groupadd weblogic命令创建专门用于运行WebLogic及管理相关资源的用户组,避免与其他系统用户组混淆。useradd -g weblogic weblogic命令创建用户,指定其所属组为weblogic,并设置强密码(包含大小写字母、数字、特殊字符,长度≥8位)。passwd -l命令锁定不必要的超级账户(如adm、lp、sync等),禁止以root用户直接运行WebLogic进程,降低权限滥用风险。chown命令将WebLogic安装目录(如/u01/weblogic)、域目录(如/u01/domains/base_domain)的所有权赋予weblogic用户及weblogic组;通过chmod命令设置目录权限为750(所有者可读写执行,组可读执行,其他用户无权限),文件权限为640(所有者可读写,组可读,其他用户无权限),避免未授权访问或修改。/etc/passwd、/etc/shadow、/etc/group等口令文件使用chattr +i命令添加不可更改属性,防止恶意篡改。sestatus命令检查SELinux状态,若未启用则使用setenforce 1临时启用,修改/etc/selinux/config文件中的SELINUX=enforcing并重启系统永久生效,提供更细粒度的权限控制。weblogic管理员账户,创建新的管理员账户(如admin_domain),设置复杂密码并限制登录IP范围,降低默认账户被攻击的风险。weblogic_admins、weblogic_users、weblogic_appmanagers),将用户添加至对应组中,实现权限的分类管理。Security Realms→myrealm→Roles and Policies页面,创建角色(如AdminRole、UserRole、AppManagerRole),并为角色分配权限。例如:
AdminRole:拥有管理用户、部署应用、配置服务器等全部权限;UserRole:仅拥有访问指定应用的权限;AppManagerRole:拥有管理指定应用的数据库、场景等权限。Applications→[应用名称]→Permissions页面,为组或用户分配应用级权限(如Application Manager(管理应用设置)、Database Manager(管理立方体)、Database Update(更新数据)),确保用户仅能访问其职责范围内的功能和数据。Environment→Servers→[服务器名称]→Configuration→General页面将WebLogic运行模式从“开发模式”切换为“生产模式”,关闭自动部署功能(开发模式下自动部署易被恶意利用),增强系统安全性。keytool工具生成SSL证书(如keytool -genkey -alias weblogic -keyalg RSA -keystore keystore.jks),在WebLogic控制台的Servers→[服务器名称]→Configuration→SSL页面配置证书,启用SSL监听端口(如7002),强制客户端通过HTTPS访问,保护数据传输安全。firewalld或iptables限制WebLogic端口的访问,仅允许信任的IP地址访问管理端口(如7001/7002)和应用端口(如8080/8443)。例如:firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.0/24" port port="7001" protocol="tcp" accept'
firewall-cmd --reload
Servers→[服务器名称]→Logging页面,设置日志级别为Notice或Warning,记录用户登录、操作行为(如部署应用、修改配置)、访问时间、IP地址等信息,便于后续审计。Security Realms→myrealm→Auditing页面,启用审计功能,配置审计策略(如记录用户登录成功/失败、权限变更、应用访问),确保所有安全相关操作可追溯。/u01/domains/base_domain/servers/[服务器名称]/logs)定期备份至异地存储,使用logrotate工具设置日志轮转策略(如每天生成一个新日志文件,保留30天),避免日志文件占用过多磁盘空间。examples、sample),避免暴露敏感信息或成为攻击入口。Security Realms→myrealm→Filters页面,添加过滤器禁用PUT、DELETE、TRACE等危险HTTP方法,防止恶意请求篡改数据或探测系统信息。
