WebLogic Web服务器安全配置基线要点.docx

1、WebLogic Web服务器安全配置基线要点WebLogic Web服务器安全配置基线中国移动通信有限公司 管理信息系统部2012年 04月版本版本控制信息更新日期更新人审批人V1.0创建2009年4月V2.0更新2012年4月备注：1. 若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。目 录第1章 概述 41.1 目的 41.2 适用范围 41.3 适用版本 41.4 实施 41.5 例外条款 4第2章 帐号管理、认证授权 52.1 帐号 52.1.1 系统启动帐号 52.1.2 帐号锁定策略 52.2 口令 62.2.1 密码复杂度 6第3章 日志配置操作 73.1

2、 日志配置 73.1.1 审核登录 7第4章 IP协议安全配置 84.1 IP协议 84.1.1 支持加密协议 84.1.2 限制应用服务器Socket数量 84.1.3 禁用Send Server Header 9第5章 设备其他配置操作 105.1 安全管理 105.1.1 定时登出 105.1.2 更改默认端口* 105.1.3 错误页面处理 115.1.4 目录列表访问限制 11第6章 评审与修订 12第1章 概述1.1 目的本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的WebLogic Web服务器应当遵循的安全性设置标准，本文档旨在指导系统管理人员进行WebLogic

3、 Web服务器的安全配置。1.2 适用范围本配置标准的使用者包括：服务器系统管理员、应用管理员、网络安全管理员。本配置标准适用的范围包括：支持中国移动集团公司管理信息系统部运行的WebLogic Web服务器系统。1.3 适用版本8.x 9.x 10.x版本的WebLogic Web服务器。1.4 实施本标准的解释权和修改权属于中国移动集团管理信息系统部，在本标准的执行过程中若有任何疑问或建议，应及时反馈。本标准发布之日起生效。1.5 例外条款欲申请本标准的例外条款，申请人必须准备书面申请文件，说明业务需求和原因，送交中国移动通信有限公司管理信息系统部进行审批备案。第2章 帐号管理、认证授权2

4、.1 帐号系统启动帐号安全基线项目名称WebLogic启动帐号安全基线要求项安全基线编号SBL-WebLogic-02-01-01 安全基线项说明 要求限制帐号检测操作步骤1、参考配置操作 查看以管理员身份登录控制台执行# ps ef| grep i weblogic基线符合性判定依据1、判定条件执行帐号不可以是root和nobody。备注帐号锁定策略安全基线项目名称WebLogic帐号锁定安全基线要求项安全基线编号SBL-WebLogic-02-01-02 安全基线项说明 要求设定帐号锁定次数和时间，错误输入密码10次，系统自动锁定，锁定时间5分钟。检测操作步骤1、参考配置操作 查看以管理员

5、身份登录控制台1. 点击左侧面板”Security”文件夹，展开”REALM”2. 点击右侧面板中的”User Lock”标签，查看Lockout Enabled，Lockout Threshold，Lockout Duration等基线符合性判定依据1、判定条件要求Lockout Enabled=true;Lockout Threshold=10;Lockout Duration=5备注2.2 口令密码复杂度安全基线项目名称WebLogic密码复杂度安全基线要求项安全基线编号SBL-WebLogic-02-02-01 安全基线项说明 对于采用静态口令认证技术的设备，口令长度至少8位，并包括数

6、字、小写字母、大写字母和特殊符号四类中至少两类。且5次以内不得设置相同的口令。密码应至少每90天进行更换。检测操作步骤1、参考配置操作 查看WebLogic安装目录下的weblogic.properties配置文件2、补充操作说明口令要求：口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号四类中至少两类。且5次以内不得设置相同的口令。密码应至少每90天进行更换。基线符合性判定依据1、判定条件weblogic.system.minPasswordLen=8等备注第3章 日志配置操作3.1 日志配置审核登录安全基线项目名称WebLogic审核登录安全基线要求项安全基线编号SBL-WebLo

7、gic-03-01-01 安全基线项说明 设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的帐号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址。检测操作步骤1、参考配置操作查看WebLogic安装目录下的weblogic.properties配置文件基线符合性判定依据1、判定条件开启日志，配置按日期rotateweblogic.system.enableReverseDNSLookups=true备注第4章 IP协议安全配置4.1 IP协议支持加密协议安全基线项目名称WebLogic支持加密协议安全基线要求项安全基线编号SBL-WebLogic-04-01-01

8、安全基线项说明 对于通过HTTP协议进行远程维护的设备，设备应支持使用HTTPS等加密协议。检测操作步骤1、参考配置操作查看WebLogic安装目录下的weblogic.properties配置文件基线符合性判定依据1、判定条件weblogic.system.SSLListenPort=portNumber weblogic.security.certificate.server=mycert.der weblogic.security.key.server=mykey.der weblogic.security.certificate.authority=CA.der weblogic.se

9、curity.certificateCacheSize=5 weblogic.security.clientRootCA=anyValidCertificate weblogic.httpd.register.authenticated=weblogic.t3.srvr.ClientAuthenticationServlet weblogic.httpd.register.T3AdminCaptureRootCA=admin.T3AdminCaptureRootCA SSL Enabled=true备注限制应用服务器Socket数量安全基线项目名称WebLogic限制应用服务器Socket数量

10、安全基线要求项安全基线编号SBL-WebLogic-04-01-02 安全基线项说明 Sockets最大打开数目设置不当的话，容易受到拒绝服务攻击，超出操作系统文件描述符限制检测操作步骤1、参考配置操作以管理员身份登录管理控制台 1. 点击左侧面板的域名文件夹，然后点击Servers文件夹，双击要管理的服务器 2. 在右侧面板的“Configuration”面板下选择“Tuning”标签，查看Maximum Open Sockets值基线符合性判定依据1、判定条件要求Maximum Open Sockets不大于1024。备注禁用Send Server Header安全基线项目名称WebLog

11、ic禁用Send Server Header安全基线要求项安全基线编号SBL-WebLogic-04-01-03 安全基线项说明 Sockets最大打开数目设置不当的话，容易受到拒绝服务攻击，超出操作系统文件描述符限制检测操作步骤1、参考配置操作以管理员身份登录管理控制台1. 点击域名下的Servers文件夹，选择要管理的服务器2. 在右侧面板“Protocols”面板下，点击HTTP标签3. 检查是否勾选Send Server header基线符合性判定依据1、判定条件要求禁止Send Server header备注第5章 设备其他配置操作5.1 安全管理定时登出安全基线项目名称WebLog

12、ic定时登出安全基线要求项安全基线编号SBL-WebLogic-05-01-01 安全基线项说明 对于具备字符交互界面的设备，应支持定时帐户自动登出。登出后用户需再次登录才能进入系统。检测操作步骤1、参考配置操作查看WebLogic安装目录下的weblogic.properties配置文件自动登出时间为5分钟。基线符合性判定依据1、判定条件weblogic.login.readTimeoutMillis=integer weblogic.login.readTimeoutMillisSSL=integer 备注更改默认端口*安全基线项目名称WebLogic运行端口安全基线要求项安全基线编号SB

13、L-WebLogic-05-01-02 安全基线项说明 更改WebLogic服务器默认端口检测操作步骤1、参考配置操作查看WebLogic安装目录下的weblogic.properties配置文件基线符合性判定依据1、判定条件weblogic.system.listenPort=integer备注根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。可能会影响系统。错误页面处理安全基线项目名称WebLogic错误页面处理安全基线要求项安全基线编号SBL-WebLogic-05-01-03 安全基线项说明 WebLogic错误页面重定向检测操作步骤1、参考配置操作查看/WEB-INF/web.xml:基线符合性判定依据1、 判定条件要求包含如下片段：备注目录列表访问限制安全基线项目名称WebLogic目录列表安全基线要求项安全基线编号SBL-WebLogic-05-01-04 安全基线项说明 禁止WebLogic列表显示文件检测操作步骤1、参考配置操作查看WebLogic安装目录下的weblogic.properties配置文件基线符合性判定依据1、判定条件weblogic.httpd.indexDirectories=false备注第6章 评审与修订本标准由中国移动通信有限公司管理信息系统部定期进行审查，根据审视结果修订标准，并颁发执行。