WebLogic在Debian上的安全设置

Debian上WebLogic的安全设置清单

一 系统与基础加固

• 保持系统与软件包为最新：执行apt update && apt upgrade，及时修补漏洞。
• 配置防火墙：使用ufw或iptables仅放行必要端口（如管理端口7001及业务端口），示例：ufw allow from 10.0.0.0/8 to any port 7001,8001 proto tcp；生产环境建议仅内网访问管理口。
• 强化SSH：启用密钥登录、禁用root直登（PermitRootLogin no）、限制可登录用户（AllowUsers），并更改默认端口。
• 最小权限运行：创建weblogic系统用户与组，WebLogic进程以该用户启动，避免使用root。
• 关闭不必要服务与端口，减少攻击面。

二 WebLogic服务加固

• 运行模式：将域设置为生产模式，关闭自动部署。
• 更改默认端口：将7001改为非默认端口（如8001），降低被扫描命中概率。
• 禁用信息泄露：在控制台取消勾选发送服务器标头（Server header）。
• 启用访问与审计日志：开启HTTP访问日志；在安全领域 → 提供者 → 审计器启用审计，审计日志默认位于域目录的DefaultAuditRecorder.log。
• 登录安全：配置密码复杂度（如最小长度8、字符类别要求）与账户锁定（如连续失败10次锁定5分钟）。
• 连接与资源控制：启用SSL监听并修改默认7002端口；在服务器优化中设置最大打开套接字数（如不超过1024）；配置连接过滤器（Connection Filters）限制来源；设置登录超时与会话超时。
• 目录浏览：在应用的weblogic.xml中关闭索引目录（index-directory-enabled false）。

三 传输加密与认证

• 启用SSL/TLS：在服务器配置中勾选启用SSL监听端口，并配置合适的协议与套件（优先TLS 1.2+）。
• 主机名校验：在SSL高级选项中启用主机名验证（如选择BEA主机名验证），防止中间人。
• 拒绝握手日志：启用SSL拒绝日志记录，便于排查握手失败与攻击尝试。
• 管理通道加密：对管理控制台与管理客户端强制使用HTTPS访问。
• 外部身份源：在安全领域集成LDAP/OAuth等外部认证与授权，统一账号与权限治理。

四 网络与访问控制

• 边界与微分段：通过ufw/iptables或云安全组仅允许受控网段访问管理口与业务口；将管理口置于隔离网络/VPC/VLAN。
• 双层过滤：在主机防火墙限制端口可达性的同时，使用WebLogicConnection Filters对域间通信进行细粒度控制（白名单优先）。
• 负载均衡与安全：对外服务前置HTTP(S)负载均衡，对外仅暴露必要端口与域名，后端管理口不对外。

五 监控 备份与变更管理

• 监控与告警：启用WebLogic Server Administration Console/JMX监控，结合Nagios/Zabbix对CPU、内存、线程、连接数、JVM等进行阈值告警。
• 日志集中：统一采集HTTP访问日志、服务器日志、审计日志，集中存储与长期保留，定期审计异常登录与访问。
• 备份恢复：定期备份域目录、应用、数据库与密钥材料，验证恢复演练与恢复时间目标（RTO）/恢复点目标（RPO）。
• 变更与补丁：遵循变更流程，定期应用WebLogic安全补丁与Debian安全更新，变更前在测试环境验证。