温馨提示×

Linux WebLogic安全设置有哪些要点

小樊
35
2026-06-30 19:30:41
栏目: 智能运维

WebLogic Server 是 Oracle 的企业级 Java 应用服务器,在 Linux 环境下的安全配置非常关键。下面按安全维度总结 WebLogic 在 Linux 上的核心安全设置要点,适用于生产环境加固。


一、操作系统与账户安全

1. 使用专用低权限用户运行 WebLogic

  • 不要使用 root 启动 WebLogic
  • 创建专用用户:
groupadd weblogic
useradd -g weblogic -d /home/weblogic weblogic
  • 所有 WebLogic 目录归属该用户:
chown -R weblogic:weblogic /u01/weblogic

2. 限制文件和目录权限

  • 配置文件、密钥文件应为 600 或 640:
chmod 600 *.key *.pem
  • 禁止其他用户访问 domains 目录:
chmod 750 /u01/weblogic/domains

二、WebLogic 控制台与端口安全

3. 禁用或限制 Administration Console

  • 生产环境建议 禁用 Console
-Dweblogic.management.disableConsole=true
  • 或在 config.xml 中:
<console-enabled>false</console-enabled>

4. 修改默认端口

  • Admin Server 不使用 7001
  • Managed Server 不使用 7002
  • 修改 config/config.xml

5. 限定控制台访问来源(IP 白名单)

  • 使用防火墙限制访问:
iptables -A INPUT -p tcp --dport 7001 -s 10.0.0.10 -j ACCEPT
iptables -A INPUT -p tcp --dport 7001 -j DROP

三、身份认证与账号安全

6. 禁用演示账号

  • 删除或禁用:
    • weblogic / weblogic(弱密码)
    • system 用户

7. 强制使用强密码策略

  • 设置复杂密码(≥12 位)
  • 启用密码过期策略(结合 LDAP)

8. 启用 Lockout(账户锁定)

  • Console 或 config.xml
    • 登录失败次数 ≥5
    • 锁定时间 ≥15 分钟

四、SSL / HTTPS 安全

9. 启用 SSL 并禁用弱协议

  • 禁用 SSLv2 / SSLv3 / TLS 1.0
  • 使用 TLS 1.2 或 1.3

配置示例(config.xml):

<ssl>
  <enabled>true</enabled>
  <protocol>TLSv1.2</protocol>
</ssl>

10. 使用权威 CA 证书或企业 CA

  • 禁止使用自签名证书(生产环境)
  • 定期更新证书

五、Java 与安全配置

11. 升级 JDK 与 WebLogic 版本

  • 使用 官方支持版本
  • 定期打:
    • WebLogic PSU
    • JDK 安全补丁

12. 限制 Java 安全权限

  • 限制 java.policy
  • 禁用不必要权限:
permission java.security.AllPermission;  // 应避免

六、防止常见 Web 攻击

13. 关闭目录浏览与样例

  • 删除或禁用:
rm -rf /u01/weblogic/wlserver/samples
  • 删除默认应用和 WLS 示例

14. 防止 XXE、反序列化攻击

  • 启用 WebLogic 反序列化过滤器:
-Dweblogic.oif.serialFilterScope=weblogic

七、日志与审计

15. 开启安全日志与审计

  • 启用:
    • server.log
    • access.log
    • audit.log
  • 日志外发到集中日志服务器(ELK / Splunk)

16. 定期审计管理员操作

  • 查看:
$DOMAIN_HOME/servers/AdminServer/logs

八、网络安全与防火墙

17. 管理端口与业务端口分离

  • Admin Server:仅运维访问
  • Managed Server:仅业务流量

18. 使用内网通信

  • 不要直接暴露 Admin Server
  • 使用反向代理(Nginx / Apache)

九、生产建议(非常重要)

19. 生产模式(Production Mode)

$DOMAIN_HOME/bin/setDomainEnv.sh
  • 启用 Production Mode(关闭开发特性)

20. 定期安全扫描与加固

  • 使用 CIS Benchmark for WebLogic
  • 定期漏洞扫描

十、快速检查清单(Checklist)

✅ 非 root 用户运行
✅ 控制台禁用或受限
✅ 强密码 + 账户锁定
✅ TLS 1.2+、有效证书
✅ 删除样例与无用应用
✅ 反序列化防护
✅ 管理端口不对外
✅ 日志审计开启


如果你需要:

  • WebLogic 12c / 14c 专用加固清单
  • 等保 2.0 对照配置
  • config.xml / setDomainEnv.sh 示例
  • 自动化加固脚本

可以继续告诉我你的 WebLogic 版本和用途。

0