Weblogic中间件安全配置基线检查指导文件

Weblogic中间件安全配置基线

目录

第1章概述3

1.1目的3

1.2适用范围3

1.3适用版本3

1.4安全基线说明3

第2章基本安全配置3

2.1锁定账号策略打开3

2.2失败锁定允许尝试次数4

2.3口令尝试错误锁定持续时间5

2.4口令长度复杂度5

2.5是否启用SSL监听6

2.6设置sockets最大连接数7

2.7更改默认端口8

2.8是否设置超时登出8

2.9错误页面重定向9

第3章增强安全配置11

3.1启用HTTP访问日志11

3.2安装官方最新补丁12

第1章概述

1.1目的

本文档旨在指导Weblogic中间件安全合规配置。

1.2适用范围

本配置标准适用的范围包括：Weblogic中间件。

1.3适用版本

Weblogic中间件

1.4安全基线说明

本安全基线标准主要包含账户锁定安全、登录失败安全、口令安全、SSL监

听、最大连接数、默认端口、错误页面冲定向、安全访问等几个方面，基线内容

包括11项安全基线。

第2章基本安全配置

2.1锁定账号策略打开

安全基线项目名称WebLogic启动帐号安全基线要求项

安全基线编号WFNX-Weblogic-01

安全基线项说明避免攻击者暴力破解帐号密码

1.参考配置操作

检测操作步骤控制台中选择

安全领域-＞myreal『＞配置-＞用户封锁，检查“启用封锁”

是否勾选

基线符合性1.判定条件

判定依据用户封锁，检查“启用封锁”勾选

控制台中选择

加固标准

安全领域-＞myrealm-＞配置-＞用户封锁,勾选“启用封锁”

现状

检查结果□符合□不符合_____________

整改结果

备注

2.2失败锁定允许尝试次数

安全基线项目名称WebLogic帐号失败锁定基线要求项

安全基线编号WFNX-Weblogic-02

要求设定帐号锁定次数和时间，错误输入密码5次，系统

安全基线项说明

自动锁定。

1.参考配置操作

控制台中选择

检测操作步骤

安全领域-＞myrealm-＞配置-〉用户封锁，检查“封锁标准

值”是否为小于等于5的值。

基线符合性1.判定条件

判定依据用户封锁，检查“封锁标准值”小于等于5。

控制台中选择

加固标准安全领域-＞myrealm-＞配置-＞用户封锁，"封锁标准值”

设置为5.o

现状

检查结果□符合□不符合_____________

整改结果

备注

2.3口令尝试错误锁定持续时间

安全基线项目名称WebLogic口令错误锁定时间基线要求项

安全基线编号WFNX-Weblogic-03

用户口令要求设定帐号锁定次数和时间，错误输入密码5

安全基线项说明

次，系统自动锁定，锁定时间一般大于等于30

1.参考配置操作

控制台中选择

检测操作步骤

安全领域-＞myrealm-＞配置-＞用户封锁，检查“封锁持续

时间”是否为大于等于30的值。

基线符合性1.判定条件

判定依据用户封锁..检查“封锁持续时间”大于等于30的值.

控制台中选择

加固标准安全领域-＞myrealnr＞配置-＞用户封锁，”封锁持续时间”

设置为30o

现状

检查结果□符合□不符合_____________

整改结果

备注

2.4口令长度复杂度

安全基线项目名称WebLogic口令复杂度基线要求项

安全基线编号WFNX-Weblogic-04

对于采用静态口令认证技术的设备，口令长度至少8位，

安全基线项说明并包括数字、小写字母、大写字母和特殊符号四类中至少

两类。

1.参考配置操作

检测操作步骤控制台中选择

安全领域-〉myrealm-＞提供程序-＞选择

DefaultAuthenticator->配置,

检查”提供程序特定”里"最小口令长度”的值是否大于

等于8

1.判定条件

基线符合性

配置，

判定依据

检查“提供程序特定“里”最小口令长度”的值大于等于8

控制台中选择

安全领域->myrealm->提供程序选择

加固标准

Defau11Authenticator->配置,

“提供程序特定”里”最小口令长度”的值设置为8

现状

检查结果□符合□不符合________________

整改结果

备注

2.5是否启用SSL监听

安全基线项目名称WebLogicSSL监听安全基线要求项

安全基线编号WFNX-Weblogic-05

安全基线项说明WebLogic采用SSL加密HTTP连接

1.参考配置操作

登录管理控制台，选择“服务器”一）“服务器名”->“配

置”标签->“一般信息”标签，检查是否勾选“启用SSL监

检测操作步骤听端口”

登录管理控制台，选择“服务器”->“服务器名”->”配

置”标签->“一般信息”标签，检查设置访问端口号是否

为默认的443,如果不是443代表已经进行了修改。

登录管理控制台，选择“服务器”->“服务器名”->“配

加固标准置”标签->“一般信息”标签，勾选“启用SSL监听端口”；

登录管理控制台，选择“服务器”->“服务器名”->“配

置”标签“一般信息”标签，设置访问端口号。

1.判定条件

基线符合性配置”标签->“一般信息”标签，勾选“启用SSL监听端

判定依据口”；

默认为443,可修改为其他端口。

现状

检查结果□符合□不符合________________

整改结果

备注

2.6设置sockets最大连接数

安全基线项目名称WebLogic设置sockets最大连接数安全基线要求项

安全基线编号WFNX-Weblogic-06

安全基线项说明节省weblogic服务器资源，防止连接耗尽攻击

1.参考配置操作

登录管理控制台，选择“服务器”->“服务器名”->”配

检测操作步骤置”标签->“优化”或“调整”标签，检查数值是多少。

应根据实际情况修改“最大打开套接字数”，不能为T（无

限制）

1.判定条件

基线符合性

登录管理控制台，选择“服务器”一）“服务器名”->“配

判定依据

置”标签->“优化”或“调整”标签，检查数值是多少。

登录管理控制台，选择“服务器”->“服务器名”->”配

加固标准置”标签“优化”或“调整”标签，应根据实际情况修

改“最大打开套接字数”。（不能为-1（无限制））

现状

检查结果口符合□不符合______________

整改结果

应根据实际情况修改“最大打开套接字数”，不能为-1（无

备注

限制）

2.7更改默认端口

安全基线项目名称WebLogic运行端口安全基线要求项

安全基线编号WNX-Weblogic-07

安全基线项说明更改WebLogic服务器默认端口

1.参考配置操作

登录管理控制台，选择“服务器”->“服务器名”->”配

检测操作步骤

置”标签->“一般信息”标签，查看是否取消“监听端口”，

或者设置访问端口号为非默认7001,如：8001

1.判定条件

基线符合性

查看是否取消“监听端口”，或者设置访问端口号为非默认

判定依据

7001,如：8001

登录管理控制台，选择“服务器”->“服务器名”->“配

加固标准.置”标签->“一般信息”标签，取消“监听端口”，或者设

置访问端口号为非默认7001,如：8001

现状

检查结果□符合□不符合________________

整改结果

根据应用场景的不同，如部署场景需开启此功能，则强制

备注

要求此项。可能会影响系统。

2.8是否设置超时登出

安全基线项目名称WebLogic超时登出安全基线要求项

安全基线编号WFNX-Weblogic-08

防止攻击者利用XSS或是CSRF等方法劫持会话，盗取用户

安全基线项说明

身份，同时节省weblogic服务器资源

1.参考配置操作

https超时登出

登录管理控制台，选择“域”->“环境”->“服务器”-〉

"AdminServer配置”->“优化”或“调整”标签，

检查SSL登录超时的值是否进行了设置，可以设置为

检测操作步骤

10000,单位：秒

http超时登出

登录管理控制台，选择“域”->“环境”-〉“服务器”->

“AdminServer配置“->“优化”标签，检查登录

超时是否进行了设置，可以设置为5000,单位：秒

基线符合性L判定条件

判定依据检查登录超时是否进行了设置。

https超时登出

登录管理控制台，选择“域”->“环境”->“服务器”->

“AdminServer配置“->”优化”或“调整”标签,

设置SSL登录超时的值，可以设置为10000,单位：秒

加固标准

http超时登出

登录管理控制台，选择“域”>“环境”>“服务器”》

"AdminServer配置“->“优化”标签，设置登录

超时，可以设置为5000,单位：秒

现状

检查结果□符合□不符合________________

整改结果

备注

2.9错误页面重定向

安全基线项目名称WebLogic错误页面重定向安全基线要求项

安全基线编号WFNX-Weblogic-09

安全基线项说明WebLogic错误页面重定向

1.参考配置操作

使用系统的应用帐号进入以下目录：

NSF{wlshome}/server/lib/consoleapp/webapp/WEB-INF/

检测操作步骤

web.xml文件，检查文件中是否添加

web-app/error/exception-type

节点，如果有代表己经进行了加固。如果没有则不通过

1.判定条件

要求包含如下片段：

<error>

<exception-tipe>*</exception-tipe>

<location>error.html</location>

</error>

或者

<error>

基线符合性<error-code>404</error-code>

<location>/errors/404.jsp</location>

判定依据</error>

<error>

<error-code>500</error-code>

<location>/errors/500.jsp</location>

</error>

<error>

<error-code>503</error-code>

<location>/errors/503.jsp</location>

</error>o

用系统的应用帐号进入以下目录：

NSF{wlshome}/server/1ib/consoleapp/webapp/WEB-INF/

加固标准web.xml文件，文件中添加

web-app/error/exception-type

corae-fi1e-15.■金>

<wclcoine-£ilc>index,htrol</welcome-fi1e>

<welcome-file>index.htro</welcome-fi1e>

<welcoxne-File>in<ieK.Jsp</welcome-Fi1e>

V/bu1come-fi1u-1ict>

<error-r>age>

<exrxrox*-co<de>401</co<de>

<1ocation>ZJsp/conroon/error.ocation>

</exror-x>ase：>

<errox'-r>fige>

<exrox"-code>403</earsrox*-code〉

<1ocation>/Jsp/conwnon/error.jsp</location>|

<ZeiTror-r>ager>

<exrox—page>

<CXTOX--code>404</UXTOX--VODU>

<locaition>ZJsp/conroon/error.Jsr><Zlocation>

<ZeTnroi'-page>

<ex*xrox-

<csrrox—code>SOO<Zerrrox■-code>

<1ocation>ZisoZconroon/error.isr><Zlocation>

<Zexnrox"-r>age->

</wel>-eM>r>>

现状

检查结果□符合口不符合_______________

整改结果

备注

第3章增强安全配置

3.1启用HTTP访问日志

安全基线项目名称WebLogicHTTP访问日志安全基线要求项

安全基线编号WFNX-Weblogic-10

对运行错误、用户访问等进行记录，记录内容包括

安全基线项说明