WebLogic在Ubuntu上的安全配置

Ubuntu上 WebLogic 的安全配置清单

一 系统与服务账户加固

• 创建专用系统账户运行 WebLogic，禁止使用 root。示例：sudo groupadd -r weblogic & & sudo useradd -r -g weblogic -d /opt/weblogic -m weblogic；域目录与日志目录属主设为 weblogic：sudo chown -R weblogic:weblogic /opt/weblogic /var/log/weblogic。服务启动脚本以 weblogic 身份执行，避免提权。
• 以非 root 用户运行是 Linux/Unix 上运行中间件的基本安全实践，可有效降低被提权风险。

二 网络与端口加固

• 更改默认管理端口：将 7001/7002 改为不易猜测的高位端口（如 8001/8443），减少自动化扫描命中率。
• 启用 SSL/TLS 监听并修改默认 SSL 端口（避免使用 7002）；开启 SSL 拒绝日志 便于排查握手失败与非法握手；配置合适的 主机名验证 策略。
• 禁用或隐藏服务器标识：在控制台取消勾选 “发送服务器标头”，减少信息泄露。
• 限制访问来源：在 Ubuntu 使用 ufw 仅放行必要来源与端口，例如仅允许内网网段访问管理端口与应用端口：sudo ufw allow from 10.0.0.0/8 to any port 8001,8443 proto tcp；如需公网仅开放 443 并反向代理到 8443。
• 启用 WebLogic Connection Filters 限制域内外连接，仅允许应用所需协议与网段。

三 身份鉴别与会话安全

• 强化密码策略：在控制台 Security Realms > myrealm > Providers > DefaultAuthenticator > Provider Specific 设置最小长度 8，并配置至少包含数字/小写/大写/特殊字符中 2 类的复杂度；必要时设置周期性改密策略。
• 启用账号锁定：配置 Lockout Enabled=true、Lockout Threshold=10、Lockout Duration=300（单位秒，示例为 5 分钟），抵御暴力破解。
• 启用安全审计：在 Security → Realms → RealmName → Providers → Auditors 启用审计，审计日志默认写入 DomainName/DefaultAuditRecorder.log。
• 会话与超时：设置 HTTP 登录超时 ≤ 5000 毫秒、SSL 登录超时 ≤ 10000 毫秒、控制台会话超时 ≤ 300 秒，降低会话劫持与占用风险。

四 运行与资源限制

• 运行模式：将域设置为 生产模式，关闭自动部署，减少被恶意上传与热部署的风险。
• 文件描述符与连接数：在 Servers > 服务器 > Configuration > Tuning 将 Maximum Open Sockets 设为不超过系统 ulimit -n 的安全值（如 1024 或更低），防止 DoS。
• 目录浏览：在应用的 weblogic.xml 中关闭索引目录：< weblogic-web-app> < container-descriptor> < index-directory-enabled> false< /index-directory-enabled> < /container-descriptor> < /weblogic-web-app> 。
• 错误页面：为控制台与关键应用配置统一的 错误页面重定向，避免泄露堆栈与路径信息。

五 日志监控与补丁管理

• 启用 HTTP 访问日志（Servers > 服务器 > Logging > HTTP），记录客户端 IP、时间、请求与状态码，便于审计与溯源。
• 统一日志路径与轮转：将 SERVER 运行日志、HTTP 访问日志、DOMAIN 运行日志 输出到受控目录（如 /var/log/weblogic），配置合理的滚动与保留策略，集中采集到 rsyslog/ELK。
• 补丁与更新：建立 月度/季度 安全补丁评估与回归测试流程，及时应用官方 CPU/PSU 修复已知漏洞；订阅安全通告。
• 加固验证清单：变更后执行基线核查，包括端口与进程属主、SSL/TLS 配置、访问来源白名单、超时与锁定策略、审计与访问日志采集状态。

声明：本文内容由网友自发贡献，本站不承担相应法律责任。对本内容有异议或投诉，请联系2913721942#qq.com核实处理，我们将尽快回复您，谢谢合作！