Ubuntu上WebLogic安全设置指南

1. 以非root用户运行WebLogic

WebLogic进程应使用非超级用户（如weblogic）运行，避免root权限带来的安全风险。

• 创建专用用户与组：执行groupadd weblogic创建组，useradd -g weblogic weblogic创建用户，passwd weblogic设置密码。
• 设置目录权限：将WebLogic安装目录（如/opt/weblogic）及域目录的所有权赋予weblogic用户，例如chown -R weblogic:weblogic /opt/weblogic。
• 启动服务：通过su - weblogic -c "/opt/weblogic/user_projects/domains/base_domain/bin/startWebLogic.sh"命令以weblogic用户启动服务，禁止使用root启动。

2. 更改默认端口

默认端口（如HTTP 7001、HTTPS 7002）易被自动化工具扫描，需修改为非标准端口。

• 修改HTTP端口：登录WebLogic控制台→环境→服务器→选择Admin Server→配置→一般信息，修改“监听端口”（如改为8001），保存并激活更改。
• 修改HTTPS端口：在同一界面修改“SSL监听端口”（如改为8002），并启用SSL（勾选“启用SSL监听端口”）。

3. 配置SSL加密通信

通过SSL/TLS加密数据传输，防止窃听或篡改。

• 生成密钥库：使用keytool工具生成JKS格式密钥库，命令示例：keytool -genkey -alias weblogic -keyalg RSA -keystore keystore.jks -validity 365 -keysize 2048（需设置密码及证书信息）。
• 导入证书：若使用CA签发证书，将证书导入密钥库：keytool -import -trustcacerts -alias ca -file ca.crt -keystore keystore.jks。
• 配置WebLogic：登录控制台→环境→服务器→密钥库→新建，选择“自定义身份和自定义信任”，指定密钥库路径（如/opt/weblogic/keystore.jks）及密码；在配置→一般信息→SSL中，选择密钥库并设置别名（如weblogic），启用SSL。

4. 强化账号与权限管理

避免默认管理员账号及弱密码，限制权限。

• 禁用默认管理员：修改默认管理员账号（weblogic）密码，设置复杂度（至少8位，包含大小写字母、数字及特殊字符）；避免使用admin等常见用户名。
• 配置账号锁定策略：在WebLogic控制台→安全→领域→myrealm→配置→用户锁out，设置“允许失败登录次数”（如5次）、“锁定持续时间”（如30分钟），防止暴力破解。
• 最小权限原则：创建普通用户（如app_user），仅分配应用所需权限（如Monitor、Operator），避免授予Administrator权限。

5. 配置防火墙与网络隔离

限制访问来源，缩小攻击面。

• 使用UFW配置防火墙：允许必要端口（如SSH 22、WebLogic HTTPS 8002），屏蔽其他端口。命令示例：sudo ufw allow 22/tcp、sudo ufw allow 8002/tcp、sudo ufw enable。
• 禁用不必要的服务与协议：关闭WebLogic中的IIOP协议（默认端口7001），避免CVE-2020-2551等漏洞；在控制台→环境→服务器→协议中，取消“启用IIOP”选项。
• 更改SSH默认端口：修改/etc/ssh/sshd_config中的Port（如改为2222），禁用root直接登录（设置PermitRootLogin no），启用密钥认证（设置PubkeyAuthentication yes），减少SSH攻击风险。

6. 启用安全审计与日志监控

记录关键操作，及时发现异常。

• 开启HTTP访问日志：登录控制台→环境→服务器→日志记录→HTTP，勾选“启用HTTP访问日志文件”，记录用户请求的URL、IP、状态码等信息。
• 配置安全审计：在控制台→安全→领域→myrealm→提供者→审计，选择“AuditProvider”，设置日志路径（如/opt/weblogic/domains/base_domain/servers/AdminServer/logs/audit.log），记录用户登录、权限变更等关键事件。
• 设置日志权限：将日志文件所有者设为weblogic，权限设为640（如chmod 640 /opt/weblogic/domains/base_domain/servers/AdminServer/logs/*.log），防止未授权访问。

7. 禁用冗余功能与信息泄漏

减少攻击面，隐藏服务器信息。

• 禁用自动部署：将WebLogic运行模式切换为“生产模式”（控制台→域→配置→常规，勾选“生产模式”），关闭自动部署功能（避免恶意WAR包自动部署）。
• 限制目录列表：修改weblogic.properties文件（位于/opt/weblogic/domains/base_domain/config/config.xml同级目录），设置weblogic.httpd.indexDirectories=false，禁止目录列表访问。
• 禁用服务器信息泄漏：登录控制台→环境→服务器→协议→HTTP，取消“发送服务器标头”，避免暴露WebLogic版本及服务器类型。

8. 系统与依赖安全维护

保持系统与软件最新，修复已知漏洞。

• 更新Ubuntu系统：定期执行sudo apt update && sudo apt upgrade，安装系统安全补丁；启用自动更新（sudo apt install unattended-upgrades，修改/etc/apt/apt.conf.d/50unattended-upgrades配置文件）。
• 更新WebLogic：从Oracle官网下载最新稳定版本，升级WebLogic Server及补丁集（如PSU），修复已知安全漏洞。
• 安装杀毒软件：部署ClamAV等杀毒软件，定期扫描系统文件，检测恶意程序。