centos下weblogic安全配置指南

在CentOS下配置WebLogic服務器的安全性是確保系統穩定運行和數據安全的關鍵步驟。以下是一個詳細的指南，涵蓋了從安裝到安全配置的各個方面。

準備工作

1. 安裝JDK：下載并安裝與WebLogic兼容的JDK版本，例如WebLogic 14.1.1通常與JDK 8兼容。
2. 配置JDK環境變量：編輯 /etc/profile 文件，添加以下內容：

   export JAVA_HOME=/usr/local/java/jdk1.8.0_181
   export CLASSPATH=.:$JAVA_HOME/lib/dt.jar:$JAVA_HOME/lib/tools.jar
   export PATH=$JAVA_HOME/bin:$PATH
   

   使配置生效：

   source /etc/profile
   java -version
   

3. 創建WebLogic用戶：創建一個非root用戶，例如 weblogic：

   useradd weblogic
   passwd weblogic
   

   設置用戶密碼。
4. 創建安裝目錄并授權：創建安裝目錄，例如 /opt/weblogic：

   mkdir /opt/weblogic
   chown -R weblogic:weblogic /opt/weblogic
   

安裝WebLogic

1. 下載WebLogic安裝包：從Oracle官方網站下載WebLogic的Generic Installer。
2. 配置安裝響應文件：在WebLogic安裝目錄下創建 oraInst.loc 和 wls.rsp 文件。
   • oraInst.loc 示例內容：

     Inventory_loc=/opt/weblogic/oraInventory
     Inst_group=weblogic
     

   • wls.rsp 示例內容：

     [ENGINE] Response File Version=1.0.0.0.0
     [GENERIC]
     ORACLE_HOME=/opt/weblogic/Oracle/Middleware
     INSTALL_TYPE=WebLogic Server
     DECLINE_SECURITY_UPDATES=true
     SECURITY_UPDATES_VIA_MYORACLESUPPORT=false
     

3. 執行靜默安裝：使用WebLogic提供的靜默安裝命令進行安裝：

   su - weblogic
   java -jar /opt/weblogic/fmw_14.1.1.0.0_wls_lite_generic.jar -silent -responseFile /opt/weblogic/wls.rsp -invPtrLoc /opt/weblogic/oraInst.loc
   

配置WebLogic域

1. 創建域目錄：

   mkdir -p /opt/weblogic/Oracle/Middleware/user_projects/domains/base_domain
   

2. 使用WLST創建域：
   • 切換到WebLogic用戶并執行WLST腳本創建域：

     cd /opt/weblogic/Oracle/Middleware/user_projects/domains/base_domain/bin
     ./wlst.sh
     

   • 在WLST腳本中輸入以下命令創建域：

     readTemplateForUpdate('/opt/weblogic/Oracle/Middleware/wlserver/common/templates/wls/wls.jar')
     cd('Servers/AdminServer')
     set('ListenAddress','')
     set('ListenPort', 7001)
     cd('/')
     cd('Security/base_domain/User/weblogic')
     cmo.setPassword('weblogic1234')
     setOption('OverwriteDomain', 'true')
     writeDomain('/opt/weblogic/Oracle/Middleware/user_projects/domains/base_domain')
     closeTemplate()
     exit()
     

安全配置

1. 系統更新與補丁管理：

   sudo yum update -y
   sudo yum install unattended-upgrades
   

2. 賬戶與權限管理：
   • 密碼策略加固：編輯 /etc/login.defs 文件，設置 PASS_MAX_DAYS、PASS_MIN_DAYS 和 PASS_WARN_AGE。
   • 禁用root遠程登錄：編輯 /etc/ssh/sshd_config 文件，設置 PermitRootLogin no。
   • 創建專用運維賬戶：

     sudo useradd adminsudo usermod -aG sudo admin
     

3. SSH服務加固：
   • 編輯 /etc/ssh/sshd_config 文件，修改默認端口（例如改為59222），禁用密碼登錄，設置IP白名單等。
   • 重啟SSH服務：

     sudo systemctl restart sshd
     

4. 防火墻配置：

   sudo firewall-cmd --permanent --add-port=7001/tcp
   sudo firewall-cmd --reload
   

5. WebLogic特定配置：
   • 修改WebLogic默認端口：編輯 config.xml 文件，通常位于 $DOMAIN_HOME/config/ 目錄下，修改 <server> 標簽中的 listenPort 屬性。
   • 配置安全訪問：使用WebLogic的認證和授權機制，如基本認證、SSL證書等。
   • 配置細粒度的訪問控制列表（ACLs）來限制對WebLogic Server Administration Console和Web應用程序的訪問。
   • 啟用審計和監控：配置WebLogic的審計日志，記錄關鍵操作和異?；顒?。使用WebLogic的監控和警報功能，實時監控服務器性能和健康狀況。
6. SELinux配置：
   • 檢查SELinux是否開啟：

     getenforce
     

   • 編輯 /etc/selinux/config 文件，將 SELINUX 值設置為 enforcing 或 permissive，然后重啟機器使修改生效。
7. 文件系統加固：
   • 設置關鍵目錄權限：

     chmod 700 /etc/cron* /etc/ssh/ssh_host_*_key
     chmod 600 /etc/shadow
     

   • 查找異常SUID文件：

     find / -perm -4000 -type f -exec ls -ld {} \;
     

   • 配置umask：

     echo "umask 027" >> /etc/profile
     

8. 日志審計：
   • 安裝 auditd：

     sudo yum install auditd
     

   • 監控關鍵文件：

     auditctl -w /etc/passwd -p wa -k passwd_changes
     auditctl -w /etc/shadow -p wa -k shadow_changes
     

9. 安全工具部署：
   • 安裝AIDE文件完整性檢查：

     sudo yum install aidesudo aideinit
     

10. 備份策略：
    • 配置每日增量備份：

      tar -zcvf /var/backup/snapshot_$(date +%F).tar.gz /etc
      

    • 設置遠程備份：

      rsync -avz /var/backup/ user@backupserver:/backups/
      

完成上述配置后，建議進行漏洞掃描（如使用Nessus）和滲透測試驗證效果，以確保配置的有效性和安全性。