Linux上WebLogic的安全配置指南

Linux上 WebLogic 安全配置指南

一 基线与运行环境加固

• 以非 root用户运行 WebLogic：创建专用用户与组（如weblogic:weblogic），将安装与域目录属主设为该用户，使用最小权限启动；检查进程身份：ps -ef | grep -i weblogic。
• 运行模式设为生产模式，关闭自动部署，降低被植入风险。
• 删除或禁用示例应用与示例域，避免默认弱口令与不安全配置被利用。
• 更改默认管理端口：将 HTTP 7001、HTTPS 7002 改为非标准端口（如 8001/8443），减少自动化扫描命中。
• 目录与文件权限：域目录与安装目录建议 750，仅属主可写；脚本与启动文件可执行权限最小化。
• 系统层面：最小化安装、禁用不必要的系统账户与服务、开启防火墙并仅放行必要端口、为 SSH 禁用 root 登录并启用密钥认证。

二 传输加密与访问控制

• 启用 SSL/TLS：在控制台为服务器启用 SSL 监听端口，修改默认端口为非 7002；配置 SSL 拒绝日志记录 以便审计握手失败与非法主机。
• 主机名校验：在 SSL 高级选项中设置主机名验证（如 BEA 主机名验证），并清空“定制主机名验证器”，防止绕过。
• 仅开放必要协议与端口：优先使用 HTTPS 访问控制台与应用；在 firewalld/iptables 中仅放行 HTTP/HTTPS/SSH 等必要端口。
• 禁用信息泄露：在服务器 HTTP 协议设置中取消勾选发送服务器标头，降低指纹暴露。

三 身份鉴别与账号策略

• 强口令策略：在 Security Realms > DefaultAuthenticator 中设置最小口令长度 ≥ 8，并启用复杂度要求（数字/大小写/特殊字符至少两类）。
• 账号锁定：启用用户封锁，将封锁阈值 ≤ 6 次、封锁持续时间 ≥ 30 分钟，并设置封锁重置持续时间（如 6 分钟），抵御暴力破解。
• 管理控制台会话：将控制台会话超时 ≤ 300 秒，并设置 HTTP/HTTPS 登录超时（如 HTTP ≤ 5000 ms、SSL ≤ 10000 ms），降低会话劫持与占用风险。
• 精细化权限：避免共享管理员账号，按职责创建多管理员用户并分配不同角色；删除默认或不再使用的账号。

四 日志审计与监控

• 启用 HTTP 访问日志，记录账号、时间、来源 IP、成功/失败等关键要素，便于溯源与合规审计。
• 在 Security Realms 中启用审计功能，记录认证、授权等关键事件，集中到审计仓库进行分析。
• 建立日志轮转与集中采集（如 rsyslog/ELK），设置保留周期与告警规则（多次登录失败、异常来源 IP、控制台会话异常等）。

五 进阶防护与运维建议

• 连接与资源限制：在服务器优化中设置最大打开套接字数（如 254 或按容量评估），缓解 DoS 与资源耗尽风险。
• 错误页面与目录浏览：为控制台与关键应用配置自定义错误页面，避免泄露堆栈与路径信息；禁用目录列表。
• 组件最小化：如不使用 Node Manager，应禁用其默认行为（如自动启动），减少攻击面。
• 运行监控与补丁：定期更新 WebLogic 与 JDK，监控线程、连接、内存与失败登录趋势，及时处置异常。
• 自动化与合规：使用 WLST 脚本批量配置用户、角色、策略与 SSL，形成可审计、可回滚的变更闭环。