WebLogicWeb服务器安全配置基线同名23086.docx
- 文档编号:17441466
- 上传时间:2023-07-25
- 格式:DOCX
- 页数:12
- 大小:18.33KB
WebLogicWeb服务器安全配置基线同名23086.docx
《WebLogicWeb服务器安全配置基线同名23086.docx》由会员分享,可在线阅读,更多相关《WebLogicWeb服务器安全配置基线同名23086.docx(12页珍藏版)》请在冰点文库上搜索。
WebLogicWeb服务器安全配置基线同名23086
WebLogic-Web服务器安全配置基线(同名23086)
WebLogicWeb服务器
安全配置基线
版
本
版本控制信息
更新日期
更新人
审批人
V1.
0
创建
2009
年4月
V2.
0
更新
2012
年4月
备注:
1.若此文档需要日后更新,请创建人填写版本控
制表格,否则删除版本控制表格
第1章概述6
1.1目的6
1.2适用范围6
1.3适用版本6
1.4实施6
1.5例外条款6
第2章帐号管理、认证授权7
2.1帐号7
2.1.1系统启动帐号7
2.1.2帐号锁定策略8
2.2口令9
2.2.1密码复杂度9
第3章日志配置操作11
3.1日志配置11
3.1.1审核登录11
第4章IP协议安全配置13
4.1IP协议13
4.1.1支持加密协议13
4.1.2限制应用服务器Socket数量15
4.1.3禁用SendServerHeader16
第5章设备其他配置操作18
5.1安全管理18
5.1.1定时登出18
5.1.2更改默认端口*19
5.1.3错误页面处理20
5.1.4目录列表访问限制21
第6章评审与修订23
第1章概述
1.1目的本文档旨在指导系统管理人员进行
WebLogicWeb服务器的安全配置。
1.2适用范围本配置标准的使用者包括:
服务器系统管理
员、应用管理员、网络安全管理员。
1.3适用版本
8.x9.x10.x版本的WebLogicWeb服务器。
1.4实施
1.5例外条款
第2章帐号管理、认证授权
2.1帐号
2.1.1系统启动帐号
安全
WebLogic启动帐号安全基线要求项
基线
项目
名称
安全
SBL-WebLogic-02-01-01
基线
编号
安全
要求限制帐号
基线
项说
明
检测
1、参考配置操作
操作
查看以管理员身份登录控制台
步骤
执行#ps-ef|grep-weblogic
基线
1、判定条件
符合
执行帐号不可以是root和nobody。
性判
定依据
备注
2.1.2帐号锁定策略
安全基线项目名称
WebLogic帐号锁定安全基线要求项
安全
基线
编号
SBL-WebLogic-02-01-02
安全基线项说
明
要求设定帐号锁定次数和时间,错误输入密码10次,系统自动锁定,锁定时间5分钟。
检测
操作
步骤
1、参考配置操作
查看以管理员身份登录控制台
1.点击左侧面板Security文件夹,展
开”REALM”
2.点击右侧面板中的”UserLock”标签,
查看LockoutEnabled,LockoutThreshold,LockoutDuration等
基线符合性判定依据
1、判定条件
要求LockoutEnabled=true;
LockoutThreshold=10;
LockoutDuration=5
备注
2.2口令
2.2.1密码复杂度
安全基线项目名称
WebLogic密码复杂度安全基线要求项
安全
基线
编号
SBL-WebLogic-02-02-01
安全基线
对于采用静态口令认证技术的设备,口令长度至少8位,并包括数字、小写字
项说明
母、大写字母和特殊符号四类中至少两类。
且5次以内不得设置相同的口令。
密码应至少每90天进行更换。
检测
操作
步骤
1、参考配置操作
查看WebLogic安装目录下的weblogic.properties配置文件
2、补充操作说明
口令要求:
口令长度至少8位,并包括数字、小与字母、大与字母和特殊符号四类中至少两类。
且5次以内不得设置相同的口令。
密码应至少每90天进行更换。
基线符合性判定依据
1、判定条件
weblogic.system.minPasswordLen=8等
备注
第3章日志配置操作
3.1日志配置
3.1.1审核登录
安全
WebLogic审核登录安全基线要求项
基线
项目
名称
安全
SBL-WebLogic-03-01-01
基线
编号
安全
设备应配置日志功能,对用户登录进行
基线
记录,记录内容包括用户登录使用的帐
项说
号,登录是否成功,登录时间,以及远
明
程登录时,用户使用的IP地址。
检测
1、参考配置操作
操作
查看WebLogic安装目录下的
步骤
weblogic.properties配置文件
基线
1、判定条件
符合
开启日志,配置按日期rotate
性判定依据
weblogic.system.enableReverseDNSLookups=
true
备注
第4章IP协议安全配置
4.1IP协议
4.1.1支持加密协议
安全
WebLogic支持加密协议安全基线要求
基线
项
项目
名称
安全
SBL-WebLogic-04-01-01
基线
编号
安全
对于通过HTTP协议进行远程维护的设
基线
备,设备应支持使用HTTPS等加密协
项说
议。
明
检测
1、参考配置操作
操作
查看WebLogic安装目录下的
步骤
weblogic.properties配置文件
基线
1、判定条件
符合性判定依据
weblogic.system.SSLListenPort=port
Numberweblogic.security.certificate.server=mycert.derweblogic.security.key.server=mykey
.derweblogic.security.certificate.authority=CA.derweblogic.security.certificateCacheSize=5weblogic.security.clientRootCA=any
ValidCertificateweblogic.httpd.register.authenticated=\weblogic.t3.srvr.ClientAuthenticationServletweblogic.httpd.register.T3AdminCaptureRootCA=admin.T3AdminCaptureRootCASSLEnabled="true"
备注
4.1.2限制应用服务器Socket数量
安全基线项目名称
WebLogic限制应用服务器Socket数量安全基线要求项
安全基线编号
SBL-WebLogic-04-01-02
安全基线项说
明
Sockets最大打开数目设置不当的话,容易受到拒绝服务攻击,超出操作系统文件描述符限制
检测
操作
步骤
1、参考配置操作
以管理员身份登录管理控制台
1•点击左侧面板的域名文件夹,然后点击Servers文件夹,双击要管理的服务器
2.在右侧面板的“Configuration”面板下选择“Tuning”标签,查看MaximumOpenSockets值
基线符合
1、判定条件
要求MaximumOpenSockets不大于1024。
性判定依据
备注
4.1.3禁用SendServerHeader
安全基线项目名称
WebLogic禁用SendServerHeader安全基线要求项
安全
基线
编号
SBL-WebLogic-04-01-03
安全基线项说
明
Sockets最大打开数目设置不当的话,容易受到拒绝服务攻击,超出操作系统文件描述符限制
检测
操作
步骤
1、参考配置操作
以管理员身份登录管理控制台
1.点击域名下的Servers文件夹,选择要管理的服务器
2.在右侧面板“Protocols"面板下,点击
HTTP标签
3.检查是否勾选SendServerheader
基线符合性判定依据
1、判定条件
要求禁止SendServerheader
备注
第5章设备其他配置操作
5.1安全管理
5.1.1定时登出
安全基线项目名称
WebLogic定时登出安全基线要求项
安全
基线
编号
SBL-WebLogic-05-01-01
安全基线项说
明
对于具备字符交互界面的设备,应支持定时帐户自动登出。
登出后用户需再次登录才能进入系统。
检测
操作
步骤
1、参考配置操作
查看WebLogic安装目weblogic.properties配置文件自动登出时间为5分钟。
录下的
基线符合性判定依据
1、判定条件
weblogic.login.readTimeoutMillis=integer
weblogic.login.readTimeoutMillisSSL=integer
备注
5.1.2更改默认端口
安全基线项目名称
WebLogic运行端口安全基线要求项
安全基线编号
SBL-WebLogic-05-01-02
安全基线项说
明
更改WebLogic服务器默认端口
检测
操作
步骤
1、参考配置操作
查看WebLogic安装目录下的weblogic.properties配置文件
基线符合性判定依据
1、判定条件
weblogic.system.1istenPort=integer
备注
根据应用场景的不冋,如部署场景需开启此功能,则强制要求此项。
可能会影响系统。
5.1.3错误页面处理
安全基线项目名称
WebLogic错误页面处理安全基线要求项
安全
基线
编号
SBL-WebLogic-05-01-03
安全基线项说
明
WebLogic错误页面重定向
检测
1、参考配置操作
操作步骤
查看
HOME>/WEB-INF/web
vApplication
.xml:
基线
1、判定条件
符合
要求包含如下片段:
性判
定依
■=;eicceptian-typ亡a*vfesception-typo*-1
<1ocaLiani>error.hknl
据
■^/error-page^*1
备注
5.1.4目录列表访问限制
安全基线项目名称
WebLogic目录列表安全基线要求项
安全基线编号
SBL-WebLogic-05-01-04
安全基线项说
明
禁止WebLogic列表显示文件
检测
操作
步骤
1、参考配置操作
查看WebLogic安装目录下的weblogic.properties配置文件
基线符合性判定依据
1、判定条件
weblogic.httpd.indexDirectories=false
备注
第6章评审与修订
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- WebLogicWeb 服务器 安全 配置 基线 同名 23086