2024年1月10日发(作者:)
Weblogic中间件安全配置基线
目 录
第1章 概述 ............................................................................................................................... 3
1.1 目的 ................................................................................................................................... 3
1.2 适用范围............................................................................................................................ 3
1.3 适用版本............................................................................................................................ 3
1.4 安全基线说明 .................................................................................................................... 3
第2章
2.1
2.2
2.3
2.4
2.5
2.6
2.7
2.8
2.9
第3章
3.1
3.2
基本安全配置 ............................................................................................................... 3
锁定账号策略打开 ....................................................................................................... 3
失败锁定允许尝试次数 ............................................................................................... 4
口令尝试错误锁定持续时间 ....................................................................................... 5
口令长度复杂度 ........................................................................................................... 5
是否启用SSL监听 ....................................................................................................... 6
设置sockets最大连接数 ............................................................................................. 7
更改默认端口 ............................................................................................................... 8
是否设置超时登出 ....................................................................................................... 8
错误页面重定向 ........................................................................................................... 9
增强安全配置 ............................................................................................................. 11
启用HTTP访问日志 .................................................................................................. 11
安装官方最新补丁 ..................................................................................................... 12
第1章 概述
1.1 目的
本文档旨在指导Weblogic中间件安全合规配置。
1.2 适用范围
本配置标准适用的范围包括: Weblogic中间件。
1.3 适用版本
Weblogic中间件
1.4 安全基线说明
本安全基线标准主要包含账户锁定安全、登录失败安全、口令安全、SSL监听、最大连接数、默认端口、错误页面冲定向、安全访问等几个方面,基线内容包括11项安全基线。
第2章 基本安全配置
2.1 锁定账号策略打开
安全基线项目名称 WebLogic启动帐号安全基线要求项
安全基线编号
安全基线项说明
WFNX-Weblogic-01
避免攻击者暴力破解帐号密码
1. 参考配置操作
检测操作步骤 控制台中选择
安全领域-> myrealm->配置 ->用户封锁,检查“启用封锁”
是否勾选
基线符合性
判定依据
加固标准
现状
检查结果
整改结果
备注
1.判定条件
用户封锁,检查“启用封锁”勾选
控制台中选择
安全领域-> myrealm->配置 ->用户封锁,勾选“启用封锁”
□符合 □不符合
2.2 失败锁定允许尝试次数
安全基线项目名称 WebLogic帐号失败锁定基线要求项
安全基线编号
安全基线项说明
WFNX-Weblogic-02
要求设定帐号锁定次数和时间,错误输入密码5次,系统自动锁定。
1.参考配置操作
检测操作步骤
控制台中选择
安全领域-> myrealm->配置 ->用户封锁,检查“封锁标准值”是否为小于等于5的值。
基线符合性
判定依据
1.判定条件
用户封锁,检查“封锁标准值”小于等于5。
控制台中选择
加固标准 安全领域-> myrealm->配置 ->用户封锁,“封锁标准值”设置为5.。
现状
检查结果
整改结果
备注
□符合 □不符合
2.3 口令尝试错误锁定持续时间
安全基线项目名称 WebLogic口令错误锁定时间基线要求项
安全基线编号
安全基线项说明
WFNX-Weblogic-03
用户口令要求设定帐号锁定次数和时间,错误输入密码5次,系统自动锁定,锁定时间一般大于等于30
1.参考配置操作
检测操作步骤
控制台中选择
安全领域-> myrealm->配置 ->用户封锁,检查“封锁持续时间”是否为大于等于30的值。
基线符合性
判定依据
1.判定条件
用户封锁,检查“封锁持续时间”大于等于30的值。
控制台中选择
加固标准 安全领域-> myrealm->配置 ->用户封锁,“封锁持续时间”设置为30。
现状
检查结果
整改结果
备注
□符合 □不符合
2.4 口令长度复杂度
安全基线项目名称 WebLogic口令复杂度基线要求项
安全基线编号 WFNX-Weblogic-04
对于采用静态口令认证技术的设备,口令长度至少8位,安全基线项说明 并包括数字、小写字母、大写字母和特殊符号四类中至少两类。
1.参考配置操作
检测操作步骤 控制台中选择
安全领域-> myrealm -> 提供程序 -> 选择
DefaultAuthenticator ->配置,
检查“提供程序特定“里“最小口令长度”的值是否大于等于8
基线符合性
判定依据
1.判定条件
配置,
检查“提供程序特定“里“最小口令长度”的值大于等于8
控制台中选择
加固标准
安全领域-> myrealm -> 提供程序 -> 选择DefaultAuthenticator ->配置,
“提供程序特定“里“最小口令长度”的值设置为8
现状
检查结果
整改结果
备注
□符合 □不符合
2.5 是否启用SSL监听
安全基线项目名称 WebLogic SSL监听安全基线要求项
安全基线编号
安全基线项说明
WFNX-Weblogic-05
WebLogic 采用SSL加密HTTP连接
1.参考配置操作
登录管理控制台,选择“服务器”->“服务器名”->“配置”标签->“一般信息”标签,检查是否勾选“启用 SSL 监检测操作步骤 听端口”
登录管理控制台,选择“服务器”->“服务器名”->“配置”标签->“一般信息”标签,检查设置访问端口号是否为默认的443,如果不是443代表已经进行了修改。
登录管理控制台,选择“服务器”->“服务器名”->“配加固标准 置”标签->“一般信息”标签,勾选“启用 SSL 监听端口”;
登录管理控制台,选择“服务器”->“服务器名”->“配
置”标签->“一般信息”标签,设置访问端口号。
1.判定条件
基线符合性
判定依据
配置”标签->“一般信息”标签,勾选“启用 SSL 监听端口”;
默认为443,可修改为其他端口。
现状
检查结果
整改结果
备注
□符合 □不符合
2.6 设置sockets最大连接数
安全基线项目名称 WebLogic设置sockets最大连接数安全基线要求项
安全基线编号
安全基线项说明
WFNX-Weblogic-06
节省weblogic服务器资源,防止连接耗尽攻击
1.参考配置操作
登录管理控制台,选择“服务器”->“服务器名”->“配检测操作步骤 置”标签->“优化”或“调整”标签,检查数值是多少。应根据实际情况修改“最大打开套接字数”,不能为-1(无限制)
基线符合性
判定依据
1.判定条件
登录管理控制台,选择“服务器”->“服务器名”->“配置”标签->“优化”或“调整”标签,检查数值是多少。
登录管理控制台,选择“服务器”->“服务器名”->“配加固标准 置”标签->“优化”或“调整”标签,应根据实际情况修改“最大打开套接字数”。(不能为-1(无限制))
现状
检查结果
整改结果
□符合 □不符合
备注
应根据实际情况修改“最大打开套接字数”,不能为-1(无限制)
2.7 更改默认端口
安全基线项目名称 WebLogic运行端口安全基线要求项
安全基线编号
安全基线项说明
WFNX-Weblogic-07
更改WebLogic服务器默认端口
1.参考配置操作
检测操作步骤
登录管理控制台,选择“服务器”->“服务器名”->“配置”标签->“一般信息”标签,查看是否取消“监听端口”,或者设置访问端口号为非默认7001,如:8001
基线符合性
判定依据
1.判定条件
查看是否取消“监听端口”,或者设置访问端口号为非默认7001,如:8001
登录管理控制台,选择“服务器”->“服务器名”->“配加固标准 置”标签->“一般信息”标签,取消“监听端口”,或者设置访问端口号为非默认7001,如:8001
现状
检查结果
整改结果
备注
□符合 □不符合
根据应用场景的不同,如部署场景需开启此功能,则强制要求此项。可能会影响系统。
2.8 是否设置超时登出
安全基线项目名称 WebLogic超时登出安全基线要求项
安全基线编号
安全基线项说明
WFNX-Weblogic-08
防止攻击者利用XSS或是CSRF等方法劫持会话,盗取用户身份,同时节省weblogic服务器资源
1.参考配置操作
https超时登出
登录管理控制台,选择“域”->“环境”->“服务器”->“AdminServer“->”配置“->“优化”或“调整”标签,检测操作步骤
检查SSL登录超时的值是否进行了设置,可以设置为10000,单位:秒
http超时登出
登录管理控制台,选择“域”->“环境”->“服务器”->“AdminServer“->”配置“->“优化” 标签,检查登录超时是否进行了设置,可以设置为5000,单位:秒
基线符合性
判定依据
1.判定条件
检查登录超时是否进行了设置。
https超时登出
登录管理控制台,选择“域”->“环境”->“服务器”->“AdminServer“->”配置“->“优化”或“调整”标签,加固标准
设置SSL登录超时的值,可以设置为10000,单位:秒
http超时登出
登录管理控制台,选择“域”->“环境”->“服务器”->“AdminServer“->”配置“->“优化” 标签,设置登录超时,可以设置为5000,单位:秒
现状
检查结果
整改结果
备注
□符合 □不符合
2.9 错误页面重定向
安全基线项目名称 WebLogic错误页面重定向安全基线要求项
安全基线编号
安全基线项说明
WFNX-Weblogic-09
WebLogic错误页面重定向
1.参考配置操作
使用系统的应用帐号进入以下目录:
检测操作步骤
NSF{wlshome}/server/lib/consoleapp/webapp/WEB-INF/文件,检查文件中是否添加web-app/error-page/exception-type
节点,如果有代表已经进行了加固。如果没有则不通过
1.判定条件
要求包含如下片段:
或者
。
用系统的应用帐号进入以下目录:
NSF{wlshome}/server/lib/consoleapp/webapp/WEB-INF/
加固标准 文件,文件中添加
web-app/error-page/exception-type
基线符合性
判定依据
现状
检查结果
整改结果
备注
□符合 □不符合
第3章 增强安全配置
3.1 启用HTTP访问日志
安全基线项目名称 WebLogicHTTP访问日志安全基线要求项
安全基线编号
安全基线项说明
WFNX-Weblogic-10
对运行错误、用户访问等进行记录,记录内容包括
时间,用户使用的IP地址等内容。
1.参考配置操作
检测操作步骤
登录管理控制台,选择“服务器”->“服务器名”->“日志记录”标签->“HTTP”标签,设置服务器日志:
点击“启用 HTTP 访问日志文件”,是否有设置日志文件
基线符合性
判定依据
1.判定条件
点击“启用 HTTP 访问日志文件”,是否有设置日志文件
登录管理控制台,选择“服务器”->“服务器名”->“日加固标准 志记录”标签->“HTTP”标签,设置服务器日志:
点击“启用 HTTP 访问日志文件”,设置日志文件
现状
检查结果
整改结果
备注
□符合 □不符合
3.2 安装官方最新补丁
安全基线项目名称 WebLogic安装官方最新补丁安全基线要求项
安全基线编号
安全基线项说明
WFNX-Weblogic-11
如果环境允许,请安装官方最新补丁
1.参考配置操作
检测操作步骤 使用系统的应用帐号进入
WebLogic_HOME/bea/logs/中获取版本信息
基线符合性
判定依据
现状
检查结果
整改结果
备注
1.判定条件
使用系统的应用帐号进入
WebLogic_HOME/bea/logs/中获取版本信息
□符合 □不符合
发布者:admin,转转请注明出处:http://www.yc00.com/news/1704849075a1378267.html
评论列表(0条)