weblogic安全设置Word文档格式.docx

1、点击security realms点击myrealm Users lockout表1. 配置用户封锁设置描述默认值Lockout Enabled该设置表明是否启用封锁功能。如果使用另一种可选的Authentication Provider（它使用自己独有的保护用户帐户的机制），需要禁用这项功能。trueLockout Threshold该设置决定了在封锁用户之前，允许登录尝试失败的最大次数。5Lockout Reset Duration假定Lockout Threshold是5，而Lockout Reset Duration是3分钟。如果一个用户在3分钟之内进行了5次失败的登录尝试，该用户帐户

2、将被封锁。如果这5次失败的尝试并非发生在3分钟之内，那么该帐户仍然保持活动。5分钟Lockout Duration该设置决定了被封锁之后，用户无法访问其帐号的持续时间（以分钟为单位）。30分钟Lockout Cache Size该设置指定用于保存无效登录尝试的缓存大小。Lockout GC Threshold该设置决定了内存中保存的无效登录尝试的最大值。当无效登录记录的数目超过了这个值，WebLogic的垃圾收集器就会删除所有到期的记录此时相关的用户已经被封锁。4001.4.启动boot.properties文件weblogic启动时会读取用户名和密码，不应在启动脚本里设置用户名和密码如WLS

3、_USER=weblogic, WLS_PW=xxx；而应在域目录下设置boot.properties文件，设置username=weblogic,password=XXX。Weblogic启动后会自动加密码boot.properties文件，如下图：1.5.修改weblogic密码1登录weblogic控制台，点击security realms2点击myrealm Users and Groups3点击weblogicpasswords4点击lock&edit，修改密码5点save,会提示你密码修改成功6停止所有weblogic进程或者：7修改域目录下boot.properties文件8删掉

4、boot.properties缓存文件缓存文件在域目录/server下各个server下/security下：9启动weblogic，用新密码登录测试。2.审计日志2.1.开启访问日志，并保留60天1点Environmentservers，对应各servers2点进各serverlogginghttp3点lock&edit”rotation type”:by time;勾选limit number of retained files;files to retain:604点save5点activate changes,会提示设置生效，但需重启weblogic。6如有其它server则按上面步骤

5、设置7重启weblogic2.2.访问日志查看方法访问日志存放在域目录下/servers/各server/logs/access.log*3.Weblogic header设置正确设置weblogic header可以防止扫描软件猜解weblogic的版本信息，进而进行下一步攻击。3.1.禁用Send Server Header（默认禁用）点击EnvironmentserversAdminServerprotocols检查是否勾选Send Server header3.2.禁用X-Powered-By Header1点击最顶部的域Web Applications2点击lock&edit修改X-

6、Powered-By Header为X-Powered-By Header will not be sent3点击saveactivate changes会提示设置生效，但需重启weblogic4重启weblogic4.限制应用服务器Socket数量1停止weblogic2进入域目录下config下3备份config.xml文件cp config.xml config.xml.2010054修改config.xml在中间，/name后面加max-open-sock-count250 5启动weblogic验证是否生效5.错误页面处理修改应用下/WEB-INF/web.xml,包含如下格式内容:error-page *locationerror.html/error-page6.Session超时设置修改应用下/WEB-INF/weblogic.xml, 包含如下格式内容：session-descriptorsession-paramparam-nameTimeoutSecsparam-value7200/session-param/session-descriptor