Weblogic 整改方法

Weblogic 整改方法

 

1 应对登录操作系统和数据库的用户进行身份标识和鉴别

 

所有应用系统的weblogic都要登录名与密码

2 密码复杂度要求

 

Home > Summary of Servers > Summary of Security Realms > myrealm > Users and Groups > Providers > DefaultAuthenticator   

这个参数是weblogic默认值,只要检查一下是不是如下图就可以,如果不是要修改为8

3 密码是否定期修改、要配置Weblogic的失败处理功能,

Lockout Threshold 设置尝试登录次数 5

Lockout Duration 设置账号锁定时间 3

Lockout Reset Duration 设置失败尝试时间 3

Lockout cache size 5 不操作几分钟后注销用户

 

 

4 开启SSL

选上SSL listen port enabled   端口不能与现在端口重复

5 检查不同的用户分配不同的用户名

说明相应用户的作用

6检查Weblogic应用服务器,查看其是否采用两种/以上身份鉴别技术的组合来进行身份验证。

 

 

 

 

 

 

 

 

访问控制

1 检查Weblogic 应用服务器的安全策略,查看操作系统对这些重要文件的访问权限是否进行了限制,(检查weblogic安装目录,与域目录的访问权限);修改weblogic控制区端口,不能为7001,可以通过启动管理端口,Enable Administration Port , 并指定管理端口

2 检查服务器操作系统与weblogic应用服务器检查用户权限分离的情况

操作系统应分为不同的账号,管理不同的工作;root 为管理员,weblogic用户为启动关闭weblogic应用的用户;在weblogic中用户应分为监控用的用户与管理员用户。

 

3 检查weblogic应用服务器与操作系统管理员是否由不同的管理员担任

 

回答是,weblogic由系统管理员做,操作系统管理员由平台组做

 

4 限制weblogic用户在操作系统中只能查weblogic的内容

 

5 检查主要服务器操作系统和weblogic应用服务器材查看匿名/默认的访问权限是否已补禁用或者严格限制,是否删除多余、过期的的共享账户。

 

这一项检查系统才知

 

6 是否依据安全策略严格控制用户对有敏感标记重要信息资源的操作

 

安全审计

 

1 检查weblogic 是否开了日志审计

 Weblogic 默认打开审计日志功能,并检查HTTP是否有打开审计

选上HTTP access log file enabled,   要重启应用才生效

 

2 检查主要服务器操作系统、终端操作系统、weblogic应用服务器的安全审计配置是否符合审计策略的要求

 

Weblogic 的安全审计要求 默认值  可以满足要求, DEBUG级别就进行记录。

3 检查主要服务器操作系统、终端操作系统、weblogic应用服务器的安全审计配置是否包括发生日期、触发事件的主体、客体、事件的类型、事件成功或失败、事件的结果。

weblogic默认值可以满足要求

 

4 保证审计日志文件应用设置访问权限,禁止未经授权的用户访问,

如果weblogic安装在windows系统中,要确保everyone 没有访问相应目录的权限;在linux 文件的权限应为640,同时日志建议保留2个月以上。

 

5检查是否为授权用户提供浏览和分析审计记录的功能,是否可以根据需要生成不同的格式审计报表

 

Weblogic控制区可以进行表格式显示、并行进行排序等

 

6 测试weblogic应用服务器,非审计员的账号无法中断审计进程,

 

只有有启动关闭weblogic进程的用户才能中断审计进程; 默认是无问题

 

剩余信息保护

 

1 访谈系统管理员, 回答 用户的鉴别信息存储空间会自动释放或再分配时自动删除记录,系统的存储空间分配给别的用户时会先删除文件

2 回答, 数据库记录等资源分配给别的用户前会删除所有记录。

3 用户退出weblogic控制区后自动清除信息,只能在IE里实现 weblogic 不会记录密码。

 

 

入侵防范

 

12问应该回答肯定的,一、二项在网络设备里实现,

3 有定期备份应用文档与weblogic配置文件,并做定期的恢复测试。

4 检查版本号

5 禁用 servers->protocols->http->send server header

 

按下图设置,hostname verification BEA Hostname Verifier

 

资源控制

 

1 检查weblogic 应用服务器,查看是否设定了终端接入方式、网络地址范围等条件限制终端登录

回答有,要运行接入认证系统才能登录IDC里的系统

 

2与书本对应位置不同,weblogic 9.2按以下方法处理,要重启weblogic

查看domain-configuration general--advanced--console session timeout参数值配置(建议为300)WLS10.3以后才能直接修改

WLS9.2修改方法:WLS安装目录/weblogic923/weblogic92/server/lib/consoleapp/webapp/WEB-INF/weblogic.xml
找到
<session-param>
<param-name>TimeoutSecs</param-name>
<param-value>
3600</param-value>
</session-param>
<session-param>
<param-name>CookieName</param-name>
<param-value>ADMINCONSOLESESSION</param-value>
</session-param>

TimeOutSecsvalue值从3600改成300,就是连接会话超时控制的时间变成了5分钟

 

3 检查主要服务器操作系统,查看其是否对CPU,硬盘,内存和网络等资源的使用进行监控。

 

IT集中监控已实现功能

 

设置Maximun open sockets  一般为250   营销系统由于使用者比较多,修改值为500

 

Weblogic 9.2 要在cofing.xml  中设置

检查Servers-Configuration-Tuning,检查Maximum Open Sockets参数值(建议250)。

config.xml文件</ssl>后面加入代码<max-open-sock-count>250</max-open-sock-count>(要求停止应用重启adminserver)
managedserver
config.xml文件<name>Server1</name>后面加入代码<max-open-sock-count>250</max-open-sock-count>(要求停止应用,重启adminserver)

 

5检查主要服务器操作系统,服务水平降低到预先规定的最小值时,参检测和报警

 

IT集中监控已实现功能





posted @ 2016-06-06 09:11  辉bird  阅读(8256)  评论(0编辑  收藏  举报