centos中weblogic如何进行安全管理

CentOS 上 WebLogic 安全管理要点

一 系统层安全基线

• 创建专用的系统账号与组，WebLogic 进程以非 root 运行：groupadd weblogic；useradd -g weblogic weblogic；passwd weblogic。最小权限原则，禁止共享账号与默认示例账户。
• 强化口令与登录安全：设置复杂口令策略（长度≥10位，含大小写、数字、特殊字符），检查空口令账户；设置 root 自动注销 TMOUT（如 300 秒）；限制 su 使用范围；禁用 Ctrl+Alt+Del 重启；必要时对 /etc/passwd、/etc/shadow、/etc/group、/etc/gshadow 设置不可变属性（chattr +i）以防篡改。
• 最小化服务与信息泄露：仅开启必需服务，关闭不必要端口与示例应用；登录提示信息（如 /etc/issue）避免暴露系统与版本；限制 NFS 导出权限；配置资源限制与防 IP 欺骗、DoS。
• 防火墙与访问控制：启用 firewalld，仅放行必要端口（管理端口、应用端口、节点管理器端口等），并按需使用 WebLogic 的 Connection Filters 做二层网络边界控制。

二 域与身份安全

• 运行模式与部署：将域设置为生产模式，关闭自动部署，减少被植入风险。
• 用户与口令保护：WebLogic 域中所有口令以哈希形式保存在 SerializedSystemIni.dat，该文件与域强绑定，需离线备份并严格权限（仅管理员可读写）；严禁跨域拷贝。
• 账户锁定与防护：在“Domain > Security > User Lockout”启用账户锁定策略（失败次数、锁定时间、观察窗口），默认配置已较严格，放宽会降低安全性。
• 安全提供者体系：在“安全领域”按需配置并排序认证（Authentication）、授权（Authorization）、角色映射（Role Mapping）、裁决（Adjudication）、审计（Auditing）、凭证映射（Credential Mapping）等提供者；如需审计，启用 WebLogic Auditing Provider 或自定义审计提供者；如使用外部身份源，配置 LDAP/RDBMS 等认证提供者。
• 最小化 MBean 暴露：在“Domain > Security > General”将 Anonymous Admin Lookup Enabled 设为 false，避免匿名只读访问 MBean。

三 传输与网络加密

• 启用 SSL/TLS：配置密钥库与信任库（JKS 或 OPSS KSS），按需实施单向或双向 SSL；双向 SSL 要求客户端也提供证书。
• 演示与自签证书：开发/测试环境可使用 Demo Identity/Trust 与 DefaultHostnameVerifier；生产环境务必使用受信任 CA 签发的服务器/客户端证书，并正确配置主机名校验。
• 端口与协议：将管理通道与业务通道均迁移至 HTTPS，仅在内网可信网段保留 HTTP 调试端口；禁用明文协议与弱加密套件。

四 会话 日志 与 运维安全

• 会话与超时：配置控制台与应用的会话超时（如 15–30 分钟），启用 HTTP/HTTPS 超时与空闲回收，防止会话劫持与占用。
• 日志与审计：开启访问与应用日志，启用 WebLogic Auditing Provider 记录关键安全事件（登录、授权、角色变更等），集中采集与长期留存，定期审计与告警。
• 目录与信息泄露：关闭目录列表，配置默认错误页面，避免堆栈与版本信息外泄；限制发送服务器标头与版本号。
• 节点管理器：如不使用 Node Manager，禁用其自动启动与远程控制；若使用，仅限受控网络与强认证。
• 变更与合规：通过 WLST 脚本化用户、角色、策略与监听配置，纳入变更管理；定期更新 WebLogic 与 JDK 补丁，持续监控与漏洞扫描。

五 快速加固清单与示例命令

• 快速清单
  • 系统：创建 weblogic 用户与组；root TMOUT=300；锁定不必要 UID=0 账户；chattr +i /etc/{ passwd,shadow,group,gshadow} ；禁用 Ctrl+Alt+Del；仅放行必要端口（firewalld）。
  • 域：生产模式；启用账户锁定；SerializedSystemIni.dat 备份与 600 权限；Anonymous Admin Lookup=false；配置 LDAP/RDBMS 认证与授权/角色映射/审计提供者并排序。
  • 传输：JKS/KSS 配置；单向或双向 SSL；管理端口 7001→自定义高位端口并仅 HTTPS；禁用明文与弱套件。
  • 会话与日志：会话超时 15–30 分钟；开启访问/审计日志并集中存储；错误页与目录列表关闭。
  • 运维：WLST 管理；NM 按需禁用；补丁与漏洞扫描常态化。
• 示例命令（示例值，按现场调整）
  • 系统加固
    • 创建用户与组：groupadd weblogic；useradd -g weblogic weblogic；passwd weblogic
    • root 自动注销：echo “TMOUT=300” > > /etc/profile；source /etc/profile
    • 锁定多余 root 等价账户：passwd -l
    • 保护关键文件：chattr +i /etc/passwd /etc/shadow /etc/group /etc/gshadow
    • 防火墙放行示例：firewall-cmd --zone=public --add-port=7001/tcp --permanent；firewall-cmd --reload
  • SSL 单向示例（JKS）
    • 生成密钥库：keytool -genkeypair -alias server -keyalg RSA -keystore server.jks -keysize 2048 -storepass -dname “CN=weblogic,OU=Dev,O=Org,L=City,ST=State,C=CN”
    • 在控制台配置：Servers > > Configuration > Keystores 设置 Identity/Trust；Servers > > Configuration > SSL 启用监听并选择密钥库/别名；重启生效。
  • WLST 创建用户与组（示例）
    • connect(‘weblogic’,‘’,‘t3://:’)
    • createUser(‘appuser’,‘’)
    • createGroup(‘appgrp’)
    • assignUserToGroup(‘appuser’,‘appgrp’)
    • disconnect()
      提示：生产环境请使用受信任 CA 证书、禁用演示密钥库、严格限制管理端口访问来源，并定期演练备份恢复与应急。

声明：本文内容由网友自发贡献，本站不承担相应法律责任。对本内容有异议或投诉，请联系2913721942#qq.com核实处理，我们将尽快回复您，谢谢合作！