WebLogic-Web服務(wù)器安全配置風(fēng)險(xiǎn)評(píng)估檢查表

1、精選優(yōu)質(zhì)文檔-傾情為你奉上精選優(yōu)質(zhì)文檔-傾情為你奉上專心-專注-專業(yè)專心-專注-專業(yè)精選優(yōu)質(zhì)文檔-傾情為你奉上專心-專注-專業(yè)WebLogicWeb服務(wù)器安全配置基線目 錄 TOC o 1-3 h z u 概述目的本文檔規(guī)定了WebLogic Web服務(wù)器應(yīng)當(dāng)遵循的安全性設(shè)置標(biāo)準(zhǔn)，本文檔旨在指導(dǎo)系統(tǒng)管理人員進(jìn)行WebLogic Web服務(wù)器的安全配置。適用范圍本配置標(biāo)準(zhǔn)的使用者包括：服務(wù)器系統(tǒng)管理員、應(yīng)用管理員、網(wǎng)絡(luò)安全管理員。適用版本6.x、7.x、8.x版本的WebLogic Web服務(wù)器。現(xiàn)在最新的weblogic服務(wù)器時(shí)9.1，此文件不適用與最新的服務(wù)器賬號(hào)管理、認(rèn)證授權(quán)賬號(hào) 賬號(hào)鎖定

2、策略安全基線項(xiàng)目名稱WebLogic賬號(hào)鎖定安全基線要求項(xiàng)安全基線編號(hào)SBL-WebLogic-02-01-01 安全基線項(xiàng)說明 要求設(shè)定帳號(hào)鎖定次數(shù)和時(shí)間檢測(cè)操作步驟1、參考配置操作 查看以管理員身份登錄控制臺(tái)1. 點(diǎn)擊左側(cè)面板”Security”文件夾，展開”REALM”2. 點(diǎn)擊右側(cè)面板中的”User Lock”標(biāo)簽，查看Lockout Enabled，Lockout Threshold，Lockout Duration等基線符合性判定依據(jù)1、判定條件要求Lockout Enabled=true;Lockout Threshold=5;Lockout Duration=30備注口令密碼復(fù)

3、雜度安全基線項(xiàng)目名稱WebLogic密碼復(fù)雜度安全基線要求項(xiàng)安全基線編號(hào)SBL-WebLogic-02-01-01 安全基線項(xiàng)說明 對(duì)于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，口令長(zhǎng)度至少8位。檢測(cè)操作步驟1、參考配置操作 查看WebLogic安裝目錄下的perties配置文件2、補(bǔ)充操作說明口令要求：長(zhǎng)度至少8位。基線符合性判定依據(jù)1、判定條件weblogic.system.minPasswordLen=8備注日志配置操作日志配置審核登錄安全基線項(xiàng)目名稱WebLogic審核登錄安全基線要求項(xiàng)安全基線編號(hào)SBL-WebLogic-03-01-01 安全基線項(xiàng)說明 設(shè)備應(yīng)配置日志功能，對(duì)用戶登錄進(jìn)行記錄，記

4、錄內(nèi)容包括用戶登錄使用的賬號(hào)，登錄是否成功，登錄時(shí)間，以及遠(yuǎn)程登錄時(shí)，用戶使用的IP地址。檢測(cè)操作步驟1、參考配置操作查看WebLogic安裝目錄下的perties配置文件基線符合性判定依據(jù)1、判定條件weblogic.system.enableReverseDNSLookups=true備注IP協(xié)議安全配置IP協(xié)議支持加密協(xié)議安全基線項(xiàng)目名稱WebLogic支持加密協(xié)議安全基線要求項(xiàng)安全基線編號(hào)SBL-WebLogic-04-01-01 安全基線項(xiàng)說明 對(duì)于通過HTTP協(xié)議進(jìn)行遠(yuǎn)程維護(hù)的設(shè)備，設(shè)備應(yīng)支持使用HTTPS等加密協(xié)議。檢測(cè)操作步驟1、參考配置操作查看WebLogic安裝目錄下的pe

5、rties配置文件基線符合性判定依據(jù)1、判定條件weblogic.system.SSLListenPort=portNumber weblogic.security.certificate.server=mycert.der weblogic.security.key.server=mykey.der weblogic.security.certificate.authority=CA.der weblogic.security.certificateCacheSize=5 weblogic.security.clientRootCA=anyValidCertificate weblogic.

6、httpd.register.authenticated=weblogic.t3.srvr.ClientAuthenticationServlet weblogic.httpd.register.T3AdminCaptureRootCA=admin.T3AdminCaptureRootCA 備注限制應(yīng)用服務(wù)器Socket數(shù)量安全基線項(xiàng)目名稱WebLogic限制應(yīng)用服務(wù)器Socket數(shù)量安全基線要求項(xiàng)安全基線編號(hào)SBL-WebLogic-04-01-02 安全基線項(xiàng)說明 Sockets最大打開數(shù)目設(shè)置不當(dāng)?shù)脑?，容易受到拒絕服務(wù)攻擊，超出操作系統(tǒng)文件描述符限制檢測(cè)操作步驟1、參考配置操作以管理員身

7、份登錄管理控制臺(tái) 1. 點(diǎn)擊左側(cè)面板的域名文件夾，然后點(diǎn)擊Servers文件夾，雙擊要管理的服務(wù)器 2. 在右側(cè)面板的“Configuration”面板下選擇“Tuning”標(biāo)簽，查看Maximum Open Sockets值基線符合性判定依據(jù)1、判定條件要求Maximum Open Sockets不大于254。備注禁用Send Server Header安全基線項(xiàng)目名稱WebLogic禁用Send Server Header安全基線要求項(xiàng)安全基線編號(hào)SBL-WebLogic-04-01-03 安全基線項(xiàng)說明 Sockets最大打開數(shù)目設(shè)置不當(dāng)?shù)脑?，容易受到拒絕服務(wù)攻擊，超出操作系統(tǒng)文件描述符

8、限制檢測(cè)操作步驟1、參考配置操作以管理員身份登錄管理控制臺(tái)1. 點(diǎn)擊域名下的Servers文件夾，選擇要管理的服務(wù)器2. 在右側(cè)面板“Protocols”面板下，點(diǎn)擊HTTP標(biāo)簽3. 檢查是否勾選Send Server header基線符合性判定依據(jù)1、判定條件要求禁止Send Server header備注設(shè)備其他配置操作安全管理定時(shí)登出安全基線項(xiàng)目名稱WebLogic定時(shí)登出安全基線要求項(xiàng)安全基線編號(hào)SBL-WebLogic-05-01-01 安全基線項(xiàng)說明 對(duì)于具備字符交互界面的設(shè)備，應(yīng)支持定時(shí)賬戶自動(dòng)登出。登出后用戶需再次登錄才能進(jìn)入系統(tǒng)。檢測(cè)操作步驟1、參考配置操作查看WebLogi

9、c安裝目錄下的perties配置文件基線符合性判定依據(jù)1、判定條件weblogic.login.readTimeoutMillis=integer weblogic.login.readTimeoutMillisSSL=integer 備注更改默認(rèn)端口安全基線項(xiàng)目名稱WebLogic運(yùn)行端口安全基線要求項(xiàng)安全基線編號(hào)SBL-WebLogic-05-01-02 安全基線項(xiàng)說明 更改WebLogic服務(wù)器默認(rèn)端口檢測(cè)操作步驟1、參考配置操作查看WebLogic安裝目錄下的perties配置文件基線符合性判定依據(jù)1、判定條件weblogic.system.listenPort=integer備注錯(cuò)誤頁(yè)面處理安全基線項(xiàng)目名稱WebLogic錯(cuò)誤頁(yè)面處理安全基線要求項(xiàng)安全基線編號(hào)SBL-WebLogic-05-01-03 安全基線項(xiàng)說明 WebLogic錯(cuò)誤頁(yè)面重定向檢測(cè)操作步驟1、參考配置操作查看/WEB-INF/web.xml:基線符合性判定依據(jù)判定條件要求包含如下片段：備注目錄列表訪問限制安全基線項(xiàng)目名稱WebLogic目錄列表安全基