Ubuntu中WebLogic的安全设置有哪些

Ubuntu环境下的WebLogic安全设置清单

一 系统与运行账户

• 以非 root用户运行 WebLogic：创建专用系统账号与组（如weblogic:weblogic），将域目录与安装目录属主设为该用户，使用**chown -R weblogic:weblogic <目录>与chmod -R 750 <目录>**收敛权限，并通过服务脚本或启动器以该账号启动，避免特权端口与提权风险。
• 最小权限与启动身份：仅授予运行所需的最小文件系统权限；管理密码变更后同步更新域目录下的boot.properties（位于域根目录），避免被管服务器因凭据不一致导致启动失败。
• 如采用 UNIX 安全域（PAM）集成，需将wlauth设置为setuid root并配置**/etc/pam.d/wlauth**；此方式仅在确有集成需求时使用，并需严格审计与最小化授权。

二 网络与监听加固

• 更改默认端口：将 HTTP 监听端口由7001改为非默认端口（如8001），将 SSL 监听端口由7002改为非默认端口，降低自动化扫描命中率。
• 启用并正确配置 SSL：在服务器配置中启用SSL 监听端口，配置密钥库/信任库（如 JKS），设置私有密钥别名与密码；建议开启SSL 拒绝日志记录与主机名验证（如选择BEA 主机名验证），并避免使用过时协议与弱加密套件。
• 禁用服务器标识泄露：在服务器协议的 HTTP 配置中取消勾选发送服务器标头（Server header），减少版本与服务器信息暴露。
• 访问入口收敛：建议重命名或限制默认控制台路径访问（如/console），仅在内网或跳板机开放管理入口，配合网络分段与访问控制策略。

三 身份与访问控制

• 认证与授权治理：清理内置示例账户与不再使用的账号，按“一人一账号”分配角色/组，避免共享账号；为关键操作建立审批与复核流程。
• 口令与账号策略：启用复杂度与定期更换策略，配置失败登录锁定（允许尝试次数、锁定持续时间）与会话超时（HTTP/HTTPS 与控制台分别设置），降低暴力破解与会话劫持风险。
• 集中式身份管理：对接LDAP/AD等外部目录，按“外部优先”排序认证提供者（如将AD置顶），必要时在目录侧设置搜索过滤器控制同步范围，提升可维护性与安全性。

四 日志审计与监控

• 启用访问与运维日志：在服务器“日志记录 → HTTP”中勾选启用 HTTP 访问日志文件；在“安全 → 领域 → 提供程序 → 审计”中启用AuditingProvider，审计关键安全事件（登录、授权、配置变更等），便于取证与合规。
• 日志保护：将日志目录纳入只读/只追加权限控制，集中采集到SIEM或日志平台，设置保留周期与完整性校验，防止篡改与删除。

五 连接与会话防护

• 连接与资源限制：在服务器“配置 → 优化”中设置最大打开套接字数（如不超过254或结合系统ulimit -n合理规划），缓解资源耗尽与DoS风险；为域边界与内部组件间通信配置连接过滤器（Connection Filters），仅放行必要协议与网段。
• 会话与超时：设置HTTP 登录超时（建议不大于5000毫秒）、SSL 登录超时（建议不大于10000毫秒）、控制台会话超时（建议不大于300秒），并启用空闲超时与并发会话限制，降低会话固定与劫持风险。