Ubuntu WebLogic安全设置怎样做

Ubuntu环境下WebLogic安全设置指南

1. 以非root用户运行WebLogic

避免使用root用户启动WebLogic，降低系统权限滥用风险。

• 创建专用用户与组：以root身份执行groupadd weblogic创建用户组，useradd -g weblogic -d /home/weblogic weblogic创建用户并设置家目录，passwd weblogic设置密码。
• 修改安装目录权限：将WebLogic安装目录（如/opt/weblogic）及域目录（如/opt/weblogic/user_projects/domains/base_domain）的所有者设为weblogic:weblogic（chown -R weblogic:weblogic /opt/weblogic）。
• 启动服务：切换至weblogic用户，通过./startWebLogic.sh启动服务。

2. 更改默认端口

避免使用默认端口（HTTP 7001、HTTPS 7002），减少端口扫描攻击概率。

• 通过控制台修改：登录WebLogic管理控制台（http://<IP>:7001/console），导航至“环境→服务器→AdminServer→一般信息”，勾选“启用监听端口”，将HTTP端口修改为非7001的值（如8001），HTTPS端口修改为非7002的值（如8002），保存并激活更改。
• 通过配置文件修改：编辑config/config.xml，找到<ListenPort>标签，修改端口号并保存。

3. 配置SSL加密传输

通过HTTPS加密数据传输，防止窃听或篡改。

• 生成密钥库：使用keytool工具生成JKS格式密钥库，命令示例：keytool -genkey -alias weblogic_key -keyalg RSA -keysize 2048 -keystore /opt/weblogic/identity.jks -storepass changeit -keypass changeit -dname "CN=<服务器IP>,OU=IT,O=Company,L=Beijing,ST=Beijing,C=CN"（有效期365天）。
• 配置密钥库：登录控制台，导航至“环境→服务器→AdminServer→配置→密钥库”，选择“Custom Identity and Custom Trust”，指定密钥库路径（/opt/weblogic/identity.jks）、类型（JKS）及密码（changeit）。
• 启用SSL监听：在“环境→服务器→AdminServer→配置→一般信息”中，勾选“启用SSL监听端口”，设置SSL端口（如8002），选择密钥库中的别名（weblogic_key）。
• 强制HTTP跳转HTTPS：编辑域目录下consoleapp/webapp/WEB-INF/web.xml，添加以下配置实现HTTP自动跳转：

  <security-constraint>
      <web-resource-collection>
          <web-resource-name>SSL Pages</web-resource-name>
          <url-pattern>/*</url-pattern>
      </web-resource-collection>
      <user-data-constraint>
          <transport-guarantee>CONFIDENTIAL</transport-guarantee>
      </user-data-constraint>
  </security-constraint>
  ```。
  
  
  

4. 强化用户与权限管理

避免弱口令及未授权访问。

• 修改默认管理员密码：通过控制台“安全→域→base_domain→用户”修改weblogic用户密码（要求包含大小写字母、数字及特殊字符，长度≥8位）。
• 配置账号锁定策略：导航至“安全→域→base_domain→提供程序→口令验证→SystemPasswordValidator”，设置“失败尝试次数”（如5次）、“锁定持续时间”（如30分钟），启用“锁定账号策略”。
• 删除默认用户：若无需默认用户（如monitor、operator），可通过控制台“安全→域→base_domain→用户”删除，减少攻击面。

5. 关闭敏感信息泄露

隐藏服务器及框架信息，降低针对性攻击风险。

• 禁用Send Server Header：导航至“环境→服务器→AdminServer→协议→HTTP”，取消勾选“发送服务器标头”，防止泄露WebLogic版本信息。
• 禁用X-Powered-By Header：编辑域目录下consoleapp/webapp/WEB-INF/web.xml，添加<init-param><param-name>xpoweredBy</param-name><param-value>false</param-value></init-param>，隐藏Java框架信息。

6. 限制资源滥用

防止拒绝服务（DoS）攻击。

• 限制最大打开套接字数：导航至“环境→服务器→AdminServer→配置→优化”，将“最大打开套接字数”修改为合理值（如254，默认无限制），避免系统资源耗尽。
• 配置连接过滤：导航至“环境→服务器→AdminServer→配置→连接过滤器”，添加过滤规则（如仅允许特定IP段访问），限制非法IP连接。

7. 开启安全审计与日志

记录用户操作及系统事件，便于溯源。

• 开启HTTP访问日志：导航至“环境→服务器→AdminServer→日志记录→HTTP”，勾选“启用HTTP访问日志文件”，日志将保存在logs/access.log，记录用户请求的URL、IP、时间等信息。
• 开启安全审计：导航至“安全→域→base_domain→提供程序→Auditors”，添加“AuditingProvider”，配置日志路径（默认logs/DefaultAuditRecorder.log），记录用户登录、权限变更等安全事件。

8. 更新补丁与漏洞修复

及时修复已知漏洞，提升系统安全性。

• 注册安全通知：访问Oracle BEA Advisories & Notifications（http://dev2dev.bea.com/advisories）注册账号，接收WebLogic安全补丁更新提醒。
• 下载并安装补丁：从Oracle官网下载最新Service Pack（如WebLogic 12.2.1.4.0），按照官方文档安装，修复已知漏洞（如CVE-2018-2628反序列化漏洞）。
• 临时漏洞缓解：针对未修复的漏洞，可通过控制台限制T3/IIOP协议访问（仅允许可信IP连接），或删除高风险组件（如wls-wsat.war）。

9. 配置防火墙限制访问

通过防火墙限制外部对WebLogic的访问，减少暴露面。

• 开放必要端口：使用firewall-cmd命令开放WebLogic端口（如HTTP 8001、HTTPS 8002），命令示例：firewall-cmd --zone=public --add-port=8001/tcp --permanent、firewall-cmd --zone=public --add-port=8002/tcp --permanent，然后重启防火墙（firewall-cmd --reload）。
• 限制访问IP：通过防火墙规则限制仅允许可信IP访问WebLogic端口（如firewall-cmd --zone=public --add-rich-rule='rule family="ipv4" source address="192.168.1.0/24" port port="8001" protocol="tcp" accept'）。