Linux中WebLogic安全设置怎么做

Linux上WebLogic安全设置实操清单

一 系统级安全基线

• 以非 root 运行 WebLogic：创建专用系统账号与组，调整目录属主，使用 su - weblogic 启动服务，避免权限提升风险。示例：groupadd weblogic；useradd -g weblogic weblogic；chown -R weblogic:weblogic $WL_HOME $DOMAIN_HOME；启动：su - weblogic -c “$DOMAIN_HOME/bin/startWebLogic.sh”。
• 系统与SSH加固：更新系统补丁（yum/apt），禁用 root 远程登录（/etc/ssh/sshd_config：PermitRootLogin no），限制 su 使用组，必要时配置密钥登录与 MFA。
• 防火墙最小化放行：仅开放业务与管理端口（如 8001/8002），可按需限制来源网段。
• 文件与进程最小权限：关键目录 700，日志文件 600，禁止以 nobody 启动 WebLogic。
• SELinux/AppArmor：保持 enforcing 并做策略最小化放行，或 permissive 观察后再收紧。
• 审计与完整性：启用 auditd 监控关键文件（/etc/passwd、/etc/shadow、域目录与 keystore），部署 AIDE 做文件完整性校验。

二 WebLogic服务级安全配置

• 运行模式与部署：切换到生产模式（关闭自动部署），删除或禁用示例应用与 console（若非必须），减少攻击面。
• 端口与协议：修改默认 HTTP 7001/HTTPS 7002 为非常用端口（如 8001/8002），启用 SSL 监听，并在 SSL 高级中开启SSL 拒绝日志与合适的主机名验证。
• 认证与会话：配置账号锁定策略（如允许失败 5–6 次、锁定 ≥30 分钟），设置HTTP 登录超时 ≤5000 秒、HTTPS 登录超时 ≤10000 秒、控制台会话超时 ≤300 秒，降低会话劫持与暴力破解风险。
• 密码策略：在安全域的认证提供器中设置最小口令长度 ≥8，启用复杂度要求与口令有效期（如 90 天）。
• 日志与审计：启用HTTP 访问日志，在域级启用审计 Provider（FileAuditProvider），将日志集中到受限目录并设权限为仅管理员可读写（如 600）。

三 网络与访问控制

• 边界防火墙：仅放行业务与管理端口，可按网段白名单控制来源。示例：firewalld 放行 8001/tcp、8002/tcp；Ubuntu 可用 ufw 做同样限制。
• WebLogic 连接过滤器：在控制台启用 weblogic.security.net.ConnectionFilterImpl，编写规则仅允许内网或跳板机网段访问管理端口（如仅 192.168.1.0/24），对管理口实施“最小可达”原则。

四 加密通信与证书管理

• 证书与密钥：使用 keytool 生成 JKS 密钥库与自签名证书（测试环境），生产环境建议使用受信任 CA 签发的服务器证书；在控制台配置 SSL 监听端口、密钥库路径与密码。
• 协议与算法：启用 TLS 1.2+，禁用 SSLv3/TLS1.0/1.1 与弱加密套件（如 RC4、DES），在 SSL 高级选项中开启拒绝日志与主机名验证以抵御中间人攻击与误配。
• 传输面最小化：优先使用 HTTPS 访问控制台与应用，关闭明文管理通道；必要时在前端负载均衡或反向代理终止 SSL 并做 HSTS 与证书固定（pinning）。

五 维护与合规

• 补丁与JDK：定期关注 Oracle 安全公告与 CVE，及时应用 WebLogic 与 JDK 安全补丁；优先使用受支持的 JDK 版本（如 JDK 8u381+），并在测试环境验证后再上线。
• 自动化与基线：使用 WLST 批量创建用户/组/角色与策略，固化安全基线；定期做配置审计与漏洞扫描，形成闭环整改。
• 变更与回退：变更前备份 $DOMAIN_HOME 与 $WL_HOME，变更窗口内可回滚；对防火墙、SSL、端口与认证策略的变更需先在测试环境验证。

声明：本文内容由网友自发贡献，本站不承担相应法律责任。对本内容有异议或投诉，请联系2913721942#qq.com核实处理，我们将尽快回复您，谢谢合作！