Debian系统WebLogic安全配置指南

一 基础系统与网络加固

• 保持系统与软件为最新：执行apt update && apt upgrade，及时修补漏洞。
• 防火墙最小化放行：使用ufw或iptables仅开放必要端口（如管理端口7001），示例：ufw allow from YOUR_IP to any port 7001；生产环境建议将管理端口仅对跳板/堡垒机开放。
• SSH安全：启用密钥登录，禁用root直接登录（设置PermitRootLogin no），仅允许特定用户（AllowUsers your_admin），并更改默认端口以降低暴力扫描风险。
• 权限与服务最小化：以非root运行WebLogic，通过sudo授权；关闭不必要的端口与服务，减少攻击面。
• 网络隔离：将管理口与业务口分离，必要时置于VPC/VLAN或受控网段，仅放通管理网段到7001等必要端口。

二 Java与WebLogic安装安全

• Java版本：安装受支持的Java 8/11（如 OpenJDK 11），设置JAVA_HOME与PATH并持久化到**/etc/profile.d/weblogic.sh**。
• 域与启动：使用config.sh创建域，避免以root启动；后台启动可用nohup ./startWebLogic.sh &，停止使用**./stopWebLogic.sh**。
• 目录与文件权限：域目录与日志目录仅对运行用户可读写，禁止其他用户访问；备份与安装介质妥善管控，避免泄露敏感脚本与配置。

三 WebLogic安全配置

• 认证与授权：在控制台或WLST中配置安全领域，启用强口令策略；对接LDAP/OAuth等外部身份源，按“最小权限”分配角色/权限。
• 管理通道加固：为管理控制台与节点管理启用SSL/TLS加密，限制仅可信网段访问管理端口7001。
• 应用安全约束：为Web应用配置安全约束（登录、授权、会话管理），对敏感资源启用访问控制。
• 控制台与部署安全：限制WebLogic Console访问来源；仅授权用户可执行部署/更新操作，避免越权变更。

四 加密与端口管理

• 传输加密：为管理端与业务端启用SSL/TLS，禁用明文协议与弱加密套件；证书与密钥妥善存储并设置最小权限。
• 端口收敛：仅开放业务所需端口（如7001等），对管理端口实施源地址白名单；变更默认端口并同步更新防火墙与监控告警规则。
• 数据加密：对数据库密码、配置文件等敏感数据加密存储，避免在代码或配置文件中以明文出现。

五 监控日志与备份恢复

• 日志与审计：启用并集中采集WebLogic Server与系统日志，重点审计登录、部署、权限变更与域配置变更；定期检查异常。
• 监控告警：部署Nagios/Zabbix等监控，对CPU/内存/连接数/线程池与关键端口设置阈值告警，联动故障处置流程。
• 补丁与更新：定期应用WebLogic与Java的安全补丁，遵循变更窗口与回退方案。
• 备份恢复：定期备份域目录与关键配置，异地/离线保存；制定灾难恢复预案并演练，确保可快速恢复。