WebLogic-Web服務(wù)器安全配置基線(同名23086)

1、WebLogic-Web服務(wù)器安全配置 基線（同名23086）WebLogic Web 服務(wù)器安全配置基線版本版本控制信息更新日 期更新 人審批 人V1.0創(chuàng)建2009年4月V2.0更新2012年4月備注：1.若此文檔需要日后更新，請(qǐng)創(chuàng)建人填寫版本控制表格，否則刪除版本控制表格第1章概述61.1 目的61.2 適用范圍61.3 適用版本61.4 實(shí)施61.5 例外條款6第2章帳號(hào)管理、認(rèn)證授權(quán) 72.1 帳號(hào)72.1.1 系統(tǒng)啟動(dòng)帳號(hào)72.1.2 帳號(hào)鎖定策略82.2 口令92.2.1 密碼復(fù)雜度9第3章日志配置操作 113.1 日志配置113.1.1 審核登錄11第4章 IP協(xié)議安全配置 1

2、34.1 IP 協(xié)議 134.1.1 支持加密協(xié)議 134.1.2 限制應(yīng)用服務(wù)器 Socket數(shù)量 154.1.3 禁用 Send Server Header 16第5章設(shè)備其他配置操作 185.1 安全管理185.1.1 定時(shí)登出185.1.2 更改默認(rèn)端口 * 195.1.3 錯(cuò)誤頁(yè)面處理205.1.4 目錄列表訪問(wèn)限制 21第6章評(píng)審與修訂23第 1章 概述1.1 目的 本文檔旨在指導(dǎo)系統(tǒng)管理人員進(jìn)行WebLogic Web 服務(wù)器的安全配置。1.2 適用范圍 本配置標(biāo)準(zhǔn)的使用者包括： 服務(wù)器系統(tǒng)管理員、應(yīng)用管理員、網(wǎng)絡(luò)安全管理員。1.3 適用版本8.x 9.x 10.x 版本的 We

3、bLogic Web 服務(wù)器。1.4 實(shí)施1.5 例外條款第2章帳號(hào)管理、認(rèn)證授權(quán)2.1 帳號(hào)2.1.1系統(tǒng)啟動(dòng)帳號(hào)安全WebLogic啟動(dòng)帳號(hào)安全基線要求項(xiàng)基線項(xiàng)目名稱安全SBL-WebLogic-02-01-01基線編號(hào)安全要求限制帳號(hào)基線項(xiàng)說(shuō)明檢測(cè)1、參考配置操作操作查看以管理員身份登錄控制臺(tái)步驟執(zhí)行 # ps -ef| grep - weblogic基線1、判定條件符合執(zhí)行帳號(hào)不可以是root和nobody。性判定依 據(jù)備注2.1.2帳號(hào)鎖定策略安全 基線 項(xiàng)目 名稱WebLogic帳號(hào)鎖定安全基線要求項(xiàng)安全基線編號(hào)SBL-WebLogic-02-01-02安全 基線 項(xiàng)說(shuō)明要求設(shè)定帳

4、號(hào)鎖定次數(shù)和時(shí)間，錯(cuò)誤輸 入密碼10次，系統(tǒng)自動(dòng)鎖定，鎖定時(shí)間 5分鐘。檢測(cè)操作步驟1、參考配置操作查看以管理員身份登錄控制臺(tái)1. 點(diǎn)擊左側(cè)面板 Security文件夾，展開(kāi)” REALM ”2. 點(diǎn)擊右側(cè)面板中的”User Lock”標(biāo)簽，查 看 Lockout Enabled ， Lockout Threshold， Lockout Duration 等基線 符合 性判 定依 據(jù)1、判定條件要求 Lockout Enabled=true;Lockout Threshold=10;Lockout Durati on=5備注2.2 口令2.2.1密碼復(fù)雜度安全 基線 項(xiàng)目 名稱WebLogic

5、密碼復(fù)雜度安全基線要求項(xiàng)安全基線編號(hào)SBL-WebLogic-02-02-01安全 基線對(duì)于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，口 令長(zhǎng)度至少8位，并包括數(shù)字、小寫字項(xiàng)說(shuō) 明母、大寫字母和特殊符號(hào)四類中至少兩 類。且5次以內(nèi)不得設(shè)置相同的口令。 密碼應(yīng)至少每90天進(jìn)行更換。檢測(cè)操作步驟1、參考配置操作查看 WebLogic 安裝目錄下的 perties 配置文件2、補(bǔ)充操作說(shuō)明口令要求：口令長(zhǎng)度至少 8位，并包括 數(shù)字、小與字母、大與字母和特殊符號(hào) 四類中至少兩類。且5次以內(nèi)不得設(shè)置 相同的口令。密碼應(yīng)至少每90天進(jìn)行更 換?；€ 符合 性判 定依 據(jù)1、判定條件weblogi

6、c.system.minPasswordLen=8 等備注第3章日志配置操作3.1 日志配置3.1.1審核登錄安全WebLogic審核登錄安全基線要求項(xiàng)基線項(xiàng)目名稱安全SBL-WebLogic-03-01-01基線編號(hào)安全設(shè)備應(yīng)配置日志功能，對(duì)用戶登錄進(jìn)行基線記錄，記錄內(nèi)容包括用戶登錄使用的帳項(xiàng)說(shuō)號(hào)，登錄是否成功，登錄時(shí)間，以及遠(yuǎn)明程登錄時(shí)，用戶使用的IP地址。檢測(cè)1、參考配置操作操作查看 WebLogic 安裝目錄下的步驟perties 配置文件基線1、判定條件符合開(kāi)啟日志，配置按日期rotate性判 定依 據(jù)weblogic.system.e nableRevers

7、eDNSLookups=true備注第4章IP協(xié)議安全配置4.1 IP協(xié)議4.1.1支持加密協(xié)議安全WebLogic支持加密協(xié)議安全基線要求基線項(xiàng)項(xiàng)目名稱安全SBL-WebLogic-04-01-01基線編號(hào)安全對(duì)于通過(guò)HTTP協(xié)議進(jìn)行遠(yuǎn)程維護(hù)的設(shè)基線備，設(shè)備應(yīng)支持使用 HTTPS等加密協(xié)項(xiàng)說(shuō)議。明檢測(cè)1、參考配置操作操作查看 WebLogic 安裝目錄下的步驟perties 配置文件基線1、判定條件符合 性判 定依 據(jù)weblogic.system.SSLListe nPort=portNumber weblogic.security.certificate.serv

8、 er= mycert.der weblogic.security.key.server=mykey.der weblogic.security.certificate.auth ority= CA.der weblogic.security.certificateCache Size=5 weblogic.security.clie ntRootCA=anyValidCertificate weblogic.httpd.register.authe ntica ted= weblogic.t3.srvr.Clie ntAuthe nticat ion Servlet weblogic.htt

9、pd.register.T3Admi nCap tureRootCA=admi n.T3Admi nCaptureRoo tCA SSL En abled=true備注4.1.2限制應(yīng)用服務(wù)器 Socket數(shù)量安全 基線 項(xiàng)目 名稱WebLogic限制應(yīng)用服務(wù)器Socket數(shù)量 安全基線要求項(xiàng)安全 基線 編號(hào)SBL-WebLogic-04-01-02安全 基線 項(xiàng)說(shuō)明Sockets最大打開(kāi)數(shù)目設(shè)置不當(dāng)?shù)脑挘?易受到拒絕服務(wù)攻擊，超出操作系統(tǒng)文 件描述符限制檢測(cè)操作步驟1、參考配置操作以管理員身份登錄管理控制臺(tái)1點(diǎn)擊左側(cè)面板的域名文件夾，然后點(diǎn) 擊Servers文件夾，雙擊要管理的服務(wù)器2.在

10、右側(cè)面板的“ Configuration ”面板 下選擇“ Tuning ”標(biāo)簽，查看 Maximum Ope n Sockets 值基線 符合1、判定條件要求 Maximum Open Sockets 不大于 1024。性判 定依 據(jù)備注4.1.3 禁用 Send Server Header安全 基線 項(xiàng)目 名稱WebLogic 禁用 Send Server Header 安全 基線要求項(xiàng)安全基線編號(hào)SBL-WebLogic-04-01-03安全 基線 項(xiàng)說(shuō)明Sockets最大打開(kāi)數(shù)目設(shè)置不當(dāng)?shù)脑?，?易受到拒絕服務(wù)攻擊，超出操作系統(tǒng)文 件描述符限制檢測(cè)操作步驟1、參考配置操作以管理員身份登

11、錄管理控制臺(tái)1. 點(diǎn)擊域名下的Servers文件夾，選擇 要管理的服務(wù)器2. 在右側(cè)面板“ Protocols面板下，點(diǎn)擊HTTP標(biāo)簽3.檢查是否勾選Send Server header基線 符合 性判 定依 據(jù)1、判定條件要求禁止 Send Server header備注第5章設(shè)備其他配置操作5.1安全管理5.1.1定時(shí)登出安全 基線 項(xiàng)目 名稱WebLogic定時(shí)登出安全基線要求項(xiàng)安全基線編號(hào)SBL-WebLogic-05-01-01安全 基線 項(xiàng)說(shuō)明對(duì)于具備字符交互界面的設(shè)備，應(yīng)支持 定時(shí)帳戶自動(dòng)登出。登出后用戶需再次 登錄才能進(jìn)入系統(tǒng)。檢測(cè)操作步驟1、參考配置操作查看 WebLogic

12、 安裝目 perties 配置文件 自動(dòng)登出時(shí)間為5分鐘。錄下的基線 符合 性判 定依 據(jù)1、判定條件weblogic .login. readTimeoutMillis=in tegerweblogic.logi n.readTimeoutMillisSSL=in teger備注5.1.2更改默認(rèn)端口安全 基線 項(xiàng)目 名稱WebLogic運(yùn)行端口安全基線要求項(xiàng)安全 基線 編號(hào)SBL-WebLogic-05-01-02安全 基線 項(xiàng)說(shuō)明更改WebLogic服務(wù)器默認(rèn)端口檢測(cè)操作步驟1、參考配置操作查看 WebLogic 安裝目錄下的 pertie

13、s 配置文件基線 符合 性判 定依 據(jù)1、判定條件weblogic.system .1 iste nPort= in teger備注根據(jù)應(yīng)用場(chǎng)景的不冋，如部署場(chǎng)景需開(kāi) 啟此功能，則強(qiáng)制要求此項(xiàng)?？赡軙?huì)影 響系統(tǒng)。5.1.3錯(cuò)誤頁(yè)面處理安全 基線 項(xiàng)目 名稱WebLogic錯(cuò)誤頁(yè)面處理安全基線要求 項(xiàng)安全基線編號(hào)SBL-WebLogic-05-01-03安全 基線 項(xiàng)說(shuō)明WebLogic錯(cuò)誤頁(yè)面重定向檢測(cè)1、參考配置操作操作 步驟查看HOME/WEB-INF/webvApplicati on.xml:基線1、判定條件符合要求包含如下片段：性判+j定依=; eicc eptian-typ 亡 a * v f esc eption-typ o*-1 error. hknl/ki caiioQ*據(jù)/error-page*1備注5.1.4目錄列表訪問(wèn)限制安全