centos中weblogic的权限设置指南

CentOS 中 WebLogic 权限设置指南

一操作系统层权限

创建专用系统账号与组，避免使用 root 运行：执行命令 groupadd weblogic、useradd -g weblogic weblogic、passwd weblogic；将 WebLogic 安装目录（如 /opt/weblogic 或 /home/weblogic）的所有权设置为 weblogic:weblogic，常用权限为目录 755、文件 644，严禁使用 777。示例：chown -R weblogic:weblogic /opt/weblogic；chmod -R 755 /opt/weblogic；find /opt/weblogic -type f -exec chmod 644 {} ;。
以非 root 身份部署与启停：su - weblogic 后再执行安装、域创建与启动脚本，降低提权风险。
配置 sudo 精细化授权（可选）：如需允许特定运维账号执行启停脚本，可编辑 /etc/sudoers（visudo），仅授予必要命令，如：webadmin ALL=(weblogic) NOPASSWD: /opt/weblogic/oracle/middleware/wlserver/common/bin/startWebLogic.sh, /opt/weblogic/oracle/middleware/wlserver/common/bin/stopWebLogic.sh。
防火墙仅开放必要端口：启用 firewalld 并放行管理端口（默认 7001/TCP）或 HTTPS（如 7002/TCP），示例：firewall-cmd --zone=public --add-port=7001/tcp --permanent；firewall-cmd --reload。
强化系统口令与登录安全：设置复杂口令策略（如长度≥10），检查空口令账户（awk -F “:” ‘($2==“”) {print $1}’ /etc/shadow），禁用不必要的 root 登录与弱认证方式（如 PermitRootLogin no、禁用口令登录仅保留公钥）。

二 WebLogic 内部权限模型

域安全领域与内置组：在控制台或 WLST 中管理 Security Realms，使用内置组（如 Administrators）进行授权；仅属于 Administrators 或 Integration Administrators 的用户可变更用户、组与角色。
用户与角色的最小权限分配：遵循“最小权限原则”，为应用运维、监控、开发分别创建用户/组并绑定到受限角色；避免使用默认账户名与弱口令。
启动与凭据安全：禁止在命令行明文传递管理员凭据（如 -Dweblogic.management.username/password）；使用 boot.properties 存放加密凭据，或采用更高级的凭据存储与启动脚本保护机制。
生产模式与自动部署：将域运行模式设为 生产模式，关闭自动部署，减少被非授权上传与部署的风险。

三自动化配置示例 WLST

四传输加密与审计日志

启用 SSL/TLS：使用 keytool 生成密钥库（keytool -genkey -alias myweblogic -keyalg RSA -keystore mykeystore.jks -keysize 2048），在 WebLogic 中配置 Keystore、SSL 监听与协议/套件，强制管理端与业务端走 HTTPS。
审计与日志：在 Security Realms 中启用审计，记录登录与关键操作；统一收集与分析 server_name.out、access.log 等日志，设置合适的保留周期与告警策略。

五维护与验证清单

权限巡检：定期核查关键目录属主与权限（应为 weblogic:weblogic，目录 755/文件 644），复查 sudoers 授权范围，确保无 777 与越权访问。
补丁与更新：保持 WebLogic 与 JDK 为受支持版本并及时应用安全补丁；同步更新操作系统与安全组件。
网络与端口复核：确认 firewalld 仅开放必要端口（如 7001/7002），限制来源网段，禁用未使用的协议与服务。
登录与口令合规：持续执行空口令检查、口令复杂度与轮换策略，监控失败登录与异常行为。
变更回退预案：对安全配置（如 SSL、角色、启动方式）保留回退方案与演练记录，变更后做功能与权限回归验证。

最新问答