WebLogic_Web服务器安全配置风险评估检查表
WebLogicWeb 服务器安全配置基线目 录第1章 概述 ....................................................................
WebLogicWeb 服务器安全配置基线
目 录
第1章 概述 ......................................................................................................................................... 1
1.1
1.2
1.3 目的 ......................................................................................................................................... 1 适用范围 ................................................................................................................................. 1 适用版本 ................................................................................................................................. 1
第2章 账号管理、认证授权 ............................................................................................................. 2
2.1 账号 ......................................................................................................................................... 2
账号锁定策略 ................................................................................................................. 2
2.2 口令 ......................................................................................................................................... 2
2.2.1 密码复杂度 ..................................................................................................................... 2 2.1.1
第3章 日志配置操作 ......................................................................................................................... 4
3.1 日志配置 ................................................................................................................................. 4
3.1.1
第4章
4.1 审核登录 ......................................................................................................................... 4 IP 协议安全配置 ................................................................................................................ 5 IP 协议. .................................................................................................................................... 5
4.1.1
4.1.2
4.1.3 支持加密协议 ................................................................................................................. 5 限制应用服务器Socket 数量. ........................................................................................ 5 禁用Send Server Header ................................................................................................ 6
第5章 设备其他配置操作 ................................................................................................................. 7
5.1 安全管理 ................................................................................................................................. 7
5.1.1
5.1.2
5.1.3
5.1.4 定时登出 ......................................................................................................................... 7 更改默认端口 ................................................................................................................. 7 错误页面处理 ................................................................................................................. 8 目录列表访问限制 ......................................................................................................... 8
I
,第1章 概述
1.1 目的
本文档规定了WebLogic Web服务器应当遵循的安全性设置标准,本文档旨在指导系统管理人员进行WebLogic Web服务器的安全配置。
1.2 适用范围
本配置标准的使用者包括:服务器系统管理员、应用管理员、网络安全管理员。
1.3 适用版本
6.x 、7.x 、8.x 版本的WebLogic Web服务器。
现在最新的weblogic 服务器时9.1,此文件不适用与最新的服务器
,第2章 账号管理、认证授权
2.1 账号
2.1.1 账号锁定策略 安全基线项
目名称
安全基线编
号
安全基线项
说明
检测操作步
骤 WebLogic 账号锁定安全基线要求项 SBL-WebLogic-02-01-01 要求设定帐号锁定次数和时间 1、参考配置操作 查看以管理员身份登录控制台
1. 点击左侧面板”Security”文件夹,展开”REALM”
2. 点击右侧面板中的”User Lock”标签,查看Lockout Enabled,Lockout
Threshold ,Lockout Duration等
基线符合性
判定依据 1、判定条件 要求Lockout Enabled=true;
Lockout Threshold=5;
Lockout Duration=30
备注
2.2 口令
2.2.1 密码复杂度
安全基线项
目名称
安全基线编
号
安全基线项
说明
检测操作步
骤 WebLogic 密码复杂度安全基线要求项 SBL-WebLogic-02-01-01 对于采用静态口令认证技术的设备,口令长度至少8位。 1、参考配置操作 查看WebLogic 安装目录下的weblogic.properties 配置文件
2、补充操作说明
口令要求:长度至少8位。
,基线符合性判定依据 备注 1、判定条件 weblogic.system.minPasswordLen=8
,第3章 日志配置操作
3.1 日志配置
3.1.1 审核登录 安全基线项
目名称
安全基线编
号
安全基线项
说明
检测操作步
骤
基线符合性
判定依据
备注
WebLogic 审核登录安全基线要求项 SBL-WebLogic-03-01-01 设备应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的账号,登录是否成功,登录时间,以及远程登录时,用户使用的IP 地址。 1、参考配置操作 查看WebLogic 安装目录下的weblogic.properties 配置文件 1、判定条件 weblogic.system.enableReverseDNSLookups=true
,第4章 IP 协议安全配置
4.1 IP协议
4.1.1 支持加密协议 安全基线项
目名称
安全基线编
号
安全基线项
说明
检测操作步
骤
基线符合性
判定依据 WebLogic 支持加密协议安全基线要求项 SBL-WebLogic-04-01-01 对于通过HTTP 协议进行远程维护的设备,设备应支持使用HTTPS 等加密协议。 1、参考配置操作 查看WebLogic 安装目录下的weblogic.properties 配置文件 1、判定条件 weblogic.system.SSLListenPort=portNumber
weblogic.security.certificate.server=mycert.der weblogic.security.key.server=mykey.der
weblogic.security.certificate.authority=CA.der
weblogic.security.certificateCacheSize=5
weblogic.security.clientRootCA=anyValidCertificate weblogic.httpd.register.authenticated=
weblogic.t3.srvr.ClientAuthenticationServlet
weblogic.httpd.register.T3AdminCaptureRootCA=admin.T3AdminCaptureRootCA
备注
4.1.2 限制应用服务器Socket 数量
安全基线项
目名称
安全基线编
号
安全基线项
说明
检测操作步
骤 WebLogic 限制应用服务器Socket 数量安全基线要求项 SBL-WebLogic-04-01-02 Sockets 最大打开数目设置不当的话,容易受到拒绝服务攻击,超出操作系统文件描述符限制 1、参考配置操作 以管理员身份登录管理控制台
,1. 点击左侧面板的域名文件夹,然后点击Servers 文件夹,双击要管理的服务器
2. 在右侧面板的“Configuration”面板下选择“Tuning”标签,查看Maximum Open Sockets值
基线符合性
判定依据
备注 1、判定条件 要求Maximum Open Sockets不大于254。
4.1.3 禁用Send Server Header 安全基线项
目名称
安全基线编
号
安全基线项
说明
检测操作步
骤 WebLogic 禁用Send Server Header安全基线要求项 SBL-WebLogic-04-01-03 Sockets 最大打开数目设置不当的话,容易受到拒绝服务攻击,超出操作系统文件描述符限制 1、参考配置操作 以管理员身份登录管理控制台
1. 点击域名下的Servers 文件夹,选择要管理的服务器
2. 在右侧面板“Protocols”面板下,点击HTTP 标签
3. 检查是否勾选Send Server header
基线符合性
判定依据
备注 1、判定条件 要求禁止Send Server header
,第5章 设备其他配置操作
5.1 安全管理
5.1.1 定时登出 安全基线项
目名称
安全基线编
号
安全基线项
说明
检测操作步
骤
基线符合性
判定依据
备注 WebLogic 定时登出安全基线要求项 SBL-WebLogic-05-01-01 对于具备字符交互界面的设备,应支持定时账户自动登出。登出后用户需再次登录才能进入系统。 1、参考配置操作 查看WebLogic 安装目录下的weblogic.properties 配置文件 1、判定条件 weblogic.login.readTimeoutMillis=integer weblogic.login.readTimeoutMillisSSL=integer 5.1.2 更改默认端口
安全基线项
目名称
安全基线编
号
安全基线项
说明
检测操作步
骤
基线符合性
判定依据
备注 WebLogic 运行端口安全基线要求项 SBL-WebLogic-05-01-02 更改WebLogic 服务器默认端口 1、参考配置操作 查看WebLogic 安装目录下的weblogic.properties 配置文件 1、判定条件 weblogic.system.listenPort=integer
,5.1.3 错误页面处理
安全基线项
目名称
安全基线编
号
安全基线项
说明
检测操作步
骤
基线符合性
判定依据 WebLogic 错误页面处理安全基线要求项 SBL-WebLogic-05-01-03 WebLogic 错误页面重定向 1、参考配置操作 查看
5.1.4 目录列表访问限制 安全基线项
目名称
安全基线编
号
安全基线项
说明
检测操作步
骤
基线符合性
判定依据
备注
WebLogic 目录列表安全基线要求项 SBL-WebLogic-05-01-04 禁止WebLogic 列表显示文件 1、参考配置操作 查看WebLogic 安装目录下的weblogic.properties 配置文件 1、判定条件 weblogic.httpd.indexDirectories=false