weblogic在centos上如何进行安全配置

WebLogic 在 CentOS 的安全配置清单

一 系统与账户安全基线

• 创建专用的 weblogic 用户与组，避免使用 root 运行进程：groupadd weblogic；useradd -g weblogic weblogic；passwd weblogic。
• 强化口令策略：设置 PASS_MIN_LEN 10，排查空口令账户（awk -F “:” ‘($2 ==“” ) { print $1} ’ /etc/shadow），对不必要账户执行锁定（passwd -l < 用户名> ）。
• 限制特权访问：仅允许特定组使用 su（编辑 /etc/pam.d/su），设置 root 自动注销（在 /etc/profile 中设置 TMOUT=300），必要时锁定关键系统文件（chattr +i /etc/passwd /etc/shadow /etc/group /etc/gshadow）。
• 加固 SSH：编辑 /etc/ssh/sshd_config，设置 PermitRootLogin no，启用公钥认证，限制可登录用户/组。
• 启用并配置 SELinux 为 enforcing，最小化放宽策略。
• 配置 firewalld：仅放行必要端口（如 7001/TCP 或 HTTP/HTTPS），示例：firewall-cmd --zone=public --add-port=7001/tcp --permanent & & firewall-cmd --reload。
• 保持系统与 JDK/WebLogic 的及时更新与补丁管理。

二 WebLogic 运行与访问控制

• 以非 root 用户运行：使用 weblogic 用户启动域，遵循最小权限原则。
• 运行模式与部署：将域设置为 生产模式，关闭自动部署，避免示例应用与默认内容。
• 更改默认管理端口：将 7001 改为非标准端口，降低自动化扫描命中率。
• 启用 SSL/TLS：使用 keytool 生成 JKS 证书（keytool -genkey -alias myweblogic -keyalg RSA -keystore mykeystore.jks -keysize 2048），在控制台或 WLST 中配置 HTTPS 监听与证书，优先采用 TLS 1.2+。
• 网络与连接过滤：在 firewalld 限制来源网段；在 WebLogic 启用 Connection Filters 限制域内外访问，仅开放必要协议/端口。
• 会话与超时：配置 控制台会话超时、HTTP/HTTPS 超时，防止会话劫持与占用。
• 禁用或保护 Node Manager：不使用则禁用；如必须使用，仅监听本地回环、启用强认证与最小权限。

三 身份认证 授权与审计

• 安全域与提供者：在 Security Realms 中启用认证、授权、凭证映射、角色映射与 审计（Auditing） 提供者，记录关键操作与失败尝试。
• 口令与账户策略：在控制台设置 最小口令长度、复杂度与 账户锁定 策略，定期更换。
• 用户与权限管理：通过控制台或 WLST 创建用户/组并分配角色，遵循最小权限原则；示例 WLST：connect(‘weblogic’,‘weblogic1234’)；createUser(‘testUser’,‘testPassword’,‘AdminGroup’)；assignUser(‘testUser’,‘AdminGroup’)。
• 日志与监控：启用域日志与审计日志，集中采集并定期审计，关注异常登录、权限变更与配置修改。

四 加固与验证清单

• 信息泄露防护：禁用服务器 版本号/主机名 发送，配置 默认错误页面，禁止 目录列表（如 weblogic.httpd.indexDirectories=false）。
• 资源与 DoS 防护：限制 最大打开套接字数，设置进程/内存等资源限制，降低资源耗尽风险。
• 启动与终端安全：确保开机服务脚本仅 root 可操作，限制 root 可登录终端（/etc/securetty），避免登录横幅泄露系统信息。
• 变更与回滚：所有变更先在测试环境验证，保留回滚方案；变更窗口内密切监控。
• 定期巡检：持续更新 WebLogic/JDK/CentOS，复核用户与权限、证书有效期、防火墙与 Connection Filters 规则、日志与审计留存。

声明：本文内容由网友自发贡献，本站不承担相应法律责任。对本内容有异议或投诉，请联系2913721942#qq.com核实处理，我们将尽快回复您，谢谢合作！