centos上weblogic安全設置有哪些要點

CentOS上WebLogic安全設置要點

1. CentOS系統級安全加固

• 禁用非必要超級用戶：通過/etc/passwd文件識別user ID=0的超級用戶（如root以外的超級賬戶），使用passwd -l <用戶名>鎖定不必要的賬戶，減少系統受攻擊面。
• 刪除默認無用賬戶：移除adm、lp、sync等默認賬戶（這些賬戶無實際業務需求），降低潛在入侵風險。
• 強化口令策略：修改/etc/login.defs文件，設置PASS_MIN_LEN 10（口令最小長度≥10位），強制用戶使用包含大寫字母、小寫字母、數字和特殊字符的復雜口令。
• 保護口令文件：使用chattr +i命令鎖定/etc/passwd、/etc/shadow、/etc/group、/etc/gshadow文件，防止未授權修改。
• 設置root自動注銷：編輯/etc/profile文件，添加TMOUT=300（300秒無操作自動注銷root），減少root賬戶長期暴露的風險。
• 限制su命令使用：編輯/etc/pam.d/su文件，添加auth required pam_wheel.so use_uid，僅允許wheel組用戶使用su切換至root。
• 禁用Ctrl+Alt+Delete重啟：修改/etc/inittab文件，注釋ca::ctrlaltdel:/sbin/shutdown -t3 -r now行，防止物理接觸導致的意外重啟。
• 調整開機啟動權限：設置/etc/rc.d/init.d/目錄下所有文件的權限為700（chmod 700 /etc/rc.d/init.d/*），確保僅root可操作啟動服務。

2. WebLogic應用級安全配置

2.1 用戶與權限管理

• 創建專用用戶組：使用groupadd weblogic創建專門的用戶組，將WebLogic運行用戶（如weblogic）加入該組，實現權限隔離。
• 配置強管理員賬戶：修改默認管理員用戶名（避免使用weblogic），設置復雜口令（包含大小寫字母、數字、特殊字符，長度≥12位），并定期更換。
• 精細化權限控制：通過WebLogic管理控制臺配置角色和策略，遵循“最小權限原則”——僅授予用戶完成工作所需的最低權限（如Monitor、Operator、Administrator等角色）。

2.2 SSL/TLS加密通信

• 準備密鑰庫與證書：使用keytool生成密鑰庫（mykeystore.jks），包含服務器私鑰和自簽名證書；提交CSR至CA獲取正式證書，將CA根證書、中間證書及服務器證書導入密鑰庫。
• 配置WebLogic密鑰庫：登錄WebLogic管理控制臺，進入“服務器→配置→密鑰庫”，選擇“定制身份和Java標準信任”，填寫密鑰庫路徑（如/path/to/mykeystore.jks）、密碼（與生成時一致）。
• 啟用SSL監聽端口：在“服務器→配置→SSL”中，設置SSL監聽端口（如7002，區別于默認HTTP端口7001），選擇加密套件（優先選擇TLS 1.2及以上版本）。
• 配置雙向SSL（可選）：若需客戶端認證，設置“Two Way Client Cert Behavior”為“Client Certs Requested or Required”，并將客戶端CA證書導入WebLogic信任庫。

2.3 訪問控制與審計

• 限制目錄列表訪問：在weblogic.properties文件中添加weblogic.httpd.indexDirectories=false，禁止未授權用戶通過URL直接訪問目錄結構。
• 開啟詳細日志：配置WebLogic日志記錄用戶登錄、操作行為（包括賬號、時間、IP地址、操作結果），便于后續審計和異常排查。
• 啟用安全審計：在“安全領域→配置→審計”中，啟用AuditingProvider，設置審計級別（如“所有事件”），記錄用戶對敏感資源（如配置文件、數據庫連接）的訪問。

2.4 運行模式與端口安全

• 切換至生產模式：通過WebLogic管理控制臺“環境→服務器→配置→一般”設置運行模式為“生產模式”，關閉自動部署功能（避免未經審核的應用部署），提升系統穩定性。
• 更改默認端口：修改HTTP監聽端口（默認7001）為非標準端口（如8081），減少惡意掃描和攻擊的概率。
• 限制打開套接字數量：在config.xml文件中調整MaxOpenSockets參數（如設置為1000），防止DDoS攻擊導致資源耗盡。

2.5 其他安全優化

• 以非root用戶運行WebLogic：使用weblogic用戶（而非root）啟動WebLogic服務（如su - weblogic -c "./startWebLogic.sh"），避免進程擁有過高權限，降低入侵后的破壞范圍。
• 禁用示例應用：刪除或禁用WebLogic安裝目錄下的示例應用（如examples、sample），防止攻擊者利用示例代碼中的漏洞入侵。
• 定期更新補丁：關注Oracle官方安全公告，及時應用WebLogic Server和CentOS系統的安全補丁，修復已知漏洞。