weblogic系统加固规范

WebLogic系统加固规范Opsec.cn2010年9月目录1账号管理、认证授权......................................................................................................11.1.1SHG-WebLogic-01-01-01....................................................................................11.1.2SHG-WebLogic-01-01-02....................................................................................31.1.3SHG-WebLogic-01-01-03....................................................................................41.1.4SHG-WebLogic-01-01-04....................................................................................62日志配置...........................................................................................................................72.1.1SHG-WebLogic-02-01-01....................................................................................72.1.2SHG-WebLogic-02-01-02..................................................................................103通信协议.........................................................................................................................153.1.1SHG-WebLogic-03-01-01..................................................................................153.1.2SHG-WebLogic-03-01-02..................................................................................204设备其他安全要求........................................................................................................224.1安装部署.................................................................................................................224.1.1SHG-WebLogic-04-01-01..................................................................................224.1.2SHG-WebLogic-04-01-02..................................................................................234.1.3SHG-WebLogic-04-01-03..................................................................................254.1.4SHG-WebLogic-04-01-04..................................................................................264.1.5SHG-WebLogic-04-01-05..................................................................................284.1.6SHG-WebLogic-04-01-06..................................................................................304.1.7SHG-WebLogic-04-01-07..................................................................................314.1.8SHG-WebLogic-04-01-08..................................................................................314.2运行维护.................................................................................................................324.2.1SHG-WebLogic-04-02-01..................................................................................324.2.2SHG-WebLogic-04-02-02..................................................................................334.2.3SHG-WebLogic-04-02-03..................................................................................344.3备份容错.................................................................................................................354.3.1SHG-WebLogic-04-03-01..................................................................................3511账账号号管管理理、、认认证证授授权权11..11..11SSHHGG--WWeebbLLooggiicc--0011--0011--0011编号SHG-WebLogic-01-01-01名称服务器启动帐户实施目的配置Unix机器POST-bind，避免WebLogic以特权用户身份运行问题影响应用服务器如果溢出,攻击者将直接获得root权限，存在较严重的安全隐患系统当前状态以root身份执行：#ps–ef|grep–iweblogic以WebLogic管理员身份登录管理控制台,执行：1.在左面板，点击”Machine”文件夹2.在右面板，查看是否配置”UnixMachinelink”实施步骤以WebLogic管理员身份登录管理控制台,执行：1.在左面板，点击”Machine”文件夹2.在右面板，选择“ConfigureaNewUnixMachinelink”3.输入unix机器名,勾选”EnablePost-bindUIDfield”并输入用户名,该用户名必须对BEA_HOME及子目录有完全控制权限，输入对应组(用户名和组名须事先在OS中单独创建),点击”Apply”按钮.注意：不要使用默认的nobody用户，如下图所示：4.选择”Servers”标签.从”Availablelist”移动每个想要的服务器实例到“Chosenlist”.然后击”Apply”按钮回退方案恢复设置到加固前状态判断依据以特权用户身份启动应用服务器，绑定端口之后改变UID和GID到非特权用户和组实施风险高重要等级★★备注11..11..22SSHHGG--WWeebbLLooggiicc--0011--0011--0022编号SHG-WebLogic-01-01-02名称主机名认证实施目的设置HostnameVerification值为”BeaHostnameVerifier”问题影响主机名认证有助于防范中间人攻击.系统默认是启用”BeaHostnameVerifier”，用户有可能将其禁用系统当前状态以管理员身份登录管理控制台：1.点击左面板域名文件夹，然后点击“servers”文件夹，点击要管理的服务器名2.在右侧面板的”configuration”面板下的”Keystore&SSL”标签中，点击Advancedoption中“Show”项，查看Clientattribute下的HostnameVerification值,默认是”BeaHostnameVerifier”实施步骤设置HostnameVerification值为”BeaHostnameVerifier”以管理员身份登录管理控制台：1.点击左面板域名文件夹，然后点击“servers”文件夹，点击要管理的服务器名2.在右侧面板的”configuration”面板下的”Keystore&SSL”标签中，点击Advancedoption中“Show”项，查看Clientattribute下的HostnameVerification值,设置为”BeaHostnameVerifier”回退方案恢复HostnameVerification值到加固前状态判断依据HostnameVerification值默认是”BeaHostnameVerifier”实施风险低重要等级★★备注11..11..33SSHHGG--WWeebbLLooggiicc--0011--0011--0033编号SHG-WebLogic-01-01-03名称帐号锁定设置实施目的设定帐号锁定次数和时间问题影响不设定帐号锁定难以抵抗帐号字典攻击系统当前状态以管理员身份登录控制台1.点击左侧面板”Security”文件夹，展开”REALM”2.点击右侧面板中的”UserLock”标签，查看如下图红色标记部分实施步骤设定帐号锁定次数和时间以管理员身份登录控制台1.点击左侧面板”Security”文件夹，展开”REALM”2.点击右侧面板中的”UserLock”标签，设定LockoutEnabled，LockoutThreshold值为5，LockoutDuration为30（分钟）回退方案修改设置到加固前状态判断依据实施风险中重要等级★★★备注11..11..44SSHHGG--WWeebbLLooggiicc--0011--0011--0044编号SHG-WebLogic-01-01-04名称管理ID控制实施目的为不同的管理用户分配不同的角色，避免共享口令和减少特权ID使用问题影响可能存在共用帐号和没有分配不同角色到不同管理用户的情况，存在安全隐患系统当前状态以管