WebLogic_Web服务器安全配置基线.doc

1、 . WebLogic Web效劳器 平安配置基线 中国移动通信XX管理信息系统部 2021年 04月 版本 版本控制信息 更新日期 更新人 审批人 V1.0 创立 2021年4月 V2.0 更新

2、2021年4月 备注： 1. 假设此文档需要日后更新，请创立人填写版本控制表格，否那么删除版本控制表格。 . .word.. .

3、 . 目 录 第1章概述4 1.1目的4 1.2适用X围4 1.3适用版本4 1.4实施4 1.5例外条款4 第2章XX管理、认证授权5 2.1XX5 2.1.1系统启动XX5 2.1.2XX锁定策略5 2.2口令6 2.2.1密码复杂度6 第3章日志配置操作7 3.1日志配置7 3.1.1审核登录7 第4章IP协议平安配置8 4.1IP协议8 4.1.1支持加密协议8 4.1.2限制应用效劳器Socket数量8

4、4.1.3禁用Send Server Header9 第5章设备其他配置操作10 5.1平安管理10 5.1.1定时登出10 5.1.2更改默认端口*10 5.1.3错误页面处理11 5.1.4目录列表访问限制11 第6章评审与修订12 . .word.. .

5、 . 第1章 概述 1.1 目的 本文档规定了中国移动通信XX管理信息系统部门所维护管理的WebLogic Web效劳器应当遵循的平安性设置标准，本文档旨在指导系统管理人员进展WebLogicWeb效劳器的平安配置。 1.2 适用X围 本配置标准的使用者包括：效劳器系统管理员、应用管理员、网络平安管理员。 本配置标准适用的X围包括：支持中国移动集团公司管理信息系统部运行的WebLogic Web效劳器系统

6、 1.3 适用版本 8.x 9.x 10.x版本的WebLogicWeb效劳器。 1.4 实施 本标准的解释权和修改权属于中国移动集团管理信息系统部，在本标准的执行过程中假设有任何疑问或建议，应及时反应。 本标准发布之日起生效。 1.5 例外条款 欲申请本标准的例外条款，申请人必须准备书面申请文件，说明业务需求和原因，送交中国移动通信XX管理信息系统部进展审批备案。 第2章 XX管理、认证授权 2.1 XX 2.1.1 系统启动XX 平安基线工程名称 WebLogic启动XX平安基线要求项 平安基线编号 SBL-WebLogic-02-01-01

7、平安基线项说明 要求限制XX 检测操作步骤 1、参考配置操作 查看以管理员身份登录控制台 执行# ps –ef| grep –i weblogic 基线符合性判定依据 1、判定条件 执行XX不可以是root和nobody。 备注 2.1.2 XX锁定策略 平安基线工程名称 WebLogicXX锁定平安基线要求项 平安基线编号 SBL-WebLogic-02-01-02 平安基线项说明 要求设定XX锁定次数和时间，错误输入密码10次，系统自动锁定，锁定时间5分钟。 检测操作步骤 1、参考配置操作 查看以管理员身份登录控制台 1. 点击左侧

8、面板〞Security〞文件夹，展开〞REALM〞 2. 点击右侧面板中的〞User Lock〞标签，查看Lockout Enabled，Lockout Threshold，Lockout Duration等 基线符合性判定依据 1、判定条件 要求Lockout Enabled=true; Lockout Threshold=10; Lockout Duration=5 备注 2.2 口令 2.2.1 密码复杂度 平安基线工程名称 WebLogic密码复杂度平安基线要求项 平安基线编号 SBL-WebLogic-02-02-01 平安基线项说明 对于采用静

9、态口令认证技术的设备，口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号四类中至少两类。且5次以内不得设置一样的口令。密码应至少每90天进展更换。 检测操作步骤 1、参考配置操作 查看WebLogic安装目录下的weblogic.properties配置文件 2、补充操作说明 口令要求：口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号四类中至少两类。且5次以内不得设置一样的口令。密码应至少每90天进展更换。 基线符合性判定依据 1、判定条件 weblogic.system.minPasswordLen=8等 备注 第3章 日志配置操作 3.1 日

10、志配置 3.1.1 审核登录 平安基线工程名称 WebLogic审核登录平安基线要求项 平安基线编号 SBL-WebLogic-03-01-01 平安基线项说明 设备应配置日志功能，对用户登录进展记录，记录内容包括用户登录使用的XX，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址。 检测操作步骤 1、参考配置操作 查看WebLogic安装目录下的weblogic.properties配置文件 基线符合性判定依据 1、判定条件 开启日志，配置按日期rotate weblogic.system.enableReverseDNSLookups=true

11、备注 第4章 IP协议平安配置 4.1 IP协议 4.1.1 支持加密协议 平安基线工程名称 WebLogic支持加密协议平安基线要求项 平安基线编号 SBL-WebLogic-04-01-01 平安基线项说明 对于通过 协议进展远程维护的设备，设备应支持使用 S等加密协议。 检测操作步骤 1、参考配置操作 查看WebLogic安装目录下的weblogic.properties配置文件 基线符合性判定依据 1、判定条件 weblogic.system.SSLListenPort=portNumber weblogic.security

12、certificate.server=mycert.der weblogic.security.key.server=mykey.der weblogic.security.certificate.authority=CA.der weblogic.security.certificateCacheSize=5 weblogic.security.clientRootCA=anyValidCertificate weblogic. d.register.authenticated=\ weblogic.t3.srvr.ClientAuthenticationServlet

13、 weblogic. d.register.T3AdminCaptureRootCA=admin.T3AdminCaptureRootCA SSL Enabled="true" 备注 4.1.2 限制应用效劳器Socket数量 平安基线工程名称 WebLogic限制应用效劳器Socket数量平安基线要求项 平安基线编号 SBL-WebLogic-04-01-02 平安基线项说明 Sockets最大翻开数目设置不当的话，容易受到拒绝效劳攻击，超出操作系统文件描述符限制 检测操作步骤 1、参考配置操作 以管理员身份登录管理控制台 1. 点击左侧面板的域名

14、文件夹，然后点击Servers文件夹，双击要管理的效劳器 2. 在右侧面板的“Configuration〞面板下选择“Tuning〞标签，查看Maximum Open Sockets值 基线符合性判定依据 1、判定条件 要求Maximum Open Sockets不大于1024。 备注 4.1.3 禁用Send Server Header 平安基线工程名称 WebLogic禁用Send Server Header平安基线要求项 平安基线编号 SBL-WebLogic-04-01-03 平安基线项说明 Sockets最大翻开数目设置不当的话，容易受到拒绝效劳攻击

15、超出操作系统文件描述符限制 检测操作步骤 1、参考配置操作 以管理员身份登录管理控制台 1. 点击域名下的Servers文件夹，选择要管理的效劳器 2. 在右侧面板“Protocols〞面板下，点击 标签 3. 检查是否勾选Send Server header 基线符合性判定依据 1、判定条件 要求制止Send Server header 备注 第5章 设备其他配置操作 5.1 平安管理 5.1.1 定时登出 平安基线工程名称 WebLogic定时登出平安基线要求项 平安基线编号 SBL-WebLogic-05-01-01 平安基线项说明

16、 对于具备字符交互界面的设备，应支持定时XX自动登出。登出后用户需再次登录才能进入系统。 检测操作步骤 1、参考配置操作 查看WebLogic安装目录下的weblogic.properties配置文件 自动登出时间为5分钟。 基线符合性判定依据 1、判定条件 weblogic.login.readTimeoutMillis=integer weblogic.login.readTimeoutMillisSSL=integer 备注 5.1.2 更改默认端口* 平安基线工程名称 WebLogic运行端口平安基线要求项 平安基线编号 SBL-WebLogic-05

17、01-02 平安基线项说明 更改WebLogic效劳器默认端口 检测操作步骤 1、参考配置操作 查看WebLogic安装目录下的weblogic.properties配置文件 基线符合性判定依据 1、判定条件 weblogic.system.listenPort=integer 备注 根据应用场景的不同，如部署场景需开启此功能，那么强制要求此项。可能会影响系统。 5.1.3 错误页面处理 平安基线工程名称 WebLogic错误页面处理平安基线要求项 平安基线编号 SBL-WebLogic-05-01-03 平安基线项说明 WebLogic错误页面重

18、定向 检测操作步骤 1、参考配置操作 查看/WEB-INF/web.xml: 基线符合性判定依据 1、 判定条件 要求包含如下片段： 备注 5.1.4 目录列表访问限制 平安基线工程名称 WebLogic目录列表平安基线要求项 平安基线编号 SBL-WebLogic-05-01-04 平安基线项说明 制止WebLogic列表显示文件 检测操作步骤 1、参考配置操作 查看WebLogic安装目录下的weblogic.properties配置文件 基线符合性判定依据 1、判定条件 weblogic. d.indexDirectories=false 备注 第6章 评审与修订 本标准由中国移动通信XX管理信息系统部定期进展审查，根据审视结果修订标准，并颁发执行。 . .word..