WebLogic-Web服务器安全配置基线要点.doc

WebLogic Web服务器 安全配置基线 中国移动通信有限公司 管理信息系统部 2012年 04月 版本 版本控制信息 更新日期 更新人 审批人 V1.0 创建 2009年4月 V2.0 更新 2012年4月 备注： 1. 若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。 18 / 18 目 录 第1章 概述 4 1.1 目的 4 1.2 适用范围 4 1.3 适用版本 4 1.4 实施 4 1.5 例外条款 4 第2章 帐号管理、认证授权 5 2.1 帐号 5 2.1.1 系统启动帐号 5 2.1.2 帐号锁定策略 5 2.2 口令 6 2.2.1 密码复杂度 6 第3章 日志配置操作 7 3.1 日志配置 7 3.1.1 审核登录 7 第4章 IP协议安全配置 8 4.1 IP协议 8 4.1.1 支持加密协议 8 4.1.2 限制应用服务器Socket数量 8 4.1.3 禁用Send Server Header 9 第5章 设备其他配置操作 10 5.1 安全管理 10 5.1.1 定时登出 10 5.1.2 更改默认端口* 10 5.1.3 错误页面处理 11 5.1.4 目录列表访问限制 11 第6章 评审和修订 12 第1章 概述 1.1 目的 本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的WebLogic Web服务器应当遵循的安全性设置标准，本文档旨在指导系统管理人员进行WebLogic Web服务器的安全配置。 1.2 适用范围 本配置标准的使用者包括：服务器系统管理员、应用管理员、网络安全管理员。 本配置标准适用的范围包括：支持中国移动集团公司管理信息系统部运行的WebLogic Web服务器系统。 1.3 适用版本 8.x 9.x 10.x版本的WebLogic Web服务器。 1.4 实施 本标准的解释权和修改权属于中国移动集团管理信息系统部，在本标准的执行过程中若有任何疑问或建议，应及时反馈。 本标准发布之日起生效。 1.5 例外条款 欲申请本标准的例外条款，申请人必须准备书面申请文件，说明业务需求和原因，送交中国移动通信有限公司管理信息系统部进行审批备案。 第2章 帐号管理、认证授权 2.1 帐号 2.1.1 系统启动帐号 安全基线项目名称 WebLogic启动帐号安全基线要求项 安全基线编号 SBL-WebLogic-02-01-01 安全基线项说明 要求限制帐号 检测操作步骤 1、参考配置操作 查看以管理员身份登录控制台 执行# ps –ef| grep –i weblogic 基线符合性判定依据 1、判定条件 执行帐号不可以是root和nobody。 备注 2.1.2 帐号锁定策略 安全基线项目名称 WebLogic帐号锁定安全基线要求项 安全基线编号 SBL-WebLogic-02-01-02 安全基线项说明 要求设定帐号锁定次数和时间，错误输入密码10次，系统自动锁定，锁定时间5分钟。 检测操作步骤 1、参考配置操作 查看以管理员身份登录控制台 1. 点击左侧面板”Security”文件夹，展开”REALM” 2. 点击右侧面板中的”User Lock”标签，查看Lockout Enabled，Lockout Threshold，Lockout Duration等 基线符合性判定依据 1、判定条件 要求Lockout Enabled=true; Lockout Threshold=10; Lockout Duration=5 备注 2.2 口令 2.2.1 密码复杂度 安全基线项目名称 WebLogic密码复杂度安全基线要求项 安全基线编号 SBL-WebLogic-02-02-01 安全基线项说明 对于采用静态口令认证技术的设备，口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号四类中至少两类。且5次以内不得设置相同的口令。密码应至少每90天进行更换。 检测操作步骤 1、参考配置操作 查看WebLogic安装目录下的weblogic.properties配置文件 2、补充操作说明 口令要求：口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号四类中至少两类。且5次以内不得设置相同的口令。密码应至少每90天进行更换。 基线符合性判定依据 1、判定条件 weblogic.system.minPasswordLen=8等 备注 第3章 日志配置操作 3.1 日志配置 3.1.1 审核登录 安全基线项目名称 WebLogic审核登录安全基线要求项 安全基线编号 SBL-WebLogic-03-01-01 安全基线项说明 设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的帐号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址。 检测操作步骤 1、参考配置操作 查看WebLogic安装目录下的weblogic.properties配置文件 基线符合性判定依据 1、判定条件 开启日志，配置按日期rotate weblogic.system.enableReverseDNSLookups=true 备注 第4章 IP协议安全配置 4.1 IP协议 4.1.1 支持加密协议 安全基线项目名称 WebLogic支持加密协议安全基线要求项 安全基线编号 SBL-WebLogic-04-01-01 安全基线项说明 对于通过HTTP协议进行远程维护的设备，设备应支持使用HTTPS等加密协议。 检测操作步骤 1、参考配置操作 查看WebLogic安装目录下的weblogic.properties配置文件 基线符合性判定依据 1、判定条件 weblogic.system.SSLListenPort=portNumber weblogic.security.certificate.server=mycert.der weblogic.security.key.server=mykey.der weblogic.security.certificate.authority=CA.der weblogic.security.certificateCacheSize=5 weblogic.security.clientRootCA=anyValidCertificate weblogic.httpd.register.authenticated=\ weblogic.t3.srvr.ClientAuthenticationServlet weblogic.httpd.register.T3AdminCaptureRootCA=admin.T3AdminCaptureRootCA SSL Enabled="true" 备注 4.1.2 限制应用服务器Socket数量 安全基线项目名称 WebLogic限制应用服务器Socket数量安全基线要求项 安全基线编号 SBL-WebLogic-04-01-02 安全基线项说明 Sockets最大打开数目设置不当的话，容易受到拒绝服务攻击，超出操作系统文件描述符限制 检测操作步骤 1、参考配置操作 以管理员身份登录管理控制台 1. 点击左侧面板的域名文件夹，然后点击Servers文件夹，双击要管理的服务器 2. 在右侧面板的“Configuration”面板下选择“Tuning”标签，查看Maximum Open Sockets值 基线符合性判定依据 1、判定条件 要求Maximum Open Sockets不大于1024。 备注 4.1.3 禁用Send Server Header 安全基线项目名称 WebLogic禁用Send Server Header安全基线要求项 安全基线编号 SBL-WebLogic-04-01-03 安全基线项说明 Sockets最大打开数目设置不当的话，容易受到拒绝服务攻击，超出操作系统文件描述符限制 检测操作步骤 1、参考配置操作 以管理员身份登录管理控制台 1. 点击域名下的Servers文件夹，选择要管理的服务器 2. 在右侧面板“Protocols”面板下，点击HTTP标签 3. 检查是否勾选Send Server header 基线符合性判定依据 1、判定条件 要求禁止Send Server header 备注 第5章 设备其他配置操作 5.1 安全管理 5.1.1 定时登出 安全基线项目名称 WebLogic定时登出安全基线要求项 安全基线编号 SBL-WebLogic-05-01-01 安全基线项说明 对于具备字符交互界面的设备，应支持定时帐户自动登出。登出后用户需再次登录才能进入系统。 检测操作步骤 1、参考配置操作 查看WebLogic安装目录下的weblogic.properties配置文件 自动登出时间为5分钟。 基线符合性判定依据 1、判定条件 weblogic.login.readTimeoutMillis=integer weblogic.login.readTimeoutMillisSSL=integer 备注 5.1.2 更改默认端口* 安全基线项目名称 WebLogic运行端口安全基线要求项 安全基线编号 SBL-WebLogic-05-01-02 安全基线项说明 更改WebLogic服务器默认端口 检测操作步骤 1、参考配置操作 查看WebLogic安装目录下的weblogic.properties配置文件 基线符合性判定依据 1、判定条件 weblogic.system.listenPort=integer 备注 根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。可能会影响系统。 5.1.3 错误页面处理 安全基线项目名称 WebLogic错误页面处理安全基线要求项 安全基线编号 SBL-WebLogic-05-01-03 安全基线项说明 WebLogic错误页面重定向 检测操作步骤 1、参考配置操作 查看<Application HOME>/WEB-INF/web.xml: 基线符合性判定依据 1、 判定条件 要求包含如下片段： 备注 5.1.4 目录列表访问限制 安全基线项目名称 WebLogic目录列表安全基线要求项 安全基线编号 SBL-WebLogic-05-01-04 安全基线项说明 禁止WebLogic列表显示文件 检测操作步骤 1、参考配置操作 查看WebLogic安装目录下的weblogic.properties配置文件 基线符合性判定依据 1、判定条件 weblogic.httpd.indexDirectories=false 备注 第6章 评审和修订 本标准由中国移动通信有限公司管理信息系统部定期进行审查，根据审视结果修订标准，并颁发执行。