Ubuntu上WebLogic的安全设置如何配置

Ubuntu上WebLogic安全设置配置指南

1. 以非root用户运行WebLogic

避免以超级用户（root）启动WebLogic Server，降低系统权限滥用风险。操作步骤：

• 创建WebLogic专用组：groupadd weblogic
• 创建WebLogic用户并加入组：useradd -g weblogic weblogic
• 设置用户密码：passwd weblogic
• 切换至weblogic用户，启动服务：su - weblogic; ./startWebLogic.sh

2. 更改默认端口

修改HTTP/HTTPS默认端口（7001/7002），避免攻击者通过默认端口快速定位服务。操作步骤：

• 登录WebLogic管理控制台，导航至环境→服务器→AdminServer→配置→一般信息
• 勾选“启用监听端口”，将HTTP端口从7001修改为其他值（如8001）；将HTTPS端口从7002修改为非标准端口（如8002）
• 保存并激活更改

3. 禁用敏感信息泄露

移除HTTP响应头中的服务器版本、X-Powered-By等信息，防止攻击者获取系统细节。操作步骤：

• 禁用Send Server Header：导航至环境→服务器→AdminServer→协议→HTTP，取消勾选“发送服务器标头”
• 禁用X-Powered-By Header：导航至base_domain→web应用程序，将X-Powered-By标头设置为“不发送”

4. 配置SSL加密通信

启用SSL/TLS加密，保护数据传输安全（支持单向/双向SSL）。操作步骤：

• 生成密钥库：使用keytool工具生成JKS格式密钥库（如weblogic_identity.jks），包含服务器证书和私钥：
  keytool -genkey -v -alias weblogicsgepit -keyalg RSA -keysize 2048 -keypass changeit -dname "CN=localhost,OU=IT,O=Company,L=Beijing,ST=Beijing,C=CN" -validity 365 -keystore /home/weblogic/weblogic_identity.jks -storepass changeit
• 配置密钥库：登录管理控制台，导航至环境→服务器→AdminServer→配置→密钥库，选择“定制标识和定制信任”，指定密钥库路径（如/home/weblogic/weblogic.identity.jks）、类型（JKS）及密码
• 配置SSL端口：在SSL标签页，设置“私有密钥别名”（如weblogicsgepit）、“私有密钥密码”（与密钥库密码一致）
• 启用SSL监听：返回“一般信息”页面，勾选“启用SSL监听端口”，保存并激活更改
• HTTP自动跳转HTTPS：修改应用web.xml文件，添加安全约束：

  <security-constraint>
    <web-resource-collection>
      <web-resource-name>SSL</web-resource-name>
      <url-pattern>/*</url-pattern>
    </web-resource-collection>
    <user-data-constraint>
      <transport-guarantee>CONFIDENTIAL</transport-guarantee>
    </user-data-constraint>
  </security-constraint>
  

5. 强化用户认证与授权

通过密码策略、账号锁定等机制，提升用户账户安全性。操作步骤：

• 修改默认密码策略：导航至安全→Realms→myrealm→提供程序→口令验证→SystemPasswordValidator→提供程序特定，设置：
  • 最小密码长度（如8位）
  • 密码复杂度要求（包含大小写字母、数字、特殊字符）
  • 密码有效期（如90天）
• 配置账号锁定策略：在SystemPasswordValidator中，设置：
  • 允许失败尝试次数（如5次）
  • 锁定持续时间（如30分钟）
  • 启用“锁定账号”策略

6. 开启安全审计

记录用户操作日志（登录、权限变更等），便于事后追溯。操作步骤：

• 导航至安全→Realms→myrealm→提供程序→审计，点击“新建”创建审计提供程序（如DefaultAuditRecorder）
• 配置审计日志存储路径（默认位于域目录下的DefaultAuditRecorder.log）
• 保存并激活更改，审计日志将记录用户活动详情

7. 限制资源访问

通过连接过滤、目录列表限制，缩小攻击面。操作步骤：

• 配置连接过滤：导航至环境→服务器→AdminServer→配置→连接过滤器，添加IP过滤规则（如仅允许内网IP访问：192.168.1.*）
• 禁用目录列表：修改weblogic.properties文件（位于域目录下），添加weblogic.httpd.indexDirectories=false，防止未授权访问目录结构

8. 配置超时退出

设置会话超时，避免长时间未操作的会话被恶意利用。操作步骤：

• HTTP会话超时：导航至环境→服务器→AdminServer→配置→常规→超时，设置“会话超时”（如30分钟）
• 控制台会话超时：导航至安全→Realms→myrealm→用户锁定的阈值，设置控制台会话超时（如15分钟）

9. 更新补丁与监控

定期检查Oracle官方补丁库，安装最新安全补丁（如修复CVE-2018-2628等反序列化漏洞）；配置监控工具（如Prometheus+Granafa），实时监控WebLogic进程、内存、网络流量等指标，及时发现异常行为