centos上weblogic权限如何设置

CentOS 上 WebLogic 权限设置

一 系统层安全基线

• 创建专用系统账号与组，WebLogic 进程以非 root 运行：
  • 命令：groupadd weblogic、useradd -g weblogic weblogic、passwd weblogic
• 目录与文件所有权最小化：
  • 将安装目录与域目录归属 weblogic：chown -R weblogic:weblogic /opt/weblogic /home/weblogic
  • 目录权限建议：chmod 755 /opt/weblogic /home/weblogic；日志与数据目录可按需设为 750
  • 严禁使用 chmod 777
• 运行模式与端口：
  • 将域设置为生产模式（关闭自动部署、示例应用）
  • 更改默认 HTTP 7001 端口为非标准端口，降低暴露面
• 防火墙仅放通必要端口（示例为 7001）：
  • 命令：firewall-cmd --zone=public --add-port=7001/tcp --permanent && firewall-cmd --reload
• 禁用不必要的 root 登录与弱口令：
  • 检查 UID 为 0 的账户：awk -F ':' '{print $1,$3}' /etc/passwd | grep ' 0$'
  • 锁定不必要账户：passwd -l <用户名>
  • 设置口令复杂度与最小长度（如 PASS_MIN_LEN 10）

二 WebLogic 内部用户 角色与策略

• 控制台与 WLST 管理要点：
  • 使用 Administration Console 或 WLST 创建用户、组与角色，仅授予必要权限
  • 示例 WLST（连接后）：createUser('appuser','StrongPass!','AppGroup')、assignUser('appuser','AppGroup')
• 安全基线配置：
  • 修改默认管理员用户名与口令，设置最小口令长度与账户锁定策略
  • 在 Security Realms 中启用审计，记录登录与关键操作
  • 限制目录列表与信息泄露：禁用目录浏览，禁止返回服务器名称与版本号
  • 如启用 Node Manager，关闭不必要的自动启动与默认行为

三 启动与运维权限控制

• 以 weblogic 用户启动，避免 root 直接启动：
  • 建议通过服务脚本或受控的 systemd 单元启动域，执行用户设为 weblogic
• 安全凭证管理：
  • 首次启动前在域目录下创建 security/boot.properties，写入 username= 与 password=，避免在命令行明文传参
  • 切勿使用 -Dweblogic.management.username/password 明文参数
• 日志与审计：
  • 定期检查域日志与服务器日志（如 server_name.out、access 日志），关注认证失败与权限异常

四 快速检查清单

五 最小化示例命令集

• 系统账号与目录
  • groupadd weblogic
  • useradd -g weblogic weblogic && passwd weblogic
  • chown -R weblogic:weblogic /opt/weblogic /home/weblogic
  • chmod 755 /opt/weblogic /home/weblogic
• 防火墙
  • firewall-cmd --zone=public --add-port=7001/tcp --permanent && firewall-cmd --reload
• WLST 用户与组
  • connect('weblogic','****','t3://localhost:7001')
  • createUser('appuser','StrongPass!','AppGroup')
  • assignUser('appuser','AppGroup')
• 启动
  • su - weblogic -c '/opt/weblogic/Oracle/Middleware/user_projects/domains/base_domain/bin/startWebLogic.sh'

以上步骤覆盖了 系统层账号与权限、WebLogic 内部认证授权与审计、启动与运维凭证 三个层面，可在 CentOS 上形成闭环的权限与安全配置。