如何在Ubuntu上配置WebLogic安全策略

Ubuntu上配置WebLogic安全策略

一 系统层安全基线

• 以非 root用户运行 WebLogic：创建专用系统账号与组（如 weblogic:weblogic），使用 sudo 启动管理脚本，避免以 root 直接启动域。此举可降低被提权风险。
• 更新系统与软件包：执行 apt update & & apt upgrade，及时修补漏洞。
• 配置防火墙：使用 ufw/iptables 仅开放必要端口（如 7001/8001/7002/9002 等实际监听端口），对管理口限制来源网段。
• SSH 加固：启用密钥登录、禁用 root 登录（PermitRootLogin no）、仅允许特定用户（AllowUsers），减少暴力破解面。
• 文件与目录权限：域目录与日志目录属主设为 weblogic，权限最小化（如 750/640），敏感文件（boot.properties、密钥库）仅对属主可读写。

二 Java Security Manager 策略配置

• 启用方式与原则
  • 通过 JVM 启动参数启用安全管理器：
    • 通用方式：java -Djava.security.manager -Djava.security.policy==/path/weblogic.policy weblogic.Server
    • 指定服务器名：java -Dweblogic.Name=AdminServer -Djava.security.manager -Djava.security.policy==/path/weblogic.policy weblogic.Server
  • 使用 WebLogic 提供的打印型安全管理器便于排错：
    -Djava.security.manager=weblogic.security.psm.PrintingSecurityManager
    -Doracle.weblogic.security.manager.printing.file=/var/log/weblogic/security-violations.log
  • 策略文件默认位置：$WL_HOME/wlserver/server/lib/weblogic.policy；该示例文件并不完整，需按实际配置补充权限。
• 最小可用策略示例（放入 weblogic.policy 或自定义 .policy 并通过 -Djava.security.policy 指定）
  • 授予管理控制台与部署所需的基础权限（示例为宽松策略，生产请收敛）：
    • permission java.util.PropertyPermission “*”, “read”;
    • permission java.lang.RuntimePermission “*”;
    • permission java.io.FilePermission “< > ”, “read,write”;
    • permission javax.management.MBeanPermission “", "”;
  • 说明：启用安全管理器后，若未显式指定策略文件，将使用 $JAVA_HOME/jre/lib/security/java.policy 的默认策略；应用打补丁引入新代码时，可能需要同步调整策略文件。
• 通过控制台或 Node Manager 启动时传递 JVM 参数
  • 在控制台选择目标服务器 → 配置 → 服务器启动参数，追加：
    -Djava.security.manager -Djava.security.policy==/opt/oracle/wlserver/server/lib/weblogic.policy
  • 使用 Node Manager 时，在目标服务器的 Start 页添加相同参数并选择“以安全模式启动”。

三 WebLogic 内置安全加固要点

• 运行模式与部署：将域设置为生产模式（关闭自动部署），减少误部署风险。
• 端口与协议：
  • 更改默认端口（如将 7001 改为 8001），降低自动化扫描命中率。
  • 启用 SSL 监听，修改默认 7002 端口，开启“SSL 拒绝日志记录”，主机名验证选择 BEA 主机名验证。
• 信息泄露防护：在服务器 → 协议 → HTTP 中取消勾选“发送服务器标头”。
• 会话与超时：
  • HTTP 登录超时 ≤ 5000 毫秒；SSL 登录超时 ≤ 10000 毫秒；控制台会话超时 ≤ 300 秒。
• 连接与资源：
  • 使用 Connection Filters 限制来源/目标地址与端口；
  • 限制“最大打开套接字数”（如 ≤ 254 或按容量评估设置），缓解资源耗尽风险。
• 日志与审计：启用 HTTP 访问日志；在安全领域启用 AuditingProvider，审计日志默认写入 DomainName/DefaultAuditRecorder.log。

四 验证与运维

• 启动校验：观察启动日志是否出现安全管理器相关错误；若使用打印型安全管理器，检查 /var/log/weblogic/security-violations.log 中的拒绝记录并逐项收敛权限。
• 连通性校验：仅允许放行的端口对外开放；对管理口实施来源 IP 白名单。
• 变更管理：应用或补丁更新后，回归验证策略是否仍满足运行需求，必要时调整 weblogic.policy 并滚动重启。
• 持续加固：定期更新 JDK/WebLogic 补丁，复核账号口令策略、会话超时与日志留存策略。

声明：本文内容由网友自发贡献，本站不承担相应法律责任。对本内容有异议或投诉，请联系2913721942#qq.com核实处理，我们将尽快回复您，谢谢合作！