centos環境下weblogic的安全設置指南

CentOS環境下WebLogic安全設置指南

1. 系統基礎安全配置

• 創建專用用戶與組：避免以root用戶運行WebLogic，創建專用用戶及組（如weblogic），并設置強密碼。

  groupadd weblogic
  useradd -g weblogic weblogic
  passwd weblogic  # 設置復雜密碼（如包含大小寫字母、數字、特殊字符）
  

• 配置防火墻：使用firewalld開放必要端口（如管理控制臺7001、SSH22），限制訪問源IP（如僅允許可信網段訪問）。

  firewall-cmd --zone=public --add-port=7001/tcp --permanent  # WebLogic管理端口
  firewall-cmd --zone=public --add-port=22/tcp --permanent    # SSH遠程管理
  firewall-cmd --reload
  

• 禁用不必要的服務：關閉CentOS中未使用的服務（如sendmail、cups），減少攻擊面。

  systemctl stop sendmail && systemctl disable sendmail
  systemctl stop cups && systemctl disable cups
  

• 強化SSH訪問：修改/etc/ssh/sshd_config，禁用root遠程登錄、啟用公鑰認證，提升SSH安全性。

  sed -i 's/PermitRootLogin yes/PermitRootLogin no/g' /etc/ssh/sshd_config
  sed -i 's/#PubkeyAuthentication yes/PubkeyAuthentication yes/g' /etc/ssh/sshd_config
  systemctl restart sshd
  

2. WebLogic安裝與域安全配置

• 以非root用戶安裝：切換至weblogic用戶，使用靜默安裝方式部署WebLogic，避免權限過高導致的安全風險。

  su - weblogic
  java -jar /opt/weblogic/fmw_14.1.1.0.0_wls_lite_generic.jar -silent -responseFile /opt/weblogic/wls.rsp
  

• 最小化安裝組件：安裝時取消勾選“示例應用”“測試模塊”等非必要組件，減少潛在漏洞入口。
• 更改默認管理員賬號：避免使用默認的weblogic管理員用戶名，創建自定義管理員賬號（如admin_domain），并設置強密碼。
• 設置域運行模式：將域運行模式切換為“生產模式”（production mode），關閉自動部署功能（防止惡意WAR包自動上傳部署）。

  cd /opt/weblogic/domains/base_domain/bin
  ./setDomainEnv.sh  # 編輯此文件，設置RUN_MODE=prod
  

3. 用戶認證與權限管理

• 配置強口令策略：通過WebLogic管理控制臺（console）進入“安全領域→myrealm→密碼策略”，設置：
  • 最小口令長度≥8位；
  • 包含大寫字母、小寫字母、數字、特殊字符；
  • 賬戶鎖定閾值（如連續5次失敗鎖定15分鐘）。
• 創建角色與權限：在“安全領域→myrealm→角色和策略”中，為用戶/組分配最小必要權限（如Admin角色僅授予管理員，Monitor角色授予監控人員），避免權限過度授予。
• 集成外部LDAP認證：若企業有LDAP服務器（如OpenLDAP、Active Directory），配置LDAP認證提供者，實現集中用戶管理。

  # 管理控制臺路徑：安全領域→myrealm→身份斷言→新建→選擇LDAP類型→配置LDAP服務器連接信息
  

4. SSL/TLS加密配置

• 生成SSL證書：使用keytool生成自簽名證書（生產環境建議使用CA簽發的證書），并導入至WebLogic密鑰庫。

  keytool -genkey -alias weblogic_ssl -keyalg RSA -keystore /opt/weblogic/domains/base_domain/security/weblogic.keystore -keysize 2048 -validity 365
  

• 啟用SSL監聽端口：在管理控制臺“配置→監聽端口”中，新增SSL監聽端口（如7002），并指定密鑰庫路徑與密碼。

  # 管理控制臺路徑：配置→監聽端口→新建→選擇SSL→設置端口、密鑰庫路徑
  

• 強制HTTPS訪問：通過WebLogic的“安全約束”配置，強制管理控制臺（console）及關鍵應用使用HTTPS協議，防止數據在傳輸過程中被竊取。

5. 審計與日志管理

• 啟用安全審計：在“安全領域→myrealm→審計”中，開啟審計功能，記錄用戶登錄、權限變更、資源訪問等操作（如記錄賬號、操作時間、IP地址、操作結果）。

  # 管理控制臺路徑：安全領域→myrealm→審計→啟用審計→選擇審計項（如登錄、授權）
  

• 配置日志輪轉：編輯/opt/weblogic/domains/base_domain/config/config.xml，設置日志文件大?。ㄈ?00MB）與保留天數（如7天），避免日志文件過大占用磁盤空間。

  <log>
    <file-name>logs/weblogic.log</file-name>
    <rotation-type>bySize</rotation-type>
    <max-size>100</max-size>
    <max-history>7</max-history>
  </log>
  

• 定期檢查日志：使用grep、awk等工具分析日志，及時發現異常行為（如頻繁的登錄失敗、未授權訪問嘗試）。

  grep "Failed login" /opt/weblogic/domains/base_domain/logs/weblogic.log  # 查找登錄失敗記錄
  

6. 運行時安全優化

• 禁用目錄列表：在應用的weblogic.xml配置文件中，設置indexDirectories為false，防止用戶通過瀏覽器直接訪問目錄結構。

  <weblogic-web-app>
    <container-descriptor>
      <index-directories>false</index-directories>
    </container-descriptor>
  </weblogic-web-app>
  

• 隱藏服務器信息：在管理控制臺“配置→服務器→通用”中，取消勾選“發送服務器版本信息”，防止攻擊者通過HTTP響應頭獲取WebLogic版本，針對性發起攻擊。
• 限制最大連接數：在“配置→服務器→調優”中，設置最大打開套接字數（如max-open-sockets=5000），防止DDoS攻擊導致資源耗盡。
• 定期更新補丁：關注Oracle官方發布的安全補丁，及時升級WebLogic至最新版本，修復已知漏洞。