Ubuntu下WebLogic安全設置指南
1. 以非root用戶運行WebLogic
避免以root用戶啟動WebLogic服務���,降低系統權限濫用風險���。需完成以下步驟:
- 創建專用用戶組(如
weblogic)和用戶:groupadd weblogic�����;useradd -g weblogic weblogic�;passwd weblogic(設置強密碼)�����。
- 修改WebLogic安裝目錄及域目錄的屬主:
chown -R weblogic:weblogic /usr/wubin/weblogic(安裝目錄)����、chown -R weblogic:weblogic /usr/wubin/weblogic/Oracle/Middleware/user_projects/domains/base_domain(域目錄)�。
- 通過
su - weblogic切換至weblogic用戶��,啟動WebLogic服務(如./startWebLogic.sh)�����。
2. 強化賬號與權限管理
- 禁用默認管理員賬號:修改默認的
weblogic管理員密碼(設置8位以上包含大小寫字母���、數字和特殊字符的復雜密碼)��;避免使用weblogic作為常規管理員賬號���,創建專用管理員賬號(如admin_user)��。
- 配置賬號鎖定策略:在WebLogic控制臺→安全領域→myrealm→用戶和組→配置→賬號鎖定中���,設置:
- 失敗嘗試次數≥5次(如6次)�����;
- 鎖定持續時間≥30分鐘(如30分鐘)����;
- 啟用“鎖定賬號”策略���。
- 限制sudo權限:編輯
/etc/sudoers文件(visudo命令)����,僅允許特定用戶(如weblogic_admin)使用sudo��,避免普通用戶獲取root權限�����。
3. 配置SSL加密通信
- 啟用SSL監聽端口:在WebLogic控制臺→環境→服務器→AdminServer→配置→一般信息中���,勾選“啟用SSL監聽端口”(默認7002)�,保存并激活更改���。
- 配置SSL證書:
- 生成密鑰庫(Keystore):使用
keytool生成自簽名證書或導入第三方CA證書(如keytool -genkeypair -alias weblogic -keyalg RSA -keystore keystore.jks -validity 365)�。
- 導入信任證書:將CA根證書導入信任庫(Truststore)(如
keytool -importcert -alias ca -file ca.crt -keystore truststore.jks)�����。
- 在WebLogic控制臺→環境→服務器→AdminServer→配置→SSL→高級中�,設置:
- 身份證書別名(如
weblogic)�����;
- 信任庫路徑(如
truststore.jks)及密碼���;
- 主機名驗證為“None”(測試環境�����,生產環境建議啟用)���。
4. 調整默認端口
修改WebLogic默認端口(如HTTP 7001→8001���、HTTPS 7002→8002)��,減少自動化掃描工具的探測風險:
- 在WebLogic控制臺→環境→服務器→AdminServer→配置→一般信息中���,修改“監聽端口”(HTTP)和“SSL監聽端口”(HTTPS)�,保存并激活更改��。
5. 配置認證與授權
- 添加LDAP身份認證:集成外部LDAP服務器(如OpenLDAP��、Active Directory)��,實現集中用戶管理:
- 在WebLogic控制臺→安全領域→myrealm→提供者→認證中�,點擊“新建”��,選擇“LDAP身份認證提供者”(如
LDAPAuthenticator)�����,設置:
- 名稱(如
LDAPAuth)���;
- LDAP服務器地址�����、端口(如
ldap://ldap.example.com:389)�����;
- 用戶基礎DN(如
cn=Users,dc=example,dc=com)�;
- 控制標志為“可選”(初始配置)或“必需”(生產環境)���。
- 將
LDAPAuth的“控制標志”設置為“必需”���,提升安全性����。
- 配置應用級認證:在應用的
web.xml中定義認證方式(如FORM)和角色(如mgr)���;在weblogic.xml中映射角色與用戶(如<principal-name>admin_user</principal-name>)���。
6. 日志與審計配置
- 開啟詳細日志:在WebLogic控制臺→域結構→mydomain→日志→通用日志記錄中��,設置日志級別為“調試”(Debug)�����,記錄用戶登錄���、操作等詳細信息��。
- 啟用安全審計:在WebLogic控制臺→安全領域→myrealm→審計中���,啟用“審計提供者”(如
FileAuditProvider)�,設置審計日志路徑(如/var/log/weblogic/audit.log)�,記錄關鍵事件(如登錄成功/失敗�����、權限變更)�����。
7. 系統級安全加固
8. 禁用不必要的功能
- 關閉自動部署:在WebLogic控制臺→環境→服務器→AdminServer→配置→部署中����,取消“自動部署”選項�����,避免未經授權的應用部署��。
- 移除示例應用:刪除WebLogic安裝目錄中的示例應用(如
/wlserver/common/deployable-libraries中的示例庫)���,防止示例應用暴露安全漏洞����。
