Linux WebLogic如何安全配置

Linux 上 WebLogic 安全配置清单

一 系统与账户安全

• 创建专用运行账户与组，禁止使用 root 启动 WebLogic：执行 groupadd weblogic、useradd -g weblogic weblogic，设置强口令；服务与脚本以该用户运行，文件属主收紧。
• 清理与加固系统账户：排查 UID=0 的账户，锁定不必要的超级账户（如 passwd -l <user>），删除或禁用默认无用账户（如 adm、lp、sync 等）。
• 强化口令策略与口令文件保护：设置复杂度与长度（如长度≥10 位、包含大小写字母/数字/特殊字符），在 /etc/login.defs 中配置 PASS_MIN_LEN；对 /etc/passwd、/etc/shadow、/etc/group、/etc/gshadow 设置不可更改属性（chattr +i）以防被篡改。
• 会话与登录安全：为 root 设置自动注销（TMOUT）、限制 su 使用（编辑 /etc/pam.d/su 仅允许特定组）、禁用 Ctrl+Alt+Del 重启、隐藏登录横幅（编辑 /etc/issue 等）、限制 NFS 访问、设置开机服务脚本权限、配置资源限制以防 DoS。
• 防火墙与端口：安装阶段可临时关闭防火墙，完成后务必重新启用并按需放行端口（如 HTTP/HTTPS/管理端口），最小化暴露面。

二 WebLogic 服务加固

• 运行模式与部署：将域设置为生产模式（关闭自动部署），仅部署必要应用，移除示例应用与演示内容。
• 监听与会话：更改默认端口（HTTP 默认 7001、SSL 默认 7002 建议改为非标准端口）；启用 HTTPS/SSL 监听，修改默认 SSL 端口；配置 SSL 拒绝日志 与 主机名验证；设置 HTTP/HTTPS 登录超时 与 控制台会话超时（如控制台会话不超过 300 秒）。
• 账户与口令：修改默认管理员用户名；在安全域中配置最小口令长度≥8，启用账户锁定策略（如连续失败≤6 次锁定、锁定持续≥30 分钟、重置周期约 6 分钟）。
• 信息泄露防护：在控制台取消勾选“发送服务器标头”，减少服务器与版本信息暴露。
• 资源与稳定性：限制服务器最大打开套接字数，降低 DoS 风险。

三 加密通信与证书管理

• 生成密钥与证书：使用 keytool 生成 JKS 密钥库与自签名证书（示例：keytool -genkey -alias myweblogic -keyalg RSA -keystore mykeystore.jks -keysize 2048），妥善保存密钥库口令与别名。
• 启用与优化 SSL：在 WebLogic 控制台为服务器启用 SSL 监听，配置 SSL 端口、主机名验证 与 拒绝日志；对外管理/业务统一走 HTTPS，仅在内网可信网段保留 HTTP 且限制来源。
• 协议与套件：优先启用 TLS 1.2+，禁用 SSLv3/TLS1.0/TLS1.1 与弱加密套件（具体在服务器/SSL 配置中按组织密码策略落实）。

四 日志审计与监控

• 访问与应用日志：启用 HTTP 访问日志，记录账号、时间、来源 IP、成功/失败状态；在域与服务器层面配置日志轮转与保留策略，集中采集到 SIEM 进行关联分析。
• 安全审计：在安全域启用审计提供程序，记录关键安全事件（登录、权限变更、配置变更等），满足合规与取证需要。
• 变更与合规：通过 WLST 脚本化创建用户/组、角色与策略，形成可审计、可回滚的变更记录；定期审查日志与审计记录，及时处置异常。

五 维护与运行安全

• 补丁与组件：保持 WebLogic 与 JDK 为受支持版本，及时应用安全补丁；移除未使用的 JDBC 驱动、样例应用、管理工具 与示例域。
• Node Manager：如不使用 Node Manager，禁用其自动启动与远程控制能力；若启用，仅限本地受控使用并加固通信与口令。
• 文件与权限：域目录、密钥库、启动脚本等关键文件属主设为 weblogic:weblogic，权限最小化（如仅属主读写执行，必要时组读/执行）。
• 备份与演练：定期备份 域目录与密钥库，在测试环境验证补丁与加固步骤，变更窗口内回滚方案就绪。