Debian上WebLogic安全设置指南

Debian上WebLogic安全设置指南

一 系统层加固

• 保持系统与软件包为最新：定期执行apt update && apt upgrade，及时修补漏洞。
• 防火墙最小化放行：使用ufw/iptables仅开放必要端口（如管理端口7001），可按需限制来源网段。
• SSH安全：启用密钥登录、禁用root直登（设置PermitRootLogin no）、仅允许特定用户（AllowUsers）。
• 最小权限与后台服务：以非root运行WebLogic，按需使用sudo；关闭不必要的系统服务与端口。
• 网络隔离：将管理口与业务口分离，必要时置于VPC/VLAN或受控网段，减少攻击面。

二 WebLogic运行与访问控制

• 运行模式：将域设置为生产模式，关闭自动部署，降低被恶意上传与热部署的风险。
• 监听端口与协议：修改默认7001管理端口为非默认值（如8001）；启用SSL监听并修改默认7002端口；对外仅暴露必要协议与端口。
• 信息泄露防护：在控制台关闭发送服务器标头，避免泄露服务器名称/版本号。
• 连接与来源控制：使用防火墙限制访问来源；在WebLogic启用Connection Filters限制域内/域间连接。
• 资源与稳定性：在控制台设置最大打开套接字数（如254），缓解资源耗尽型攻击。
• 认证与授权：通过控制台或WLST配置安全领域、用户/角色与授权策略；对管理控制台与部署操作实施细粒度权限控制。

三 加密与传输安全

• 传输加密：为管理通道与业务通道启用SSL/TLS，并在SSL配置中开启拒绝握手日志与主机名验证（如选择BEA主机名验证），提升握手异常可审计性与抗伪造能力。
• 证书与密钥：使用受信任CA签发的证书，妥善保护私钥与信任库/密钥库；定期轮换密钥与证书。
• 存储与配置：对包含数据库密码等敏感信息的配置文件与脚本设置最小权限与访问控制，避免明文泄露。

四 日志审计与监控备份

• 访问与运维审计：启用HTTP访问日志记录账号、时间、IP、结果；在安全 → 领域 → 提供者 → 审计器启用安全审计，审计日志默认位于域目录下的DefaultAuditRecorder.log。
• 系统监控与告警：部署Nagios/Zabbix等监控，关注CPU/内存/连接数/磁盘IO与异常进程；对关键日志建立实时采集与告警规则。
• 日志留存与审查：集中存储与定期审查WebLogic日志与系统日志，关注登录失败、权限变更、SSL握手失败等安全事件。
• 备份与恢复：制定定期备份（域目录、应用、证书与密钥）与灾难恢复预案，并进行周期性恢复演练，确保可快速回滚。

五 快速检查清单