Debian环境下WebLogic的安全设置怎么做

Debian环境下WebLogic安全设置清单

一 系统与账户加固

• 保持系统与安全补丁最新：执行apt update && apt upgrade，及时修补漏洞。
• 最小权限运行：创建专用系统用户（如weblogic）运行WebLogic，禁止以root直接运行；将域目录属主设为该用户，仅授予必要权限。
• 强化SSH访问：使用ssh-keygen分发公钥登录，禁用口令登录与root直连（/etc/ssh/sshd_config 中设置PermitRootLogin no，必要时用AllowUsers限制可登录用户）。
• 防火墙最小化放行：仅开放必要端口（管理端口默认7001，SSL端口默认7002），对管理口可限制来源IP；示例（UFW）：ufw allow from 192.0.2.0/24 to any port 7001,7002；生产环境建议仅内网或跳板机可达管理口。
• 关闭不必要服务与端口，减少攻击面。

二 网络与传输安全

• 管理口与业务口分离：将7001/7002与管理终端、应用前端分别划分VLAN/安全组；公网仅暴露必要业务端口，管理口限制为内网访问。
• 强制启用加密通信：为管理通道与敏感业务启用SSL/TLS；WebLogic的SSL监听端口默认7002，可通过https://host:7002访问。
• 选择认证方式：常规对外服务使用单向SSL；对高安全场景启用双向SSL（客户端证书校验）。
• 主机名校验：在SSL配置中启用或自定义Host Name Verifier，防止主机名伪造。
• 证书与信任库：提前准备身份密钥库（Identity）与信任库（Trust），在控制台配置密钥库位置、私钥别名与密码，并按需配置入站/出站证书校验策略。

三 WebLogic内部安全配置

• 安全领域与认证：使用WebLogic安全领域统一管理认证与授权；可对接LDAP/OAuth等外部身份源，集中账号生命周期管理。
• 用户与角色：在控制台或WLST中创建用户/组，按“最小权限”分配角色；对部署、控制台访问、JMX等敏感操作设置细粒度权限与审批流程。
• 密码策略与账户安全：启用强口令策略、定期更换；对管理账户设置锁定/解锁与登录失败限制，避免暴力破解。
• 应用安全约束：为Web应用配置安全约束（登录、授权、会话管理），对管理接口与敏感资源启用访问控制。
• 管理通道保护：优先通过7002/SSL访问控制台；必要时限制来源IP，并定期审计管理员操作日志。

四 监控 日志与备份恢复

• 日志集中与审计：启用并集中采集WebLogic Server日志与系统日志（如/var/log/），对登录、部署、权限变更等事件设置告警；定期审计异常访问与失败登录。
• 运行监控与容量：监控CPU/内存/连接数/线程池等关键指标，设置阈值告警，避免因资源耗尽导致拒绝服务。
• 备份与演练：定期备份域目录、应用与密钥库，异地/离线保存；制定并演练灾难恢复流程，确保可快速回滚与恢复。

五 快速实施步骤

• 系统与账户：创建weblogic用户与组，调整域目录权限；配置UFW仅放行7001/7002且限制来源；SSH仅密钥登录并禁用root。
• Java与WebLogic：安装受支持的JDK（如OpenJDK 11），部署WebLogic，创建域并优化JVM与文件描述符。
• SSL启用：准备Identity/Trust密钥库，在控制台“Servers > SSL”中配置密钥库与私钥别名，选择单向/双向SSL与Host Name Verifier；必要时在“Advanced”中配置入/出站证书校验。
• 验证与切换：访问https://host:7002/console验证SSL生效；确认管理口仅内网可达后，再停用7001明文管理或限制其来源。
• 持续运维：上线监控/日志审计，执行补丁更新与备份演练，定期复核用户、角色与权限分配。