WebLogic 安全配置要求及操作指南

范圍
適用于使用的 Weblogic 服務(wù)器。本規(guī)范提出了 Weblogic 服務(wù)器安全配置
要求，適用于所有的安全等級(jí)，可作為編制設(shè)備入網(wǎng)測(cè)試、安全驗(yàn)收、安全檢查規(guī)范等
文檔的參考。
由于版本不同，配置操作有所不同，本規(guī)范以 unix 平臺(tái)上 Weblogic9.x 為例，給出
參考配置操作。
2 規(guī)范性引用文件
GB/T22239-2008《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求》
YD/T 1736-2008《互聯(lián)網(wǎng)安全防護(hù)要求》
YD/T 1738-2008《增值業(yè)務(wù)網(wǎng)—消息網(wǎng)安全防護(hù)要求》
YD/T 1740-2008《增值業(yè)務(wù)網(wǎng)—智能網(wǎng)安全防護(hù)要求》
YD/T 1758-2008《非核心生產(chǎn)單元安全防護(hù)要求》
YD/T 1752-2008《支撐網(wǎng)安全防護(hù)要求》
3 縮略語(yǔ)

SSL Secure Sockets Layer 安全套接層
HTTP HyperText Transfer Protocol 超文本傳輸協(xié)議

4 安全配置要求
4.1 賬號(hào)
編號(hào)：1
要求內(nèi)容 為不同的管理用戶分配不同的角色
參考操作

以管理員身份登錄控制臺(tái)

1. 點(diǎn)擊左側(cè)面板”Security”文件夾，展開(kāi)”REALM”
2. 點(diǎn)擊 ”Users” 文件夾，修改非特權(quán)用戶為角色
   Administrators、Deployers、Monitors、Operators 之一

2 檢測(cè)方法
1、判定條件
2、檢測(cè)操作
以管理員身份登錄控制臺(tái)

1. 點(diǎn)擊左側(cè)面板”Security”文件夾，展開(kāi)”REALM”
2. 點(diǎn)擊”Users”文件夾，查看用戶所屬組及組、全局角色配置

編號(hào)：2
要求內(nèi)容 應(yīng)刪除與設(shè)備運(yùn)行、維護(hù)等工作無(wú)關(guān)的賬號(hào)
參考操作

以管理員身份登錄控制臺(tái)

1. 點(diǎn)擊左側(cè)面板”Security”文件夾，展開(kāi)”REALM”
2. 點(diǎn)擊”Users”文件夾，刪除與設(shè)備運(yùn)行、維護(hù)等工作無(wú)關(guān)的
   賬號(hào)
   檢測(cè)方法 1、判定條件
   沒(méi)有與設(shè)備運(yùn)行、維護(hù)等工作無(wú)關(guān)的賬號(hào)

編號(hào)：3
要求內(nèi)容 禁止以特權(quán)用戶身份運(yùn)行 WebLogic
操作指南 1、參考配置操作
以WebLogic管理員身份登錄管理控制臺(tái),執(zhí)行：

1. 在左面板，點(diǎn)擊”Machine”文件夾
2. 在右面板，選擇“Configure a New Unix Machine link”
3. 輸入 unix 機(jī)器名,勾選” Enable Post-bind UID field”并輸入用戶名,
   該用戶名必須對(duì) BEA_HOME 及子目錄有完全控制權(quán)限，輸入對(duì)應(yīng)組(用
   戶名和組名須事先在 OS中單獨(dú)創(chuàng)建),點(diǎn)擊”Apply”按鈕. 注意：不要使用
   默認(rèn)的 nobody用戶。

4. 選擇”Servers”標(biāo)簽. 從”Available list” 移動(dòng) 每個(gè)想要的服務(wù)器實(shí)例到
   “Chosen list”. 然后擊”Apply”按鈕

檢測(cè)方法 1、判定條件
以特權(quán)用戶身份啟動(dòng)應(yīng)用服務(wù)器， 綁定端口之后改變 UID和 GID到非特
權(quán)用戶和組
2、檢測(cè)操作
以root身份執(zhí)行：

ps –ef| grep –i weblogic

以WebLogic管理員身份登錄管理控制臺(tái),執(zhí)行：

1. 在左面板，點(diǎn)擊”Machine”文件夾
2. 在右面板，查看是否配置”Unix Machine link”

編號(hào) 4：
要求內(nèi)容 開(kāi)啟主機(jī)名認(rèn)證，設(shè)置 Hostname Verification 值為”Bea Hostname
Verifier”
參考操作
設(shè)置Hostname Verification值為”Bea Hostname Verifier”
以管理員身份登錄管理控制臺(tái)：

1. 點(diǎn)擊左面板域名文件夾，然后點(diǎn)擊“servers”文件夾，點(diǎn)擊要管理的

4
服務(wù)器名

2. 在右側(cè)面板的”configuration”面板下的”Keystore &SSL”標(biāo)簽中， 點(diǎn)擊
   Advanced option中 “Show”項(xiàng)，查看Client attribute下的Hostname
   Verification值,設(shè)置為”Bea Hostname Verifier”
   檢測(cè)方法 1、判定條件
   2、檢測(cè)操作
   以管理員身份登錄管理控制臺(tái)：
3. 點(diǎn)擊左面板域名文件夾，然后點(diǎn)擊“servers”文件夾，點(diǎn)擊要管理的
   服務(wù)器名
4. 在右側(cè)面板的”configuration”面板下的”Keystore &SSL”標(biāo)簽中， 點(diǎn)擊
   Advanced option中 “Show”項(xiàng)，查看Client attribute下的Hostname
   Verification值

4.2 口令
編號(hào)：1
要求內(nèi)容 對(duì)于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，口令長(zhǎng)度至少 8 位，并包括數(shù)
字、小寫(xiě)字母、大寫(xiě)字母和特殊符號(hào) 4 類(lèi)中至少 3 類(lèi)
操作指南 以管理員身份登錄控制臺(tái)

1. 點(diǎn)擊左側(cè)面板”Security”文件夾，展開(kāi)”REALM”
2. 點(diǎn)擊”Users”文件夾，設(shè)置口令長(zhǎng)度至少 8 位，并包括數(shù)字、小寫(xiě)字
   母、大寫(xiě)字母和特殊符號(hào) 4 類(lèi)中至少 3 類(lèi)
   檢查 WebLogic 安裝目錄下的 weblogic.properties 配置文件中參數(shù)
   weblogic.system.minPasswordLen=8
   檢測(cè)方法 1、判定條件
   2、檢測(cè)操作

編號(hào)：2
要求內(nèi)容 對(duì)于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備， 應(yīng)配置當(dāng)用戶連續(xù)認(rèn)證失敗次數(shù)超
過(guò)6次（不含6次） ，鎖定該用戶使用的賬號(hào)
操作指南 1、參考配置操作
設(shè)定帳號(hào)鎖定次數(shù)和時(shí)間
以管理員身份登錄控制臺(tái)

1. 點(diǎn)擊左側(cè)面板”Security”文件夾，展開(kāi)”REALM”
2. 點(diǎn)擊右側(cè)面板中的”User Lock”標(biāo)簽，設(shè)定 Lockout Enabled，Lockout
   5
   Threshold 值為 5，Lockout Duration 為30（分鐘）

檢測(cè)方法 1、判定條件
2、檢測(cè)操作
以管理員身份登錄控制臺(tái)

1. 點(diǎn)擊左側(cè)面板”Security”文件夾，展開(kāi)”REALM”
2. 點(diǎn)擊右側(cè)面板中的”User Lock”標(biāo)簽，查看鎖定閾值，鎖定持續(xù)時(shí)間，
   鎖定重置持續(xù)時(shí)間
   4.3 日志
   編號(hào) 1：
   要求內(nèi)
   容
   開(kāi)啟日志功能
   參考操
   作

以管理員身份登錄管理控制臺(tái)

1. 點(diǎn)擊域名，在右側(cè)面板選擇“Configuration”標(biāo)簽
2. 選擇logging標(biāo)簽，設(shè)置域級(jí)日志，勾選如下圖紅色標(biāo)記部分

6

3. 點(diǎn)擊域名下 servers 下的服務(wù)器名，在右側(cè)面板選擇“Logging”標(biāo)簽，選擇
   Domain，勾選”Log to Domain Log file”

4. 同上，點(diǎn)擊 Server標(biāo)簽，配置服務(wù)器級(jí)日志，勾選”Log to stdout”等，如
   下紅色標(biāo)記項(xiàng)
   7

5. 同上，點(diǎn)擊“HTTP”標(biāo)簽，按如下紅色標(biāo)記部分進(jìn)行配置

8
檢測(cè)方法 1、判定條件
開(kāi)啟日志功能

編號(hào) 2：
要求內(nèi)
容
配置日志審計(jì)
參考
操作

以管理員身份登錄控制臺(tái)

1. 點(diǎn)擊左側(cè)面板Security文件夾,展開(kāi)provider,然后點(diǎn)擊Auditing文件夾

2. 查看是否配置Auditor，如無(wú)則選擇”Configure a new Default Auditor”并設(shè)置
   審計(jì)級(jí)另為FAILURE.

3. 點(diǎn)擊左側(cè)面板中域名下的服務(wù)器，在右側(cè)面板“General”標(biāo)簽中設(shè)置
   Configuration Auditing為logAudit

檢測(cè)方
法
1、判定條件
配置了審計(jì)，設(shè)置審計(jì)級(jí)另為 FAILURE，Configuration Auditing 為
logAudit
2、檢測(cè)操作
以管理員身份登錄控制臺(tái)

1. 點(diǎn)擊左側(cè)面板 Security文件夾,展開(kāi) provider,然后點(diǎn)擊 Auditing文件夾

2. 查看是否配置 Auditor，對(duì)照如下圖的紅色標(biāo)記部分配置

   9

3. 點(diǎn)擊左側(cè)面板中域名下的服務(wù)器，對(duì)照如下圖的紅色標(biāo)記部分配置
   4.4 Keystore 和SSL設(shè)置
   編號(hào) 1：
   要求內(nèi)容 合理設(shè)置 WebLogic Keystore 和 SSL
   操作指南 創(chuàng)建用戶自已的私有密鑰和數(shù)字證書(shū)
   以管理員身份登錄管理控制臺(tái)：
4. 點(diǎn)擊左面板域名文件夾，然后點(diǎn)擊“servers”文件夾，點(diǎn)擊要管理的
   服務(wù)器名
5. 在右側(cè)面板的”configuration”面板下的”Keystore &SSL”標(biāo)簽中，點(diǎn)
   擊Keystore configuration中 “Change”項(xiàng)，改變默認(rèn)私有密鑰設(shè)置
6. 同上點(diǎn)擊SSL configuration中 “Change”項(xiàng)，改變默認(rèn)私有密鑰設(shè)置
7. 同上點(diǎn)擊”Advanced option”中”Show”項(xiàng)，勾選” SSLRejection
   Logging Enabled”
   檢測(cè)方法 以管理員身份登錄管理控制臺(tái)：
8. 點(diǎn)擊左面板域名文件夾，然后點(diǎn)擊“servers”文件夾，點(diǎn)擊要管理的
   服務(wù)器名

10

2. 在右側(cè)面板的”configuration”面板下的”Keystore &SSL”標(biāo)簽中查看
   如下圖相應(yīng)紅色標(biāo)記部分和藍(lán)色標(biāo)記部分

4.5 Sockets最大打開(kāi)數(shù)量
編號(hào) 1：
要求內(nèi)容 合理設(shè)置應(yīng)用服務(wù)器 Sockets 最大打開(kāi)數(shù)量
操作指南 1、 參考配置操作：
11
以管理員身份登錄管理控制臺(tái)

1. 點(diǎn)擊左側(cè)面板的域名文件夾，然后點(diǎn)擊Servers文件夾，雙
   擊要管理的服務(wù)器
2. 在右側(cè)面板的“Configuration”面板下選擇“Tuning”標(biāo)簽
3. 設(shè)置” Maximum Open Sockets”為254 或其它用戶設(shè)定值
   備注：此項(xiàng)操作需開(kāi)發(fā)人員在測(cè)試機(jī)修改后測(cè)試，應(yīng)用正常然后
   再在生產(chǎn)機(jī)器上修改
   檢測(cè)方法 以管理員身份登錄管理控制臺(tái)
4. 點(diǎn)擊左側(cè)面板的域名文件夾，然后點(diǎn)擊Servers文件夾，雙擊
   要管理的服務(wù)器
5. 在右側(cè)面板的“Configuration”面板下選擇“Tuning”標(biāo)簽，查看
   Maximum Open Sockets 值

4.6 文件和目錄權(quán)限
編號(hào)：1
要求內(nèi)容 合理設(shè)置文件與目錄權(quán)限，沒(méi)有不必要的權(quán)限，也不存在不必要
的文件
參考操作

對(duì)啟動(dòng)和環(huán)境腳本限制權(quán)限為710，確認(rèn)BEA_HOME屬主為
weblogic用戶，對(duì)不必要的工具文件設(shè)置權(quán)限為700并改后綴名
為.predeleted
以root 身份執(zhí)行以下操作：

chown –R “weblogicuser” $BEA_HOME

find $BEA_HOME/ -name *.sh |xargs chmod 710

#檢查不必要工具文件，并將限制權(quán)限為 700

tar cvf beahome.date '+%y%m%d'.tar $BEA_HOME

find $WL_HOME/ -name config_builder.sh |xargs chmod 700

find $WL_HOME/ -name startWLBuilder.sh |xargs chmod 700

find $WL_HOME/ -name jcommon-0.7.0.jar |xargs chmod 700

find $WL_HOME/ -name PointBase |xargs chmod 700

find $WL_HOME/ -name medrec |xargs chmod 700

#檢查不必要工具文件，并改名為.predeleted
#mv config_builder.sh config_builder.sh.predeleted
#mv startWLBuilder.sh startWLBuilder.sh.predeleted
#mv jcommon-0.7.0.jar jcommon-0.7.0.jar.predeleted
#mv PointBase PointBase.predeleted
#mv medrec medrec .predeleted
檢測(cè)方法
以root 身份執(zhí)行以下操作：

ls –alR $BEA_HOME

find $BEA_HOME/ -name *.sh |xargs ls –al

12
#查找不必要的工具文件

find $BEA_HOME/ -name config_builder.sh |xargs ls –al

find $BEA_HOME/ -name startWLBuilder.sh |xargs ls –al

find $BEA_HOME/ -name jcommon-0.7.0.jar |xargs ls –al

find $WL_HOME/ -name PointBase |xargs ls –al

find $WL_HOME/ -name medrec |xargs ls –al

4.7 WebLogic運(yùn)行模式
編號(hào)：1
要求內(nèi)容 更改運(yùn)行模式為”P(pán)roduction Mode”
參考操作

以管理員身份登錄管理控制臺(tái)

1. 點(diǎn)擊域名，在右側(cè)面板選中”Genaral”標(biāo)簽
2. 勾選” Production Mode”，更改運(yùn)行模式為” Production
   Mode”
   檢測(cè)方法
   以root身份執(zhí)行：

3. find $BEA_HOME/ -name myserver.log | grep –i

   “Production Mode”

   find $BEA_HOME/ -name setEnv.sh | grep –i “Production

   Mode”

4. 以管理員身份登錄管理控制臺(tái),點(diǎn)擊域名，在右側(cè)面板選
   中”Genaral”標(biāo)簽,查看是否勾選” Production Mode”

4.8 Sender Server Header
編號(hào)：1
要求內(nèi)容 禁用 Send Server header
參考操作

以管理員身份登錄管理控制臺(tái)

1. 點(diǎn)擊域名下的Servers文件夾，選擇要管理的服務(wù)器
2. 在右側(cè)面板“Protocols”面板下，點(diǎn)擊HTTP標(biāo)簽
3. 去掉 Send Server header 項(xiàng)前面的勾,禁止 Send Server
   header
   檢測(cè)方法
   以管理員身份登錄管理控制臺(tái)
4. 點(diǎn)擊域名下的Servers文件夾，選擇要管理的服務(wù)器
5. 在右側(cè)面板“Protocols”面板下，點(diǎn)擊HTTP標(biāo)簽
6. 檢查是否勾選 Send Server header

4.9 刪除Sample程序
13
編號(hào)：1
要求
內(nèi)容
刪除sample程序
參考
操作

以管理員身份登錄管理控制臺(tái)
1．點(diǎn)擊”Deployment”文件夾，查看是否有如下形式應(yīng)用存在：
2．# find $BEA_HOME/ -name sample | xargs rm –rf
檢測(cè)
方法

1. 以root權(quán)限執(zhí)行

   find $BEA_HOME/ -name sample –print

2. 以管理員身份登錄管理控制臺(tái)
   a) 點(diǎn)擊”Deployment”文件夾，查看是否有如下形式應(yīng)用存在：

   b) 展開(kāi)”Deployment”子文件夾，查看是否存在以上形式內(nèi)容，其path中包
   含“samples“目錄, 如下圖

14

4.10 設(shè)定默認(rèn)出錯(cuò)頁(yè)面
編號(hào)：1
要求內(nèi)容 重新在應(yīng)用程序 web.xml 中定義默認(rèn)出錯(cuò)頁(yè)面
參考操作

編輯<Application HOME>/WEB-INF/web.xml ， 加入 error-page
定義
檢測(cè)方法
1、判斷依據(jù)：

2、檢查操作：
以root身份執(zhí)行：

cat <Application HOME>/WEB-INF/web.xml

4.11 session超時(shí)時(shí)間
編號(hào)：1
要求內(nèi)容 根據(jù)具體應(yīng)用，合理設(shè)置 session 超時(shí)時(shí)間
參考操作

在應(yīng)用程序的 web.xml 中定義 session超時(shí)時(shí)間，例如，以下設(shè)
置表示 session超時(shí)時(shí)間為 15分鐘
15
<session-config>
<session-timeout>15</session-timeout>
</session-config>

檢測(cè)方法 檢查是否在應(yīng)用程序的 web.xml 中定義了 session 超時(shí)時(shí)間

4.12 補(bǔ)丁
編號(hào)：1
要求內(nèi)容 在不影響業(yè)務(wù)的情況下，升級(jí)到最新補(bǔ)丁，而且該補(bǔ)丁要通過(guò)實(shí)
驗(yàn)測(cè)試
參考操作
安裝最新安全相關(guān)補(bǔ)丁包，安全補(bǔ)丁下載需要 BEA 公司授權(quán)，
WebLogic 安全公告 URL：
http://dev2dev.bea.com/advisoriesnotifications/

檢測(cè)方法

1. 以管理員身份登錄管理控制臺(tái), 右鍵點(diǎn)擊左側(cè)面板ConWLe圖
   標(biāo)，選擇“View Server & Browser Info”,查看版本號(hào)
   2．以 root 身份執(zhí)行：

   cat $BEA_HOME/logs/log.txt

4.13 HTTP加密協(xié)議
要求內(nèi)容 對(duì)于通過(guò) HTTP 協(xié)議進(jìn)行遠(yuǎn)程維護(hù)的設(shè)備，設(shè)備應(yīng)支持使用
HTTPS等加密協(xié)議。
操作指南 1、參考配置操作
以管理員身份登錄管理控制臺(tái)：

1. 點(diǎn)擊左面板域名文件夾，然后點(diǎn)擊“servers”文件夾，點(diǎn)擊要管
   理的服務(wù)器名
2. 在右側(cè)面板的”configuration”面板下的”Keystore &SSL”標(biāo)簽
   中，啟用 ssl configure
   檢測(cè)方法 1、判定條件
   2、檢測(cè)操作

4.14 連接數(shù)設(shè)置
要求內(nèi)容 根據(jù)機(jī)器性能和業(yè)務(wù)需求，設(shè)置最大最小連接數(shù)。
操作指南 1、 參考配置操作

16
以管理員身份登錄管理控制臺(tái)

1. 點(diǎn)擊左側(cè)面板的域名文件夾，然后點(diǎn)擊Servers文件夾，雙擊要管理
   的服務(wù)器
2. 在右側(cè)面板的“Configuration”面板下選擇“Tuning”標(biāo)簽
3. 設(shè)置” Maximum Open Sockets”為254 或其它用戶設(shè)定值
   2、 補(bǔ)充操作說(shuō)明
   檢測(cè)方法 1、判定條件
   2、檢測(cè)操作
   檢查當(dāng)前的連接數(shù)