收藏
下载资源下载资源 加入VIP,免费下载

WebLogic Web服务器安全配置基线要点.docx

上传人:b****5 文档编号:28844642 上传时间:2023-07-20 格式:DOCX 页数:11 大小:20.64KB
下载 相关 举报
WebLogic Web服务器安全配置基线要点.docx_第1页
第1页 / 共11页
WebLogic Web服务器安全配置基线要点.docx_第2页
第2页 / 共11页
WebLogic Web服务器安全配置基线要点.docx_第3页
第3页 / 共11页
WebLogic Web服务器安全配置基线要点.docx_第4页
第4页 / 共11页
WebLogic Web服务器安全配置基线要点.docx_第5页
第5页 / 共11页
点击查看更多>>
下载资源
资源描述

WebLogic Web服务器安全配置基线要点.docx

《WebLogic Web服务器安全配置基线要点.docx》由会员分享,可在线阅读,更多相关《WebLogic Web服务器安全配置基线要点.docx(11页珍藏版)》请在冰豆网上搜索。

WebLogic Web服务器安全配置基线要点.docx

WebLogicWeb服务器安全配置基线要点

 

WebLogicWeb服务器

安全配置基线

 

中国移动通信有限公司管理信息系统部

2012年04月

 

版本

版本控制信息

更新日期

更新人

审批人

V1.0

创建

2009年4月

V2.0

更新

2012年4月

备注:

1.若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。

 

目录

第1章概述4

1.1目的4

1.2适用范围4

1.3适用版本4

1.4实施4

1.5例外条款4

第2章帐号管理、认证授权5

2.1帐号5

2.1.1系统启动帐号5

2.1.2帐号锁定策略5

2.2口令6

2.2.1密码复杂度6

第3章日志配置操作7

3.1日志配置7

3.1.1审核登录7

第4章IP协议安全配置8

4.1IP协议8

4.1.1支持加密协议8

4.1.2限制应用服务器Socket数量8

4.1.3禁用SendServerHeader9

第5章设备其他配置操作10

5.1安全管理10

5.1.1定时登出10

5.1.2更改默认端口*10

5.1.3错误页面处理11

5.1.4目录列表访问限制11

第6章评审与修订12

第1章概述

1.1目的

本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的WebLogicWeb服务器应当遵循的安全性设置标准,本文档旨在指导系统管理人员进行WebLogicWeb服务器的安全配置。

1.2适用范围

本配置标准的使用者包括:

服务器系统管理员、应用管理员、网络安全管理员。

本配置标准适用的范围包括:

支持中国移动集团公司管理信息系统部运行的WebLogicWeb服务器系统。

1.3适用版本

8.x9.x10.x版本的WebLogicWeb服务器。

1.4实施

本标准的解释权和修改权属于中国移动集团管理信息系统部,在本标准的执行过程中若有任何疑问或建议,应及时反馈。

本标准发布之日起生效。

1.5例外条款

欲申请本标准的例外条款,申请人必须准备书面申请文件,说明业务需求和原因,送交中国移动通信有限公司管理信息系统部进行审批备案。

 

第2章帐号管理、认证授权

2.1帐号

系统启动帐号

安全基线项目名称

WebLogic启动帐号安全基线要求项

安全基线编号

SBL-WebLogic-02-01-01

安全基线项说明

要求限制帐号

检测操作步骤

1、参考配置操作

查看以管理员身份登录控制台

执行#ps–ef|grep–iweblogic

基线符合性判定依据

1、判定条件

执行帐号不可以是root和nobody。

备注

帐号锁定策略

安全基线项目名称

WebLogic帐号锁定安全基线要求项

安全基线编号

SBL-WebLogic-02-01-02

安全基线项说明

要求设定帐号锁定次数和时间,错误输入密码10次,系统自动锁定,锁定时间5分钟。

检测操作步骤

1、参考配置操作

查看以管理员身份登录控制台

1.点击左侧面板”Security”文件夹,展开”REALM”

2.点击右侧面板中的”UserLock”标签,查看LockoutEnabled,LockoutThreshold,LockoutDuration等

基线符合性判定依据

1、判定条件

要求LockoutEnabled=true;

LockoutThreshold=10;

LockoutDuration=5

备注

2.2口令

密码复杂度

安全基线项目名称

WebLogic密码复杂度安全基线要求项

安全基线编号

SBL-WebLogic-02-02-01

安全基线项说明

对于采用静态口令认证技术的设备,口令长度至少8位,并包括数字、小写字母、大写字母和特殊符号四类中至少两类。

且5次以内不得设置相同的口令。

密码应至少每90天进行更换。

检测操作步骤

1、参考配置操作

查看WebLogic安装目录下的weblogic.properties配置文件

2、补充操作说明

口令要求:

口令长度至少8位,并包括数字、小写字母、大写字母和特殊符号四类中至少两类。

且5次以内不得设置相同的口令。

密码应至少每90天进行更换。

基线符合性判定依据

1、判定条件

weblogic.system.minPasswordLen=8等

备注

第3章日志配置操作

3.1日志配置

审核登录

安全基线项目名称

WebLogic审核登录安全基线要求项

安全基线编号

SBL-WebLogic-03-01-01

安全基线项说明

设备应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的帐号,登录是否成功,登录时间,以及远程登录时,用户使用的IP地址。

检测操作步骤

1、参考配置操作

查看WebLogic安装目录下的weblogic.properties配置文件

基线符合性判定依据

1、判定条件

开启日志,配置按日期rotate

weblogic.system.enableReverseDNSLookups=true

备注

第4章IP协议安全配置

4.1IP协议

支持加密协议

安全基线项目名称

WebLogic支持加密协议安全基线要求项

安全基线编号

SBL-WebLogic-04-01-01

安全基线项说明

对于通过HTTP协议进行远程维护的设备,设备应支持使用HTTPS等加密协议。

检测操作步骤

1、参考配置操作

查看WebLogic安装目录下的weblogic.properties配置文件

基线符合性判定依据

1、判定条件

weblogic.system.SSLListenPort=portNumber

weblogic.security.certificate.server=mycert.der

weblogic.security.key.server=mykey.der

weblogic.security.certificate.authority=CA.der

weblogic.security.certificateCacheSize=5

weblogic.security.clientRootCA=anyValidCertificate

weblogic.httpd.register.authenticated=\

weblogic.t3.srvr.ClientAuthenticationServlet

weblogic.httpd.register.T3AdminCaptureRootCA=admin.T3AdminCaptureRootCA

SSLEnabled="true"

备注

限制应用服务器Socket数量

安全基线项目名称

WebLogic限制应用服务器Socket数量安全基线要求项

安全基线编号

SBL-WebLogic-04-01-02

安全基线项说明

Sockets最大打开数目设置不当的话,容易受到拒绝服务攻击,超出操作系统文件描述符限制

检测操作步骤

1、参考配置操作

以管理员身份登录管理控制台

1.点击左侧面板的域名文件夹,然后点击Servers文件夹,双击要管理的服务器

2.在右侧面板的“Configuration”面板下选择“Tuning”标签,查看MaximumOpenSockets值

基线符合性判定依据

1、判定条件

要求MaximumOpenSockets不大于1024。

备注

禁用SendServerHeader

安全基线项目名称

WebLogic禁用SendServerHeader安全基线要求项

安全基线编号

SBL-WebLogic-04-01-03

安全基线项说明

Sockets最大打开数目设置不当的话,容易受到拒绝服务攻击,超出操作系统文件描述符限制

检测操作步骤

1、参考配置操作

以管理员身份登录管理控制台

1.点击域名下的Servers文件夹,选择要管理的服务器

2.在右侧面板“Protocols”面板下,点击HTTP标签

3.检查是否勾选SendServerheader

基线符合性判定依据

1、判定条件

要求禁止SendServerheader

备注

第5章设备其他配置操作

5.1安全管理

定时登出

安全基线项目名称

WebLogic定时登出安全基线要求项

安全基线编号

SBL-WebLogic-05-01-01

安全基线项说明

对于具备字符交互界面的设备,应支持定时帐户自动登出。

登出后用户需再次登录才能进入系统。

检测操作步骤

1、参考配置操作

查看WebLogic安装目录下的weblogic.properties配置文件

自动登出时间为5分钟。

基线符合性判定依据

1、判定条件

weblogic.login.readTimeoutMillis=integer

weblogic.login.readTimeoutMillisSSL=integer

备注

更改默认端口*

安全基线项目名称

WebLogic运行端口安全基线要求项

安全基线编号

SBL-WebLogic-05-01-02

安全基线项说明

更改WebLogic服务器默认端口

检测操作步骤

1、参考配置操作

查看WebLogic安装目录下的weblogic.properties配置文件

基线符合性判定依据

1、判定条件

weblogic.system.listenPort=integer

备注

根据应用场景的不同,如部署场景需开启此功能,则强制要求此项。

可能会影响系统。

错误页面处理

安全基线项目名称

WebLogic错误页面处理安全基线要求项

安全基线编号

SBL-WebLogic-05-01-03

安全基线项说明

WebLogic错误页面重定向

检测操作步骤

1、参考配置操作

查看/WEB-INF/web.xml:

基线符合性判定依据

1、判定条件

要求包含如下片段:

备注

目录列表访问限制

安全基线项目名称

WebLogic目录列表安全基线要求项

安全基线编号

SBL-WebLogic-05-01-04

安全基线项说明

禁止WebLogic列表显示文件

检测操作步骤

1、参考配置操作

查看WebLogic安装目录下的weblogic.properties配置文件

基线符合性判定依据

1、判定条件

weblogic.httpd.indexDirectories=false

备注

第6章评审与修订

本标准由中国移动通信有限公司管理信息系统部定期进行审查,根据审视结果修订标准,并颁发执行。

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 自然科学 > 物理

copyright@ 2008-2022 冰豆网网站版权所有

经营许可证编号:鄂ICP备2022015515号-1