Debian上WebLogic安全策略制定指南

一、系统级安全基础

1. 系统更新与补丁管理

保持Debian系统及所有软件包最新，定期运行sudo apt update && sudo apt upgrade命令，及时修补操作系统及依赖组件的安全漏洞，减少被攻击的风险。

2. 用户权限与SSH安全

• 最小化权限原则：避免使用root用户直接管理WebLogic，创建普通用户（如weblogic_admin）并加入sudo组（sudo usermod -aG sudo weblogic_admin），通过sudo执行特权命令。
• SSH加固：
  • 禁用root远程登录：修改/etc/ssh/sshd_config文件，设置PermitRootLogin no。
  • 使用SSH密钥认证：在本地生成密钥对（ssh-keygen -t rsa），将公钥复制到服务器~/.ssh/authorized_keys文件中，禁用密码登录（PasswordAuthentication no）。
  • 更改默认端口：修改sshd_config中的Port参数（如Port 2222），减少暴力破解尝试。

3. 防火墙配置

使用ufw（Uncomplicated Firewall）限制入站流量，仅开放必要端口：

sudo ufw allow 22/tcp    # SSH（若更改了端口，需替换为实际端口）
sudo ufw allow 7001/tcp  # WebLogic默认管理端口
sudo ufw enable          # 启用防火墙

若需更严格的控制，可使用iptables设置基于IP的白名单，仅允许信任的IP地址访问管理端口。

二、WebLogic自身安全配置

1. 安装与组件最小化

• 最小化安装：仅安装WebLogic Server核心组件，移除不必要的示例应用程序（如examples域）和文档，减少攻击面。
• 更新WebLogic：定期检查Oracle官方安全公告，下载并安装WebLogic最新补丁，修复已知漏洞。

2. 安全领域与访问控制

• 配置安全领域：通过WebLogic管理控制台进入“安全领域”设置，选择myrealm（默认领域），配置身份验证提供者（如LDAP、Active Directory或内置用户/组），实现集中用户管理。
• 授权策略：为用户或组分配角色（如Admin、Deployer、Monitor），通过“授权”页面设置细粒度的资源访问权限（如限制用户仅能访问特定应用程序或服务器）。

3. 禁用不必要服务

通过管理控制台进入“服务器→配置→一般”页面，禁用以下服务：

• JMX：若无需远程监控，关闭JMX服务以减少远程攻击入口。
• Telnet/FTP：禁用Telnet（明文传输）和FTP服务，使用SSH替代文件传输。

4. Java安全策略配置

编辑WebLogic默认安全策略文件$WL_HOME/wlserver/server/lib/weblogic.policy（WL_HOME为WebLogic安装目录），添加必要的权限：

// 允许读取所有属性
permission java.util.PropertyPermission "*", "read";
// 允许运行时操作（如反射）
permission java.lang.RuntimePermission "*";
// 允许读写所有文件（根据实际需求调整路径）
permission java.io.FilePermission "<<ALL FILES>>", "read,write";
// 允许MBean操作
permission javax.management.MBeanPermission "*", "*";

若启用了Java Security Manager（通过-Djava.security.manager参数），需确保策略文件包含所有必需的权限，避免应用启动失败。

5. SSL/TLS加密

• 生成或导入证书：使用keytool生成自签名证书（仅测试环境使用）或从CA机构获取正式证书，导入到WebLogic的密钥库（keystore）和信任库（truststore）中。
• 配置SSL端口：在管理控制台“配置→监听端口”中，启用SSL端口（如7002），选择已配置的密钥库，并设置协议（如TLSv1.2）。
• 强制HTTPS：通过管理控制台“配置→安全→SSL”设置，启用“客户端证书强制验证”（双向SSL），确保管理控制台和应用程序通信加密。

三、应用与数据安全

1. Web应用安全约束

为敏感Web应用配置web.xml安全约束，限制访问权限：

<security-constraint>
    <web-resource-collection>
        <web-resource-name>SecureArea</web-resource-name>
        <url-pattern>/admin/*</url-pattern>
    </web-resource-collection>
    <auth-constraint>
        <role-name>Admin</role-name>
    </auth-constraint>
</security-constraint>
<login-config>
    <auth-method>BASIC</auth-method>
    <realm-name>myrealm</realm-name>
</login-config>
<security-role>
    <role-name>Admin</role-name>
</security-role>

此配置要求访问/admin/*路径的用户必须属于Admin角色。

2. 敏感数据保护

• 加密配置文件：对config.xml、boot.properties等包含敏感信息的配置文件进行加密，使用WebLogic的config encrypt命令或第三方工具（如Ansible Vault）。
• 数据库密码管理：将数据库密码存储在WebLogic的密钥库中，而非明文配置在datasource定义中。

四、监控与维护

1. 日志记录与审计

• 启用详细日志：在管理控制台“配置→日志→服务器日志”中，设置日志级别为Notice或Warning，记录登录尝试、权限变更等关键事件。
• 定期审查日志：使用grep、awk等工具分析日志文件（如/u01/domains/mydomain/servers/AdminServer/logs/AdminServer.log），查找异常行为（如频繁的登录失败、未授权访问）。

2. 备份与恢复

• 定期备份配置：使用tar命令备份WebLogic域目录（如/u01/domains/mydomain），存储到异地或云存储中：

  tar -czvf mydomain_backup_$(date +%F).tar.gz /u01/domains/mydomain
  

• 灾难恢复计划：制定详细的恢复步骤，包括数据库恢复、WebLogic配置恢复、应用程序重新部署，定期进行演练。

五、网络隔离与环境分离

• VLAN/VPC隔离：将WebLogic服务器部署在独立的VLAN或VPC中，通过网络访问控制列表（NACL）限制仅允许管理服务器、负载均衡器等必要组件访问WebLogic端口。
• 生产与测试环境分离：使用不同的物理机或虚拟机部署生产、测试环境，避免测试环境的漏洞影响生产系统。