WebLogic系统加固规范V0.2.doc

WebLogic 系统加固规范系统加固规范 20202020 年年 2 2 月月 目目 录录 1 1账号管理 认证授权账号管理 认证授权 1 1 1 1SHG WebLogic 01 01 01 1 1 1 2SHG WebLogic 01 01 02 3 1 1 3SHG WebLogic 01 01 03 4 1 1 4SHG WebLogic 01 01 04 6 2日志配置日志配置 7 2 1 1SHG WebLogic 02 01 01 7 2 1 2SHG WebLogic 02 01 02 10 3通信协议通信协议 15 3 1 1SHG WebLogic 03 01 01 15 3 1 2SHG WebLogic 03 01 02 20 4设备其他安全要求设备其他安全要求 22 4 1安装部署 22 4 1 1SHG WebLogic 04 01 01 22 4 1 2SHG WebLogic 04 01 02 23 4 1 3SHG WebLogic 04 01 03 25 4 1 4SHG WebLogic 04 01 04 26 4 1 5SHG WebLogic 04 01 05 28 4 1 6SHG WebLogic 04 01 06 30 4 1 7SHG WebLogic 04 01 07 31 4 1 8SHG WebLogic 04 01 08 31 4 2运行维护 32 4 2 1SHG WebLogic 04 02 01 32 4 2 2SHG WebLogic 04 02 02 33 4 2 3SHG WebLogic 04 02 03 34 4 3备份容错 35 4 3 1SHG WebLogic 04 03 01 35 1 1 1 1 账号管理 认证授权账号管理 认证授权账号管理 认证授权账号管理 认证授权 1 1 11 1 11 1 11 1 1 SHG WebLogic 01 01 01SHG WebLogic 01 01 01SHG WebLogic 01 01 01SHG WebLogic 01 01 01 编号 SHG WebLogic 01 01 01 名称服务器启动帐户 实施目的配置 Unix 机器 POST bind 避免 WebLogic 以特权用户身份运行 问题影响 应用服务器如果溢出 攻击者将直接获得 root 权限 存在较严重的 安全隐患 系统当前状态 以 root 身份执行 ps ef grep i weblogic 以 WebLogic 管理员身份登录管理控制台 执行 1 在左面板 点击 Machine 文件夹 2 在右面板 查看是否配置 Unix Machine link 实施步骤 以 WebLogic 管理员身份登录管理控制台 执行 1 在左面板 点击 Machine 文件夹 2 在右面板 选择 Configure a New Unix Machine link 3 输入 unix 机器名 勾选 Enable Post bind UID field 并输入用户名 该用 户名必须对 BEA HOME 及子目录有完全控制权限 输入对应组 用户名和 组名须事先在 OS 中单独创建 点击 Apply 按钮 注意 不要使用默认的 nobody 用户 如下图所示 4 选择 Servers 标签 从 Available list 移动 每个想要的服务器实例到 Chosen list 然后击 Apply 按钮 回退方案 恢复设置到加固前状态 判断依据 以特权用户身份启动应用服务器 绑定端口之后改变 UID 和 GID 到非特权用户和组 实施风险高 重要等级 备注 1 1 21 1 21 1 21 1 2 SHG WebLogic 01 01 02SHG WebLogic 01 01 02SHG WebLogic 01 01 02SHG WebLogic 01 01 02 编号 SHG WebLogic 01 01 02 名称主机名认证 实施目的设置 Hostname Verification 值为 Bea Hostname Verifier 问题影响 主机名认证有助于防范中间人攻击 系统默认是启用 Bea Hostname Verifier 用户有可能将其禁用 系统当前状态 以管理员身份登录管理控制台 1 点击左面板域名文件夹 然后点击 servers 文件夹 点击要管理的 服务器名 2 在右侧面板的 configuration 面板下的 Keystore SSL 标签中 点击 Advanced option 中 Show 项 查看 Client attribute 下的 Hostname Verification 值 默认是 Bea Hostname Verifier 实施步骤 设置 Hostname Verification 值为 Bea Hostname Verifier 以管理员身份登录管理控制台 1 点击左面板域名文件夹 然后点击 servers 文件夹 点击要管理的 服务器名 2 在右侧面板的 configuration 面板下的 Keystore SSL 标签中 点击 Advanced option 中 Show 项 查看 Client attribute 下的 Hostname Verification 值 设置为 Bea Hostname Verifier 回退方案 恢复 Hostname Verification 值到加固前状态 判断依据Hostname Verification 值默认是 Bea Hostname Verifier 实施风险低 重要等级 备注 1 1 31 1 31 1 31 1 3 SHG WebLogic 01 01 03SHG WebLogic 01 01 03SHG WebLogic 01 01 03SHG WebLogic 01 01 03 编号 SHG WebLogic 01 01 03 名称帐号锁定设置 实施目的设定帐号锁定次数和时间 问题影响不设定帐号锁定难以抵抗帐号字典攻击 系统当前状态 以管理员身份登录控制台 1 点击左侧面板 Security 文件夹 展开 REALM 2 点击右侧面板中的 User Lock 标签 查看如下图红色标记部分 实施步骤 设定帐号锁定次数和时间 以管理员身份登录控制台 1 点击左侧面板 Security 文件夹 展开 REALM 2 点击右侧面板中的 User Lock 标签 设定 Lockout Enabled Lockout Threshold 值为 5 Lockout Duration 为 30 分钟 回退方案 修改设置到加固前状态 判断依据 实施风险中 重要等级 备注 1 1 41 1 41 1 41 1 4 SHG WebLogic 01 01 04SHG WebLogic 01 01 04SHG WebLogic 01 01 04SHG WebLogic 01 01 04 编号 SHG WebLogic 01 01 04 名称管理 ID 控制 实施目的 为不同的管理用户分配不同的角色 避免共享口令和减少 特权 ID 使用 问题影响 可能存在共用帐号和没有分配不同角色到不同管理用户的 情况 存在安全隐患 系统当前状态 以管理员身份登录控制台 1 点击左侧面板 Security 文件夹 展开 REALM 2 点击 Users 文件夹 查看用户所属组及组 全局角色配 置 实施步骤 为不同的管理用户分配不同的角色 避免共享口令和减少 特权 ID 使用 以管理员身份登录控制台 1 点击左侧面板 Security 文件夹 展开 REALM 2 点击 Users 文件夹 修改非特权用户为角色 Administrators Deployers Monitors Operators 之一 回退方案 恢复用户角色 判断依据为不同的管理用户分配不同的角色 实施风险中 重要等级 备注 2 2 2 日志配置日志配置日志配置日志配置 2 1 12 1 12 1 12 1 1 SHG WebLogic 02 01 01SHG WebLogic 02 01 01SHG WebLogic 02 01 01SHG WebLogic 02 01 01 编号 SHG WebLogic 02 01 01 名称配置 WebLogic 审计 实施目的配置 WebLogic 审计 问题影响审计不启用或配置不当会无法回溯追踪安全事件 系统当前状态 以管理员身份登录控制台 1 点击左侧面板 Security 文件夹 展开 provider 然后点击 Auditing 文件夹 2 查看是否配置 Auditor 对照如下图的红色标记部分配置 1 点击左侧面板中域名下的服务器 对照如下图的红色标记部分配置 实施步骤 以管理员身份登录控制台 1 点击左侧面板 Security 文件夹 展开 provider 然后点击 Auditing 文件夹 2 查看是否配置 Auditor 如无选择 Configure a new Default Auditor 并设置 审计级另为 FAILURE 3 点击左侧面板中域名下的服务器 在右侧面板 General 标签中设置 Configuration Auditing 为 logAudit 回退方案 关闭审计功能 判断依据 配置了审计 设置审计级另为 FAILURE Configuration Auditing 为 logAudit 实施风险中 重要等级 备注 2 1 22 1 22 1 22 1 2 SHG WebLogic 02 01 02SHG WebLogic 02 01 02SHG WebLogic 02 01 02SHG WebLogic 02 01 02 编号 SHG WebLogic 02 01 02 名称启用日志记录 实施目的启用日志记录 配置按日期 rotate 问题影响不启用日志或配置不当 就无法回溯追踪需要的历史记录 系统当前状态 以管理员身份登录管理控制台 1 点击域名 在右侧面板选择 Configuration 标签 2 选择 logging 标签 设置域级日志 查看如下图红色标记部分 3 点击域名下 servers 下的服务器名 在右侧面板选择 Logging 标签 点击 Domain 标签 查看 Log to Domain Log file 4 点击域名下 servers 下的服务器名 在右侧面板选择 Logging 标签 点击 Server 标签 配置服务器级日志 查看 Log to stdout 等 如下红色标记项 5 点击域名下 servers 下的服务器名 在右侧面板选择 Logging 标签 点击 HTTP 标签 查看如下红色标记部分 实施步骤 以管理员身份登录管理控制台 1 点击域名 在右侧面板选择 Configuration 标签 2 选择 logging 标签 设置域级日志 勾选如下图红色标记部分 3 点击域名下 servers 下的服务器名 在右侧面板选择 Logging 标签 选择 Domain 勾选 Log to Domain Log file 4 同上 点击 Server 标签 配置服务器级日志 勾选 Log to stdout 等 如 下红色标记项 5 同上 点击 HTTP 标签 按如下红色标记部分进行配置 回退方案 关闭日志功能 判断依据开启日志 并配置按日期 rotate 实施风险低 重要等级 备注 3 3 3 通信协议通信协议通信协议通信协议 3 1 13 1 13 1 13 1 1 SHG WebLogic 03 01 01SHG WebLogic 03 01 01SHG WebLogic 03 01 01SHG WebLogic 03 01 01 编号 SHG WebLogic 03 01 01 名称Keystore 和 SSL 设置 实施目的设置 WebLogic Keystore 和 SSL 问题影响 由于默认私有密钥在所有 WebLogic 服务器上是相同的 存在极 大的安全隐患 系统当前状态 以管理员身份登录管理控制台 1 点击左面板域名文件夹 然后点击 servers 文件夹 点击要管理的 服务器名 2 在右侧面板的 configuration 面板下的 Keystore SSL 标签中查看如 下图相应红色标记部分和蓝色标记部分 实施步骤 创建用户自已的私有密钥和数字证书 以管理员身份登录管理控制台 1 点击左面板域名文件夹 然后点击 servers 文件夹 点击要管理的 服务器名 2 在右侧面板的 configuration 面板下的 Keystore SSL 标签中 点 击 Keystore configuration 中 Change 项 改变默认私有密钥设置 3 同上点击 SSL configuration 中 Change 项 改变默认私有密钥设置 4 同上点击 Advanced option 中 Show 项 勾选 SSLRejection Logging Enabled 回退方案 取消 SSLRejection Logging Enabled 判断依据不应出现以下红色标记的默认设置 最底部蓝色标记部分应勾选 SSL Rejection Logging Enabled 记 录 SSL Rejection 日志 实施风险高 重要等级 备注 3 1 23 1 23 1 23 1 2 SHG WebLogic 03 01 02SHG WebLogic 03 01 02SHG WebLogic 03 01 02SHG WebLogic 03 01 02 编号 SHG WebLogic 03 01 02 名称限制应用服务器 Sockets 最大打开数量 实施目的限制应用服务器 Sockets 最大打开数量 问题影响 Sockets 最大打开数目设置不当的话 容易受到拒绝服务攻击 超出 操作系统文件描述符限制 系统当前状 态 以管理员身份登录管理控制台 1 点击左侧面板的域名文件夹 然后点击 Servers 文件夹 双击要管理的服 务器 2 在右侧面板的 Configuration 面板下选择 Tuning 标签 查看 Maximum Open Sockets 值 实施步骤 以管理员身份登录管理控制台 1 点击左侧面板的域名文件夹 然后点击 Servers 文件夹 双击要管理的服 务器 2 在右侧面板的 Configuration 面板下选择 Tuning 标签 3 设置 Maximum Open Sockets 为 254 或其它用户设定值 回退方案 恢复 Maximum Open Sockets 值到加固前状态 判断依据 实施风险中 重要等级 备注 此项操作需开发人员在测试机修改后测试 应用正常然后再在生产 机器上修改 4 4 4 设备其他安全要求设备其他安全要求设备其他安全要求设备其他安全要求 4 14 14 1 安装部署安装部署安装部署安装部署 4 1 14 1 14 1 14 1 1 SHG WebLogic 04 01 01SHG WebLogic 04 01 01SHG WebLogic 04 01 01SHG WebLogic 04 01 01 编号 SHG WebLogic 04 01 01 名称目录和文件权限 实施目的设置 WebLogic 目录权限 问题影响 系统当前状态 以 root 身份执行以下操作 ls alR BEA HOME find BEA HOME name sh xargs ls al 以下查找不必要的工具文件以下查找不必要的工具文件 find BEA HOME name config builder sh xargs ls al find BEA HOME name startWLBuilder sh xargs ls al find BEA HOME name jcommon 0 7 0 jar xargs ls al find WL HOME name PointBase xargs ls al find WL HOME name medrec xargs ls al 实施步骤 对启动和环境脚本限制权限为 710 确认 BEA HOME 属主 为 weblogic 用户 对不必要的工具文件设置权限为 700 并 改后缀名为 predeleted 以 root 身份执行以下操作 chown R weblogicuser BEA HOME find BEA HOME name sh xargs chmod 710 将检查步骤中查找到的不必要工具文件限制权限为将检查步骤中查找到的不必要工具文件限制权限为700 tar cvf beahome date y m d tar BEA HOME find WL HOME name config builder sh xargs chmod 700 find WL HOME name startWLBuilder sh xargs chmod 700 find WL HOME name jcommon 0 7 0 jar xargs chmod 700 find WL HOME name PointBase xargs chmod 700 find WL HOME name medrec xargs chmod 700 将检查步骤中查找到的不必要工具文件改名为将检查步骤中查找到的不必要工具文件改名为 predeleted mv config builder sh config builder sh predeleted mv startWLBuilder sh startWLBuilder sh predeleted mv jcommon 0 7 0 jar jcommon 0 7 0 jar predeleted mv PointBase PointBase predeleted mv medrec medrec predeleted 回退方案 恢复到加固前状态 判断依据没有不必要的权限 也不存在不必要的文件 实施风险中 重要等级 备注 4 1 24 1 24 1 24 1 2 SHG WebLogic 04 01 02SHG WebLogic 04 01 02SHG WebLogic 04 01 02SHG WebLogic 04 01 02 编号 SHG WebLogic 04 01 02 名称WebLogic 运行模式 实施目的更改运行模式为 Production Mode 问题影响 WebLogic 默认以开发方式运行 安全限制很宽松 存在严重的 安全隐患 系统当前状态 以 root 身份执行 1 find BEA HOME name myserver log grep i Production Mode find BEA HOME name setEnv sh grep i Production Mode 2 以管理员身份登录管理控制台 点击域名 在右侧面板选中 Genaral 标签 查看是否勾选 Production Mode 实施步骤 以管理员身份登录管理控制台 1 点击域名 在右侧面板选中 Genaral 标签 2 勾选 Production Mode 更改运行模式为 Production Mode 回退方案 恢复成开发模式 判断依据以 Production Mode 运行 实施风险中 重要等级 备注 4 1 34 1 34 1 34 1 3 SHG WebLogic 04 01 03SHG WebLogic 04 01 03SHG WebLogic 04 01 03SHG WebLogic 04 01 03 编号 SHG WebLogic 04 01 03 名称Embedded LDAP 服务器 实施目的为 LDAP 服务器安装相应补丁 问题影响 LDAP 允许根目录为 Null 和匿名绑定 使得不需要事先知道 目录结构就可获得敏感信息 加上 NULL BIND 使得一个 匿名用户使用类似 LdapMiner 的工具查询 LDAP 服务器 系统当前状态 以 root 身份执行 netstat an grep 389 以管理员身份登录管理控制台 1 右键点击左侧面板 Console 图标 选择 View Server Browser Info 2 查看版本号 WebLogic8 1 4 以下版本存在此安全隐患 实施步骤 安装最新的 WebLogic Service Pack 安全补丁下载需要 BEA 公司授权 WebLogic 安全公告 URL 回退方案 无 判断依据查看版本 实施风险高 重要等级 备注 4 1 44 1 44 1 44 1 4 SHG WebLogic 04 01 04SHG WebLogic 04 01 04SHG WebLogic 04 01 04SHG WebLogic 04 01 04 编号 SHG WebLogic 04 01 04 名称禁用 Send Server header 实施目的禁用 Send Server header 问题影响 Send Server header 会返回用户 WebLogic 服务器主机名和版本号 泄 露敏感信息 存在安全隐患 系统当前状 态 以管理员身份登录管理控制台 1 点击域名下的 Servers 文件夹 选择要管理的服务器 2 在右侧面板 Protocols 面板下 点击 HTTP 标签 3 检查是否勾选 Send Server header 实施步骤 以管理员身份登录管理控制台 1 点击域名下的 Servers 文件夹 选择要管理的服务器 2 在右侧面板 Protocols 面板下 点击 HTTP 标签 3 去掉 Send Server header 项前面的勾 禁止 Send Server header 回退方案 打开 Send Server header 判断依据 实施风险低 重要等级 备注 4 1 54 1 54 1 54 1 5 SHG WebLogic 04 01 05SHG WebLogic 04 01 05SHG WebLogic 04 01 05SHG WebLogic 04 01 05 编号 SHG WebLogic 04 01 05 名称删除 sample 程序 实施目的删除 sample 程序 问题影响sample 例子程序会泄露系统敏感信息 存在较大的安全隐患 系统当前状态 1 以 root 权限执行 find BEA HOME name sample print 2 以管理员身份登录管理控制台 a 点击 Deployment 文件夹 查看是否有如下形式应用存在 b 展开 Deployment 子文件夹 查看是否存在以上形式内容 其 path 中包含 samples 目录 如下图 实施步骤 以管理员身份登录管理控制台 1 点击 Deployment 文件夹 查看是否有如下形式应用存在 2 find BEA HOME name sample xargs rm rf 回退方案 重新安装 SAMPLE 判断依据没有安装 实施风险低 重要等级 备注 4 1 64 1 64 1 64 1 6 SHG WebLogic 04 01 06SHG WebLogic 04 01 06SHG WebLogic 04 01 06SHG WebLogic 04 01 06 编号 SHG WebLogic 04 01 06 名称设定默认出错页面 实施目的重新在应用程序 web xml 中定义默认出错页面 问题影响 如果没有定义默认错误网页 则当应用程序出错时会显示 内部出错信息 暴露系统和应用的敏感信息 系统当前状态 以 root 身份执行 cat WEB INF web xml 实施步骤 编辑 WEB INF web xml 加入 error page 定义 回退方案 回复定义错误页面到加固前状态 判断依据 存在如下定义形式 实施风险低 重要等级 备注APPLICATION HOME 需要询问用户或自行查找确定 4 1 74 1 74 1 74 1 7 SHG WebLogic 04 01 07SHG WebLogic 04 01 07SHG WebLogic 04 01 07SHG WebLogic 04 01 07 编号 SHG WebLogic 04 01 07 名称从生产环境删除源码 实施目的用户预编译 JSP 然后从生产环境删除源码 问题影响生产环境存在源码是极大的安全隐患 系统当前状态 以 root 身份执行 find BEA HOME name jsp print 实施步骤 rm 删除 jsp 源码文件 回退方案 无 判断依据不存在 jsp 源码 实施风险中 重要等级 备注 4 1 84 1 84 1 84 1 8 SHG WebLogic 04 01 08SHG WebLogic 04 01 08SHG WebLogic 04 01 08SHG WebLogic 04 01 08 编号 SHG WebLogic 04 01 08 名称开发和生产环境隔离 实施目的WebLogic 应该开发和生产环境隔离 问题影响开发环境容易引入安全问题 系统当前状态询问管理员是否生产环境与开发调试环境隔离 实施步骤 建立开发环境 使生产环境和开发环境隔离 回退方案 无 判断依据开发和生产环境隔离 实施风险高 重要等级 备注 4 24 24 2 运行维护运行维护运行维护运行维护 4 2 14 2 14 2 14 2 1 SHG WebLogic 04 02 01SHG WebLogic 04 02 01SHG WebLogic 04 02 01SHG WebLogic 04 02 01 编号 SHG WebLogic 04 02 01 名称WebLogic 补丁 实施目的升级 WebLogic 版本和安装补丁 问题影响 WebLogic 应用服务器各版本都存在安全漏洞 需要及时安 装厂商提供的安全补丁 系统当前状态 1 以管理员身份登录管理控制台 右键点击左侧面板 ConWLe 图标 选择 View Server Browser Info 查看版本号 2 以 root 身份执行 cat BEA HOME logs log txt 实施步骤 安装最新安全相关补丁包 卸载不需要的组件 安全补丁下载需要 BEA 公司授权 WebLogic 安全公告 URL 回退方案 无 判断依据 较新的大版本号和最新的版本小号 没有用户不需要的组 件 实施风险高 重要等级 备注 4 2 24 2 24 2 24 2 2 SHG WebLogic 04 02 0SHG WebLogic 04 02 0SHG WebLogic 04 02 0SHG Web