1、WebLogic Web 服务器安全配置基线中国移动集团公司 第 1 页 共 12 页WebLogic Web服务器安全配置基线中国移动通信有限公司 管理信息系统部2012年 04 月WebLogic Web 服务器安全配置基线中国移动集团公司 第 2 页 共 12 页版本 版本控制信息 更新日期 更新人 审批人V1.0 创建 2009 年 4 月V2.0 更新 2012 年 4 月备注:1. 若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。WebLogic Web 服务器安全配置基线中国移动集团公司 第 3 页 共 12 页目 录第 1 章 概述 .41.1 目的 .4
2、1.2 适用范围 .41.3 适用版本 .41.4 实施 .41.5 例外条款 .4第 2 章 帐号管理、认证授权 .52.1 帐号 .52.1.1 系统启动帐号 .52.1.2 帐号锁定策略 .52.2 口令 .62.2.1 密码复杂度 .6第 3 章 日志配置操作 .73.1 日志配置 .73.1.1 审核登录 .7第 4 章 IP 协议安全配置 .84.1 IP 协议 .84.1.1 支持加密协议 .84.1.2 限制应用服务器 Socket 数量 .84.1.3 禁用 Send Server Header .9第 5 章 设备其他配置操作 .105.1 安全管理 .105.1.1 定时
3、登出 .105.1.2 更改默认端口 * .105.1.3 错误页面处理 .115.1.4 目录列表访问限制 .11第 6 章 评审与修订 .12WebLogic Web 服务器安全配置基线中国移动集团公司 第 4 页 共 12 页第 1 章 概述1.1 目的本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的 WebLogic Web服务器应当遵循的安全性设置标准,本文档旨在指导系统管理人员进行 WebLogic Web 服务器的安全配置。1.2 适用范围本配置标准的使用者包括:服务器系统管理员、应用管理员、网络安全管理员。本配置标准适用的范围包括:支持中国移动集团公司管理信息系统部
4、运行的 WebLogic Web 服务器系统。1.3 适用版本8.x 9.x 10.x 版本的 WebLogic Web 服务器。1.4 实施本标准的解释权和修改权属于中国移动集团管理信息系统部,在本标准的执行过程中若有任何疑问或建议,应及时反馈。本标准发布之日起生效。1.5 例外条款欲申请本标准的例外条款,申请人必须准备书面申请文件,说明业务需求和原因,送交中国移动通信有限公司管理信息系统部进行审批备案。WebLogic Web 服务器安全配置基线中国移动集团公司 第 5 页 共 12 页第 2 章 帐号管理、认证授权2.1 帐号2.1.1 系统启动帐号安全基线项目名称WebLogic 启动
5、帐号安全基线要求项安全基线编号SBL-WebLogic-02-01-01 安全基线项说明 要求限制帐号检测操作步骤1、参考配置操作查看以管理员身份登录控制台执行# ps ef| grep i weblogic基线符合性判定依据1、判定条件执行帐号不可以是 root 和 nobody。备注2.1.2 帐号锁定策略安全基线项目名称WebLogic 帐号锁定安全基线要求项安全基线编号SBL-WebLogic-02-01-02 安全基线项说明 要求设定帐号锁定次数和时间,错误输入密码 10 次,系统自动锁定,锁定时间 5 分钟。检测操作步骤1、参考配置操作查看以管理员身份登录控制台1. 点击左侧面板”
6、Security”文件夹,展开”REALM”2. 点击右侧面板中的”User Lock”标签,查看 Lockout Enabled,Lockout Threshold,Lockout Duration 等基线符合性判定依据1、判定条件要求 Lockout Enabled=true;Lockout Threshold=10;Lockout Duration=5WebLogic Web 服务器安全配置基线中国移动集团公司 第 6 页 共 12 页备注2.2 口令2.2.1 密码复杂度安全基线项目名称WebLogic 密码复杂度安全基线要求项安全基线编号SBL-WebLogic-02-02-01 安
7、全基线项说明 对于采用静态口令认证技术的设备,口令长度至少 8 位,并包括数字、小写字母、大写字母和特殊符号四类中至少两类。且 5 次以内不得设置相同的口令。密码应至少每 90 天进行更换。检测操作步骤1、参考配置操作查看 WebLogic 安装目录下的 weblogic.properties 配置文件2、补充操作说明口令要求:口令长度至少 8 位,并包括数字、小写字母、大写字母和特殊符号四类中至少两类。且 5 次以内不得设置相同的口令。密码应至少每 90 天进行更换。基线符合性判定依据1、判定条件weblogic.system.minPasswordLen=8 等备注WebLogic Web
8、 服务器安全配置基线中国移动集团公司 第 7 页 共 12 页第 3 章 日志配置操作3.1 日志配置3.1.1 审核登录安全基线项目名称WebLogic 审核登录安全基线要求项安全基线编号SBL-WebLogic-03-01-01 安全基线项说明 设备应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的帐号,登录是否成功,登录时间,以及远程登录时,用户使用的 IP 地址。检测操作步骤1、参考配置操作查看 WebLogic 安装目录下的 weblogic.properties 配置文件基线符合性判定依据1、判定条件开启日志,配置按日期 rotateweblogic.system.en
9、ableReverseDNSLookups=true备注WebLogic Web 服务器安全配置基线中国移动集团公司 第 8 页 共 12 页第 4 章 IP协议安全配置4.1 IP 协议4.1.1 支持加密协议安全基线项目名称WebLogic 支持加密协议安全基线要求项安全基线编号SBL-WebLogic-04-01-01 安全基线项说明 对于通过 HTTP 协议进行远程维护的设备,设备应支持使用 HTTPS 等加密协议。检测操作步骤1、参考配置操作查看 WebLogic 安装目录下的 weblogic.properties 配置文件基线符合性判定依据1、判定条件weblogic.syste
10、m.SSLListenPort=portNumber weblogic.security.certificate.server=mycert.der weblogic.security.key.server=mykey.der weblogic.security.certificate.authority=CA.der weblogic.security.certificateCacheSize=5 weblogic.security.clientRootCA=anyValidCertificate weblogic.httpd.register.authenticated=weblogic.
11、t3.srvr.ClientAuthenticationServlet weblogic.httpd.register.T3AdminCaptureRootCA=admin.T3AdminCaptureRootCA SSL Enabled=“true“备注4.1.2 限制应用服务器 Socket 数量安全基线项目名称WebLogic 限制应用服务器 Socket 数量安全基线要求项安全基线编号SBL-WebLogic-04-01-02 安全基线项说明 Sockets 最大打开数目设置不当的话,容易受到拒绝服务攻击,超出操作系统文件描述符限制检测操作步 1、参考配置操作WebLogic Web
12、服务器安全配置基线中国移动集团公司 第 9 页 共 12 页骤 以管理员身份登录管理控制台1. 点击左侧面板的域名文件夹,然后点击 Servers 文件夹,双击要管理的服务器2. 在右侧面板的“Configuration”面板下选择“Tuning”标签,查看Maximum Open Sockets 值基线符合性判定依据1、判定条件要求 Maximum Open Sockets 不大于 1024。备注4.1.3 禁用 Send Server Header安全基线项目名称WebLogic 禁用 Send Server Header 安全基线要求项安全基线编号SBL-WebLogic-04-01-0
13、3 安全基线项说明 Sockets 最大打开数目设置不当的话,容易受到拒绝服务攻击,超出操作系统文件描述符限制检测操作步骤1、参考配置操作以管理员身份登录管理控制台1. 点击域名下的 Servers 文件夹,选择要管理的服务器2. 在右侧面板“Protocols”面板下,点击 HTTP 标签3. 检查是否勾选 Send Server header基线符合性判定依据1、判定条件要求禁止 Send Server header备注WebLogic Web 服务器安全配置基线中国移动集团公司 第 10 页 共 12 页第 5 章 设备其他配置操作5.1 安全管理5.1.1 定时登出安全基线项目名称We
14、bLogic 定时登出安全基线要求项安全基线编号SBL-WebLogic-05-01-01 安全基线项说明 对于具备字符交互界面的设备,应支持定时帐户自动登出。登出后用户需再次登录才能进入系统。检测操作步骤1、参考配置操作查看 WebLogic 安装目录下的 weblogic.properties 配置文件自动登出时间为 5 分钟。基线符合性判定依据1、判定条件weblogic.login.readTimeoutMillis=integer weblogic.login.readTimeoutMillisSSL=integer 备注5.1.2 更改默认端口*安全基线项目名称WebLogic 运行端口安全基线要求项安全基线编号SBL-WebLogic-05-01-02 安全基线项说明 更改 WebLogic 服务器默认端口检测操作步骤1、参考配置操作查看 WebLogic 安装目录下的 weblogic.properties 配置文件基线符合性判定依据1、判定条件weblogic.system.listenPort=integer备注 根据应用场景的不同,如部署场景需开启此功能,则强制要求此项。可能会影响系统。