centos环境下weblogic安全设置怎么做

CentOS环境下WebLogic安全设置指南

一、CentOS系统级安全配置

1. 用户与组管理

• 创建专用WebLogic用户及组，避免以root运行：

  groupadd weblogic
  useradd -g weblogic weblogic
  passwd weblogic  # 设置强密码
  

• 强化口令策略：修改/etc/login.defs，设置最小口令长度（如PASS_MIN_LEN 10）、要求包含大小写字母/数字/特殊字符；使用chattr +i锁定/etc/passwd、/etc/shadow等口令文件，防止未授权修改。
• 禁用非必要超级用户：通过/etc/passwd排查UID=0的账户，锁定不必要的超级用户（如passwd -l <用户名>）；删除默认无用账户（如adm、lp、sync）。

2. 防火墙与SELinux

• 配置firewalld开放WebLogic端口（默认HTTP 7001、HTTPS 7002），仅允许可信IP访问：

  firewall-cmd --zone=public --add-port=7001/tcp --permanent
  firewall-cmd --zone=public --add-port=7002/tcp --permanent
  firewall-cmd --reload
  

• 启用SELinux（setenforce 1），通过semanage命令配置WebLogic进程的端口标签及文件访问权限，防止非法进程访问。

3. SSH安全加固

• 编辑/etc/ssh/sshd_config：禁用root登录（PermitRootLogin no）、启用公钥认证（PubkeyAuthentication yes）、修改默认SSH端口（如Port 2222）；重启SSH服务使配置生效。

二、WebLogic应用级安全配置

1. 安装与域配置

• 以weblogic用户静默安装WebLogic，避免使用root；创建域时设置强管理员密码（符合口令策略），禁用示例应用（避免暴露敏感路径）。
• 运行模式设置为生产模式（config.sh中选择“Production Mode”），关闭自动部署功能（防止恶意WAR包自动加载）。

2. 用户与权限管理

• 认证配置：优先使用LDAP Authentication Provider（如Oracle Internet Directory、Active Directory）集中管理用户，避免本地用户过多；若用本地认证，通过Password Validation Provider设置复杂口令规则（如至少1个大写字母、1个数字、1个特殊字符）。
• 权限控制：在“Security Realms”→“Roles and Policies”中，为用户/组分配最小必要权限（如Admin角色仅授予管理员，Monitor角色授予监控人员）；禁用默认Administrator账户（若不用），创建自定义管理员账户。

3. SSL/TLS加密配置

• 生成密钥库与证书：使用keytool生成JKS密钥库（含服务器私钥与证书），自签名证书仅用于测试，生产环境使用CA签发证书：

  keytool -genkey -alias weblogic -keyalg RSA -keystore keystore.jks -keysize 2048 -validity 365
  

• 配置SSL监听：通过WebLogic控制台→“环境”→“服务器”→“配置”→“SSL”，设置：
  • 身份库：选择生成的keystore.jks，输入密码；
  • 私钥别名：weblogic（与生成时一致）；
  • 启用SSL监听端口（默认7002）；
  • 高级设置：选择“JSSE SSL”，配置主机名验证（如“严格”模式，避免主机名欺骗）。
• 双向SSL（可选）：若需客户端认证，在“SSL”→“高级”中设置“客户机证书行为”为“请求并强制使用”，并上传信任的客户端证书到信任库（truststore.jks）。

4. 审计与日志

• 启用审计功能：在“Security Realms”→“Auditing”中，开启审计（如“认证”“授权”“配置变更”），设置日志级别为“详细”；日志路径默认在域目录的logs/audit.log，定期备份并分析日志（如使用grep查找异常登录）。
• 配置日志轮转：修改logging.properties文件，设置日志文件大小上限（如weblogic.log.maxFileSize=100MB）和保留天数（如weblogic.log.maxBackupIndex=30），避免日志文件过大占用磁盘空间。

5. 其他安全设置

• 修改默认端口：避免使用默认的7001（HTTP）、7002（HTTPS）端口，通过“环境”→“服务器”→“配置”→“一般信息”修改端口（如HTTP改为8081，HTTPS改为8082），减少端口扫描攻击。
• 禁用目录列表：在WebLogic控制台→“部署”→“Web应用”→选中应用→“配置”→“Web应用扩展”，取消勾选“索引目录”，防止未经授权访问目录结构。
• 限制打开套接字数：修改config.xml文件中的<socket-muxer>标签，设置max-sockets参数（如max-sockets="1000"），防止DDoS攻击耗尽系统资源。
• 以非root用户运行：确保WebLogic进程由weblogic用户启动（通过./startWebLogic.sh脚本），避免进程拥有过高权限。
• 禁用不必要的组件：在“环境”→“服务器”→“配置”→“常规信息”中，禁用“自动部署”“节点管理器”（若不用）等功能，减少攻击面。