1. 系统级基础安全加固
sudo apt update && sudo apt upgrade,确保Debian系统及所有软件包(包括WebLogic依赖的Java环境)为最新版本,修补已知安全漏洞。examples目录)和文档,降低攻击面。ufw(推荐)或iptables设置规则,仅允许必要端口通信(如SSH的22端口、WebLogic管理端口的7001端口、应用层的80/443端口),默认拒绝所有入站流量。例如:sudo ufw allow 22/tcp && sudo ufw allow 7001/tcp && sudo ufw enable。2. WebLogic自身安全配置
http://<server_ip>:7001/console)进入“安全领域”→“用户和组”,创建强密码用户(避免使用默认weblogic用户),分配最小必要角色(如Admin角色仅授予必要管理员)。建议集成LDAP/Active Directory实现集中身份管理,提升认证安全性。keytool工具将证书导入WebLogic密钥库(keystore.jks);② 编辑域配置文件config.xml,在<server>标签内添加<ssl>配置,指定密钥库路径、密码及别名(如<ssl enabled="true" keystore="/path/to/keystore.jks" key-alias="weblogic"/>);③ 重启WebLogic使配置生效,并通过浏览器验证HTTPS连接(地址栏显示锁图标)。3. 操作系统权限与用户管理
/etc/ssh/sshd_config文件,设置PermitRootLogin no(禁止root远程登录)、PasswordAuthentication no(禁用密码认证,使用密钥认证)、AllowUsers your_username(仅允许指定用户登录),并更改默认SSH端口(如Port 2222),降低SSH暴力破解风险。修改后重启SSH服务:sudo systemctl restart sshd。weblogicuser),将其加入weblogicgroup组,避免使用root用户运行WebLogic。设置WebLogic安装目录及域目录的权限,确保只有weblogicuser和weblogicgroup有读写权限(如sudo chown -R weblogicuser:weblogicgroup /path/to/weblogic,sudo chmod -R 750 /path/to/weblogic)。sudo visudo编辑/etc/sudoers文件,仅允许特定用户(如weblogicadmin)使用sudo执行必要命令(如重启WebLogic),避免过度授权(如weblogicadmin ALL=(ALL) NOPASSWD: /path/to/weblogic/bin/startWebLogic.sh,/path/to/weblogic/bin/stopWebLogic.sh)。4. 监控与维护
rsyslog)集中收集系统日志,便于后续分析。config.xml、keystore.jks等)和域数据,存储在安全位置(如异地服务器、云存储)。制定灾难恢复计划,确保在安全事件(如数据泄露、系统崩溃)发生时能快速恢复服务。
