WebLogic在Ubuntu上的安全设置如何操作

1. 以非root用户运行WebLogic
创建专用的WebLogic系统用户及组，避免以root身份运行服务，降低权限滥用风险。具体操作：

• 创建WebLogic组：groupadd weblogic
• 创建WebLogic用户并加入组：useradd -g weblogic weblogic
• 设置用户密码：passwd weblogic
• 更改WebLogic安装目录及域目录的所有者为该用户：chown -R weblogic:weblogic /usr/wubin/weblogic（安装目录）、chown -R weblogic:weblogic /usr/wubin/weblogic/Oracle/Middleware/user_projects/domains/base_domain（域目录）
• 启动服务时，切换至weblogic用户：su - weblogic，再执行./startWebLogic.sh。

2. 更改默认端口
修改WebLogic的HTTP/HTTPS及SSL默认端口，避免攻击者通过默认端口快速定位目标。操作路径：

• 登录WebLogic控制台（http://服务器IP:7001/console）→ 环境→服务器→选择AdminServer→配置→一般信息：
  • 勾选“启用监听端口”，将HTTP默认端口7001修改为其他值（如8001）；
  • 勾选“启用SSL监听端口”，将SSL默认端口7002修改为其他值（如8002）；
• 保存并激活更改。

3. 配置账号管理与权限
强化账号安全，防止未经授权的访问。

• 设置密码复杂度：登录控制台→安全→域→base_domain→用户→选择admin用户→设置密码，要求密码长度≥8位，包含英文、数字和特殊字符，避免使用弱密码。
• 配置账号锁定策略：登录控制台→安全→域→base_domain→配置→账号锁定：
  • 设置“允许失败登录次数”为5次（含5次）；
  • 设置“锁定持续时间”为30分钟（≥30分钟）；
  • 启用“锁定账号”策略。

4. 启用SSL加密传输
通过SSL加密保护数据传输安全，防止中间人攻击。操作路径：

• 登录控制台→环境→服务器→选择AdminServer→配置→SSL：
  • 勾选“启用SSL监听端口”；
  • 点击“高级”→启用“SSL拒绝日志记录”，记录拒绝的SSL连接尝试；
  • 在“主机名验证”下拉菜单中选择“BEA主机名验证”（或自定义主机名验证器）；
• 保存并激活更改。

5. 配置日志与审计功能
记录用户活动及系统事件，便于安全追溯。

• 开启HTTP访问日志：登录控制台→环境→服务器→选择AdminServer→日志记录→HTTP→勾选“启用HTTP访问日志文件”，设置日志文件路径（默认在域目录的logs文件夹下）及格式。
• 启用审计管理：登录控制台→安全→域→base_domain→配置→审计→选择“Audit Provider”（如File Audit Provider）→启用审计，设置审计日志路径（默认在域目录的logs文件夹下）。
• 设置日志文件权限：通过Linux命令修改日志文件权限，确保仅管理员可读写：chmod 600 /usr/wubin/weblogic/Oracle/Middleware/user_projects/domains/base_domain/logs/*.log。

6. 关闭不必要的服务与功能
减少攻击面，提升系统安全性。

• 禁用自动部署：生产模式下自动部署功能易被利用，操作路径：登录控制台→域→base_domain→配置→常规→勾选“生产模式”，保存并激活更改。
• 移除默认应用：删除WebLogic自带的示例应用（如examples、console），避免暴露敏感信息。
• 限制错误页面信息：修改web.xml文件（位于/usr/wubin/weblogic/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/com.bea.console/1.0.0.0.0/config/），添加自定义错误页面，隐藏服务器内部信息。

7. 配置防火墙与连接过滤
通过防火墙限制访问来源，防止非法IP连接。

• 使用Ubuntu防火墙（ufw）：允许WebLogic端口（如8001、8002），拒绝其他端口：

  sudo ufw allow 8001/tcp
  sudo ufw allow 8002/tcp
  sudo ufw enable
  

• 配置WebLogic连接过滤器：登录控制台→环境→服务器→选择AdminServer→配置→安全→连接过滤器：
  • 添加过滤器（如weblogic.security.net.ConnectionFilterImpl）；
  • 设置过滤规则（如仅允许特定IP段访问：192.168.1.0/24）；
  • 保存并激活更改。

8. 定期更新与补丁管理
及时应用WebLogic及JDK的安全补丁，修复已知漏洞。

• 检查Oracle官方安全公告，下载并安装WebLogic最新补丁；
• 升级JDK至安全版本（如JDK 1.8u381及以上），确保兼容性。