如何提升Linux WebLogic安全性

Linux WebLogic 安全性提升清单

一 系统与账户安全

• 创建专用的weblogic系统用户与用户组，使用最小权限运行：创建组与用户（如 groupadd weblogic、useradd -g weblogic weblogic），将 WebLogic 安装与域目录属主设为 weblogic，权限建议 750；启动脚本或服务单元改为以 weblogic 身份运行，禁止以 root 启动。
• 强化 root 与系统账户安全：锁定不必要的超级账户（passwd -l）、删除无用默认账户（如 adm、lp、sync）、设置 root 自动注销 TMOUT、限制 su 使用范围、禁用 Ctrl+Alt+Delete 重启、避免登录横幅暴露系统信息。
• 保护关键口令文件：对 /etc/passwd、/etc/shadow、/etc/group、/etc/gshadow 设置不可更改属性（chattr +i），防止被非授权修改。
• 运行环境最小化：关闭非必需服务与端口，减少攻击面。

二 网络与监听加固

• 使用 firewalld/iptables 实施最小端口开放策略，仅放行业务与管理所需端口；定期核查监听端口（如 netstat -antupl），关闭高危或冗余端口。
• 更改 WebLogic 默认端口（7001） 为非常用端口，降低自动化扫描命中率。
• 启用 SSL/TLS 并配置主机名认证、拒绝日志等，优先采用 HTTPS 访问管理端与业务端。
• 限制并发连接与资源：配置 最大打开套接字数，设置合理的 连接数及超时时间，缓解资源耗尽与 DoS 风险。

三 WebLogic 自身安全配置

• 运行模式与部署：将域设置为生产模式，关闭自动部署，避免示例应用与临时文件被滥用。
• 管理入口收敛：
  • 方案 A：在域目录 config/config.xml 的 下设置 false 禁用控制台；
  • 方案 B：保留控制台时，进行重命名路径、限制来源 IP、启用强认证与会话超时。
• 用户与权限：删除默认/共享账号，按最小权限分配角色与策略，启用账户锁定策略（失败次数、锁定时长）。
• 日志与审计：开启登录与关键操作日志记录，在 Security Realms 启用审计，便于合规与溯源。
• 信息泄露防护：禁用响应中的服务器名称与版本号；关闭目录列表访问。

四 漏洞与补丁管理

• 及时更新 Linux 系统与 WebLogic 补丁，优先修复官方安全通告中的高危项；建立变更与回退预案。
• 已知风险组件处置：
  • 针对历史 Java 反序列化 漏洞，升级相关依赖或安装官方补丁；
  • 对 wls-wsat.war 等历史高危组件按官方建议删除或禁用；
  • 对 UDDI 相关组件（uddi.war/uddiexplorer.war）按环境评估删除或限制访问。
• 补丁实施要点：变更窗口内停机、域进程全停、备份 域目录与数据库、校验补丁包签名/哈希、在测试环境验证后再上线。
• 运行期防护：部署 RASP（运行时应用自我保护）或 WAF，联动阻断反序列化、命令执行等攻击。

五 监控 审计与验证

• 持续监控与扫描：部署 IDS/IPS（如 Snort、Suricata）识别异常流量；定期使用 OpenVAS、Nessus 进行漏洞扫描与配置基线核查。
• 日志集中与告警：将 WebLogic 日志与系统日志接入集中平台，配置关键事件（登录失败、权限变更、配置修改）告警。
• 定期自检：核查运行用户是否为 非 root、端口是否收敛、控制台是否收敛、SSL 是否启用、补丁是否最新、示例应用与临时组件是否已清理。