WebLogic Web服务器安全配置基线.doc

WebLogic Web 服务器安全配置基线 WebLogicWebLogic WebWeb 服务器安全配置基服务器安全配置基 线线 中国移动通信有限公司中国移动通信有限公司 管理信息系统部管理信息系统部 2009 年 03 月 WebLogic Web 服务器安全配置基线 版本版本版本控制信息版本控制信息更新日期更新日期更新人更新人审批人审批人 V1 0创建2009 年 4 月 备注 备注 1 若此文档需要日后更新 请创建人填写版本控制表格 否则删除版本控制表格 WebLogic Web 服务器安全配置基线 I 目目 录录 第第 1 章章概述概述 1 1 1目的 1 1 2适用范围 1 1 3适用版本 1 1 4实施 1 1 5例外条款 1 第第 2 章章账号管理 认证授权账号管理 认证授权 2 2 1账号 2 2 1 1系统启动帐号 2 2 1 2账号锁定策略 2 2 2口令 3 2 2 1密码复杂度 3 第第 3 章章日志配置操作日志配置操作 4 3 1日志配置 4 3 1 1审核登录 4 第第 4 章章IP 协议安全配置协议安全配置 5 4 1IP 协议 5 4 1 1支持加密协议 5 4 1 2限制应用服务器Socket数量 5 4 1 3禁用Send Server Header 6 第第 5 章章设备其他配置操作设备其他配置操作 7 5 1安全管理 7 5 1 1定时登出 7 5 1 2更改默认端口 7 5 1 3错误页面处理 8 5 1 4目录列表访问限制 8 第第 6 章章评审与修订评审与修订 8 WebLogic Web 服务器安全配置基线 第 1 页 共 11 页 第第 1 章章概述概述 1 1目的目的 本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的 WebLogic Web 服务器应当遵循的安全性设置标准 本文档旨在指导系统管理人员进行 WebLogic Web 服 务器的安全配置 1 2适用范围适用范围 本配置标准的使用者包括 服务器系统管理员 应用管理员 网络安全管理员 本配置标准适用的范围包括 支持中国移动集团公司管理信息系统部运行的 WebLogic Web 服务器系统 1 3适用版本适用版本 8 x 9 x 版本的 WebLogic Web 服务器 1 4实施实施 本标准的解释权和修改权属于中国移动集团管理信息系统部 在本标准的执行过程中 若有任何疑问或建议 应及时反馈 本标准发布之日起生效 1 5例外条款例外条款 欲申请本标准的例外条款 申请人必须准备书面申请文件 说明业务需求和原因 送 交中国移动通信有限公司管理信息系统部进行审批备案 WebLogic Web 服务器安全配置基线 第 2 页 共 11 页 第第 2 章章账号管理 认证授权账号管理 认证授权 2 1账号账号 2 1 1 系统启动帐号系统启动帐号 安全基线项安全基线项 目名称目名称 WebLogic 启动账号安全基线要求项 安全基线编安全基线编 号号 SBL WebLogic 02 01 01 安全基线项安全基线项 说明说明 要求限制帐号 检测操作步检测操作步 骤骤 1 参考配置操作 参考配置操作 查看以管理员身份登录控制台 执行 ps ef grep i weblogic 基线符合性基线符合性 判定依据判定依据 1 判定条件 判定条件 执行账号不可以是 root 和 nobody 备注备注 2 1 2 账号锁定策略账号锁定策略 安全基线项安全基线项 目名称目名称 WebLogic 账号锁定安全基线要求项 安全基线编安全基线编 号号 SBL WebLogic 02 01 02 安全基线项安全基线项 说明说明 要求设定帐号锁定次数和时间 检测操作步检测操作步 骤骤 1 参考配置操作 参考配置操作 查看以管理员身份登录控制台 1 点击左侧面板 Security 文件夹 展开 REALM 2 点击右侧面板中的 User Lock 标签 查看 Lockout Enabled Lockout Threshold Lockout Duration 等 基线符合性基线符合性 判定依据判定依据 1 判定条件 判定条件 要求 Lockout Enabled true Lockout Threshold 5 Lockout Duration 30 WebLogic Web 服务器安全配置基线 第 3 页 共 11 页 备注备注 2 2口令口令 2 2 1 密码复杂度密码复杂度 安全基线项安全基线项 目名称目名称 WebLogic 密码复杂度安全基线要求项 安全基线编安全基线编 号号 SBL WebLogic 02 01 01 安全基线项安全基线项 说明说明 对于采用静态口令认证技术的设备 口令长度至少 8 位 检测操作步检测操作步 骤骤 1 参考配置操作 参考配置操作 查看 WebLogic 安装目录下的 weblogic properties 配置文件 2 补充操作说明 补充操作说明 口令要求 长度至少 8 位 基线符合性基线符合性 判定依据判定依据 1 判定条件 判定条件 weblogic system minPasswordLen 8 备注备注 WebLogic Web 服务器安全配置基线 第 4 页 共 11 页 第第 3 章章日志日志配置操作配置操作 3 1日志配置日志配置 3 1 1 审核登录审核登录 安全基线项安全基线项 目名称目名称 WebLogic 审核登录安全基线要求项 安全基线编安全基线编 号号 SBL WebLogic 03 01 01 安全基线项安全基线项 说明说明 设备应配置日志功能 对用户登录进行记录 记录内容包括用户登录使用的 账号 登录是否成功 登录时间 以及远程登录时 用户使用的 IP 地址 检测操作步检测操作步 骤骤 1 参考配置操作 参考配置操作 查看 WebLogic 安装目录下的 weblogic properties 配置文件 基线符合性基线符合性 判定依据判定依据 1 判定条件 判定条件 weblogic system enableReverseDNSLookups true 备注备注 WebLogic Web 服务器安全配置基线 第 5 页 共 11 页 第第 4 章章IPIP 协议安全协议安全配置配置 4 1IP 协议协议 4 1 1 支持加密协议支持加密协议 安全基线项安全基线项 目名称目名称 WebLogic 支持加密协议安全基线要求项 安全基线编安全基线编 号号 SBL WebLogic 04 01 01 安全基线项安全基线项 说明说明 对于通过 HTTP 协议进行远程维护的设备 设备应支持使用 HTTPS 等加密 协议 检测操作步检测操作步 骤骤 1 参考配置操作 参考配置操作 查看 WebLogic 安装目录下的 weblogic properties 配置文件 基线符合性基线符合性 判定依据判定依据 1 判定条件 判定条件 weblogic system SSLListenPort portNumber weblogic security certificate server mycert der weblogic security key server mykey der weblogic security certificate authority CA der weblogic security certificateCacheSize 5 weblogic security clientRootCA anyValidCertificate weblogic httpd register authenticated weblogic t3 srvr ClientAuthenticationServlet weblogic httpd register T3AdminCaptureRootCA admin T3Admi nCaptureRootCA 备注备注 4 1 2 限制应用服务器限制应用服务器 Socket 数量数量 安全基线项安全基线项 目名称目名称 WebLogic 限制应用服务器 Socket 数量安全基线要求项 安全基线编安全基线编 号号 SBL WebLogic 04 01 02 安全基线项安全基线项 说明说明 Sockets 最大打开数目设置不当的话 容易受到拒绝服务攻击 超出操作系 统文件描述符限制 检测操作步检测操作步 骤骤 1 参考配置操作 参考配置操作 以管理员身份登录管理控制台 WebLogic Web 服务器安全配置基线 第 6 页 共 11 页 1 点击左侧面板的域名文件夹 然后点击 Servers 文件夹 双击要管理的 服务器 2 在右侧面板的 Configuration 面板下选择 Tuning 标签 查看 Maximum Open Sockets 值 基线符合性基线符合性 判定依据判定依据 1 判定条件 判定条件 要求Maximum Open Sockets 不大于 254 备注备注 4 1 3 禁用禁用 Send Server Header 安全基线项安全基线项 目名称目名称 WebLogic 禁用 Send Server Header 安全基线要求项 安全基线编安全基线编 号号 SBL WebLogic 04 01 03 安全基线项安全基线项 说明说明 Sockets 最大打开数目设置不当的话 容易受到拒绝服务攻击 超出操作系 统文件描述符限制 检测操作步检测操作步 骤骤 1 参考配置操作 参考配置操作 以管理员身份登录管理控制台 1 点击域名下的 Servers 文件夹 选择要管理的服务器 2 在右侧面板 Protocols 面板下 点击 HTTP 标签 3 检查是否勾选 Send Server header 基线符合性基线符合性 判定依据判定依据 1 判定条件 判定条件 要求禁止 Send Server header 备注备注 WebLogic Web 服务器安全配置基线 第 7 页 共 11 页 第第 5 章章设备其他配置操作设备其他配置操作 5 1安全管理安全管理 5 1 1 定时登出定时登出 安全基线项安全基线项 目名称目名称 WebLogic 定时登出安全基线要求项 安全基线编安全基线编 号号 SBL WebLogic 05 01 01 安全基线项安全基线项 说明说明 对于具备字符交互界面的设备 应支持定时账户自动登出 登出后用户需再 次登录才能进入系统 检测操作步检测操作步 骤骤 1 参考配置操作 参考配置操作 查看 WebLogic 安装目录下的 weblogic properties 配置文件 基线符合性基线符合性 判定依据判定依据 1 判定条件 判定条件 weblogic login readTimeoutMillis integer weblogic login readTimeoutMillisSSL integer 备注备注 5 1 2 更改默认端口更改默认端口 安全基线项安全基线项 目名称目名称 WebLogic 运行端口安全基线要求项 安全基线编安全基线编 号号 SBL WebLogic 05 01 02 安全基线项安全基线项 说明说明 更改 WebLogic 服务器默认端口 检测操作步检测操作步 骤骤 1 参考配置操作 参考配置操作 查看 WebLogic 安装目录下的 weblogic properties 配置文件 基线符合性基线符合性 判定依据判定依据 1 判定条件 判定条件 weblogic system listenPort integer 备注备注 WebLogic Web 服务器安全配置基线 第 8 页 共 11 页 5 1 3 错误页面处理错误页面处理 安全基线项安全基线项 目名称目名称 WebLogic 错误页面处理安全基线要求项 安全基线编安全基线编 号号 SBL WebLogic 05 01 03 安全基线项安全基线项 说明说明 WebLogic 错误页面重定向 检测操作步检测操作步 骤骤 1 参考配置操作 参考配置操作 查看 WEB INF web xml 基线符合性基线符合性 判定依据判定依据 1 判定条件判定条件 要求包含如下片段 备注备注 5 1 4 目录列表访问限制目录列表访问限制 安全基线项安全基线项 目名称目名称 WebLogic 目录列表安全基线要求项 安全基线编安全基线编 号