Weblogic安全策略配置

weblogic安全策略配置

1. 用户名密码安全设置

1.1. 操作系统用户weblogic安全

要求：密码长度应8位以上，并符合密码复杂度要求修改密码

passwd weblogic

/bea目录目录属性应为0755

1.2. 用户名密码策略

要求：不使用默认用户名/密码:weblogic/weblogic

密码长度应8位以上，并符合密码复杂度要求

1.3. 帐号锁定策略

要求：密码重试次数5次，锁定时间30分钟

点击security realms

点击myrealm > Users lockout

1.4. 启动boot.properties文件

weblogic启动时会读取用户名和密码，不应在启动脚本里设置用户名和密码如WLS_USER=weblogic, WLS_PW=xxx；而应在域目录下设置boot.properties文件，设置username=weblogic,password=XXX。Weblogic启动后会自动加密码

boot.properties文件。

1.5. 修改weblogic密码

1登录weblogic控制台，点击security realms

2点击myrealm > Users and Groups

3点击weblogic>passwords

4点击lock&edit，修改密码

5点save,会提示你密码修改成功

6停止所有weblogic进程

7修改域目录下boot.properties文件

8删掉boot.properties缓存文件

缓存文件在域目录/server下各个server下/security下

9启动weblogic，用新密码登录测试。

2. 审计日志

2.1. 开启访问日志，并保留60天

1点Environment>servers，对应各servers

2点进各server>logging>http

3点lock&edit>”rotation type”:by time;>勾选limit number of retained files>;files to retain:60

4点save

5点activate changes,会提示设置生效，但需重启weblogic。

6如有其它server则按上面步骤设置

7重启weblogic

2.2. 访问日志查看方法

访问日志存放在域目录下/servers/各server/logs/access.log*

3. Weblogic header设置

正确设置weblogic header可以防止扫描软件猜解weblogic的版本信息，进而进行下一步攻击。

3.1. 禁用Send Server Header（默认禁用）

点击Environment>servers>AdminServer>protocols>http 检查是否勾选

Send Server header

3.2. 禁用X-Powered-By Header

1点击最顶部的域>Web Applications

2点击lock&edit修改X-Powered-By Header为X-Powered-By Header will not be sent

3点击save>activate changes会提示设置生效，但需重启weblogic

4重启weblogic

4. 限制应用服务器Socket数量

1停止weblogic

2进入域目录下config下

3备份config.xml文件

cp config.xml config.xml.201005

4修改config.xml

在中间，后面加

250

5启动weblogic验证是否生效

5. 错误页面处理

修改应用下/WEB-INF/web.xml,包含如下格式内容

*

error.html

6. Session超时设置

修改应用下/WEB-INF/weblogic.xml, 包含如下格式内容：

TimeoutSecs

7200