板選擇「Logging」標籤，選擇
   Domain，勾選」Log to Domain Log file」

4. 同上，點擊 Server標籤，配置服務器級日誌，勾選」Log to stdout」等，如
   下紅色標記項
   7

5. 同上，點擊「HTTP」標籤，按以下紅色標記部分進行配置

8
檢測方法 一、斷定條件
開啓日誌功能

編號 2：
要求內
容
配置日誌審計
參考
操做

以管理員身份登陸控制檯

1. 點擊左側面板Security文件夾,展開provider,而後點擊Auditing文件夾

2. 查看是否配置Auditor，如無則選擇」Configure a new Default Auditor」並設置
   審計級另爲FAILURE.

3. 點擊左側面板中域名下的服務器，在右側面板「General」標籤中設置
   Configuration Auditing爲logAudit

檢測方
法
一、斷定條件
配置了審計，設置審計級另爲 FAILURE，Configuration Auditing 爲
logAudit
二、檢測操做
以管理員身份登陸控制檯

1. 點擊左側面板 Security文件夾,展開 provider,而後點擊 Auditing文件夾

2. 查看是否配置 Auditor，對照以下圖的紅色標記部分配置

   9

3. 點擊左側面板中域名下的服務器，對照以下圖的紅色標記部分配置
   4.4 Keystore 和SSL設置
   編號 1：
   要求內容 合理設置 WebLogic Keystore 和 SSL
   操做指南 建立用戶自已的私有密鑰和數字證書
   以管理員身份登陸管理控制檯：
4. 點擊左面板域名文件夾，而後點擊「servers」文件夾，點擊要管理的
   服務器名
5. 在右側面板的」configuration」面板下的」Keystore &SSL」標籤中，點
   擊Keystore configuration中 「Change」項，改變默認私有密鑰設置
6. 同上點擊SSL configuration中 「Change」項，改變默認私有密鑰設置
7. 同上點擊」Advanced option」中」Show」項，勾選」 SSLRejection
   Logging Enabled」
   檢測方法 以管理員身份登陸管理控制檯：
8. 點擊左面板域名文件夾，而後點擊「servers」文件夾，點擊要管理的
   服務器名

10

2. 在右側面板的」configuration」面板下的」Keystore &SSL」標籤中查看
   以下圖相應紅色標記部分和藍色標記部分

4.5 Sockets最大打開數量
編號 1：
要求內容 合理設置應用服務器 Sockets 最大打開數量
操做指南 一、 參考配置操做：
11
以管理員身份登陸管理控制檯

1. 點擊左側面板的域名文件夾，而後點擊Servers文件夾，雙
   擊要管理的服務器
2. 在右側面板的「Configuration」面板下選擇「Tuning」標籤
3. 設置」 Maximum Open Sockets」爲254 或其它用戶設定值
   備註：此項操做需開發人員在測試機修改後測試，應用正常而後
   再在生產機器上修改
   檢測方法 以管理員身份登陸管理控制檯
4. 點擊左側面板的域名文件夾，而後點擊Servers文件夾，雙擊
   要管理的服務器
5. 在右側面板的「Configuration」面板下選擇「Tuning」標籤，查看
   Maximum Open Sockets 值

4.6 文件和目錄權限
編號：1
要求內容 合理設置文件與目錄權限，沒有沒必要要的權限，也不存在沒必要要
的文件
參考操做

對啓動和環境腳本限制權限爲710，確認BEA_HOME屬主爲
weblogic用戶，對沒必要要的工具文件設置權限爲700並改後綴名
爲.predeleted
以root 身份執行如下操做：

chown –R 「weblogicuser」 $BEA_HOME

find $BEA_HOME/ -name *.sh |xargs chmod 710

#檢查沒必要要工具文件，並將限制權限爲 700

tar cvf beahome.date '+%y%m%d'.tar $BEA_HOME

find $WL_HOME/ -name config_builder.sh |xargs chmod 700

find $WL_HOME/ -name startWLBuilder.sh |xargs chmod 700

find $WL_HOME/ -name jcommon-0.7.0.jar |xargs chmod 700

find $WL_HOME/ -name PointBase |xargs chmod 700

find $WL_HOME/ -name medrec |xargs chmod 700

#檢查沒必要要工具文件，並更名爲.predeleted
#mv config_builder.sh config_builder.sh.predeleted
#mv startWLBuilder.sh startWLBuilder.sh.predeleted
#mv jcommon-0.7.0.jar jcommon-0.7.0.jar.predeleted
#mv PointBase PointBase.predeleted
#mv medrec medrec .predeleted
檢測方法
以root 身份執行如下操做：

ls –alR $BEA_HOME

find $BEA_HOME/ -name *.sh |xargs ls –al

12
#查找沒必要要的工具文件

find $BEA_HOME/ -name config_builder.sh |xargs ls –al

find $BEA_HOME/ -name startWLBuilder.sh |xargs ls –al

find $BEA_HOME/ -name jcommon-0.7.0.jar |xargs ls –al

find $WL_HOME/ -name PointBase |xargs ls –al

find $WL_HOME/ -name medrec |xargs ls –al

4.7 WebLogic運行模式
編號：1
要求內容 更改運行模式爲」Production Mode」
參考操做

以管理員身份登陸管理控制檯

1. 點擊域名，在右側面板選中」Genaral」標籤
2. 勾選」 Production Mode」，更改運行模式爲」 Production
   Mode」
   檢測方法
   以root身份執行：

3. find $BEA_HOME/ -name myserver.log | grep –i

   「Production Mode」

   find $BEA_HOME/ -name setEnv.sh | grep –i 「Production

   Mode」

4. 以管理員身份登陸管理控制檯,點擊域名，在右側面板選
   中」Genaral」標籤,查看是否勾選」 Production Mode」

4.8 Sender Server Header
編號：1
要求內容 禁用 Send Server header
參考操做

以管理員身份登陸管理控制檯

1. 點擊域名下的Servers文件夾，選擇要管理的服務器
2. 在右側面板「Protocols」面板下，點擊HTTP標籤
3. 去掉 Send Server header 項前面的勾,禁止 Send Server
   header
   檢測方法
   以管理員身份登陸管理控制檯
4. 點擊域名下的Servers文件夾，選擇要管理的服務器
5. 在右側面板「Protocols」面板下，點擊HTTP標籤
6. 檢查是否勾選 Send Server header

4.9 刪除Sample程序
13
編號：1
要求
內容
刪除sample程序
參考
操做

以管理員身份登陸管理控制檯
1．點擊」Deployment」文件夾，查看是否有以下形式應用存在：
2．# find $BEA_HOME/ -name sample | xargs rm –rf
檢測
方法

1. 以root權限執行

   find $BEA_HOME/ -name sample –print

2. 以管理員身份登陸管理控制檯
   a) 點擊」Deployment」文件夾，查看是否有以下形式應用存在：

   b) 展開」Deployment」子文件夾，查看是否存在以上形式內容，其path中包
   含「samples「目錄, 以下圖

14

4.10 設定默認出錯頁面
編號：1
要求內容 從新在應用程序 web.xml 中定義默認出錯頁面
參考操做

編輯<Application HOME>/WEB-INF/web.xml ， 加入 error-page
定義
檢測方法
一、判斷依據：

二、檢查操做：
以root身份執行：

cat <Application HOME>/WEB-INF/web.xml

4.11 session超時時間
編號：1
要求內容 根據具體應用，合理設置 session 超時時間
參考操做

在應用程序的 web.xml 中定義 session超時時間，例如，如下設
置表示 session超時時間爲 15分鐘
15
<session-config>
<session-timeout>15</session-timeout>
</session-config>

檢測方法 檢查是否在應用程序的 web.xml 中定義了 session 超時時間

4.12 補丁
編號：1
要求內容 在不影響業務的狀況下，升級到最新補丁，並且該補丁要經過實
驗測試
參考操做
安裝最新安全相關補丁包，安全補丁下載須要 BEA 公司受權，
WebLogic 安全公告 URL：
http://dev2dev.bea.com/advisoriesnotifications/

檢測方法

1. 以管理員身份登陸管理控制檯, 右鍵點擊左側面板ConWLe圖
   標，選擇「View Server & Browser Info」,查看版本號
   2．以 root 身份執行：

   cat $BEA_HOME/logs/log.txt

4.13 HTTP加密協議
要求內容 對於經過 HTTP 協議進行遠程維護的設備，設備應支持使用
HTTPS等加密協議。
操做指南 一、參考配置操做
以管理員身份登陸管理控制檯：

1. 點擊左面板域名文件夾，而後點擊「servers」文件夾，點擊要管
   理的服務器名
2. 在右側面板的」configuration」面板下的」Keystore &SSL」標籤
   中，啓用 ssl configure
   檢測方法 一、斷定條件
   二、檢測操做

4.14 鏈接數設置
要求內容 根據機器性能和業務需求，設置最大最小鏈接數。
操做指南 一、 參考配置操做

16
以管理員身份登陸管理控制檯

1. 點擊左側面板的域名文件夾，而後點擊Servers文件夾，雙擊要管理
   的服務器
2. 在右側面板的「Configuration」面板下選擇「Tuning」標籤
3. 設置」 Maximum Open Sockets」爲254 或其它用戶設定值 二、 補充操做說明 檢測方法 一、斷定條件 二、檢測操做 檢查當前的鏈接數