Weblogic信息安全测评指导书

范围
适用于使用的 Weblogic 服务器。本规范提出了 Weblogic 服务器安全配置
要求,适用于所有的安全等级,可作为编制设备入网测试、安全验收、安全检查规范等
文档的参考。
由于版本不同,配置操作有所不同,本规范以 unix 平台上 Weblogic9.x 为例,给出
参考配置操作。
2 规范性引用文件
GB/T22239-2008《信息安全技术 信息系统安全等级保护基本要求》
YD/T 1736-2008《互联网安全防护要求》
YD/T 1738-2008《增值业务网—消息网安全防护要求》
YD/T 1740-2008《增值业务网—智能网安全防护要求》
YD/T 1758-2008《非核心生产单元安全防护要求》
YD/T 1752-2008《支撑网安全防护要求》
3 缩略语

SSL Secure Sockets Layer 安全套接层
HTTP HyperText Transfer Protocol 超文本传输协议

4 安全配置要求
4.1 账号
编号:1
要求内容 为不同的管理用户分配不同的角色
参考操作

以管理员身份登录控制台

  1. 点击左侧面板”Security”文件夹,展开”REALM”
  2. 点击 ”Users” 文件夹,修改非特权用户为角色
    Administrators、Deployers、Monitors、Operators 之一

2 检测方法
1、判定条件
2、检测操作
以管理员身份登录控制台

  1. 点击左侧面板”Security”文件夹,展开”REALM”
  2. 点击”Users”文件夹,查看用户所属组及组、全局角色配置

编号:2
要求内容 应删除与设备运行、维护等工作无关的账号
参考操作

以管理员身份登录控制台

  1. 点击左侧面板”Security”文件夹,展开”REALM”
  2. 点击”Users”文件夹,删除与设备运行、维护等工作无关的
    账号
    检测方法 1、判定条件
    没有与设备运行、维护等工作无关的账号

编号:3
要求内容 禁止以特权用户身份运行 WebLogic
操作指南 1、参考配置操作
以WebLogic管理员身份登录管理控制台,执行:

  1. 在左面板,点击”Machine”文件夹
  2. 在右面板,选择“Configure a New Unix Machine link”
  3. 输入 unix 机器名,勾选” Enable Post-bind UID field”并输入用户名,
    该用户名必须对 BEA_HOME 及子目录有完全控制权限,输入对应组(用
    户名和组名须事先在 OS中单独创建),点击”Apply”按钮. 注意:不要使用
    默认的 nobody用户。
  1. 选择”Servers”标签. 从”Available list” 移动 每个想要的服务器实例到
    “Chosen list”. 然后击”Apply”按钮

检测方法 1、判定条件
以特权用户身份启动应用服务器, 绑定端口之后改变 UID和 GID到非特
权用户和组
2、检测操作
以root身份执行:

ps –ef| grep –i weblogic

以WebLogic管理员身份登录管理控制台,执行:

  1. 在左面板,点击”Machine”文件夹
  2. 在右面板,查看是否配置”Unix Machine link”

编号 4:
要求内容 开启主机名认证,设置 Hostname Verification 值为”Bea Hostname
Verifier”
参考操作
设置Hostname Verification值为”Bea Hostname Verifier”
以管理员身份登录管理控制台:

  1. 点击左面板域名文件夹,然后点击“servers”文件夹,点击要管理的

4
服务器名

  1. 在右侧面板的”configuration”面板下的”Keystore &SSL”标签中, 点击
    Advanced option中 “Show”项,查看Client attribute下的Hostname
    Verification值,设置为”Bea Hostname Verifier”
    检测方法 1、判定条件
    2、检测操作
    以管理员身份登录管理控制台:
  2. 点击左面板域名文件夹,然后点击“servers”文件夹,点击要管理的
    服务器名
  3. 在右侧面板的”configuration”面板下的”Keystore &SSL”标签中, 点击
    Advanced option中 “Show”项,查看Client attribute下的Hostname
    Verification值

4.2 口令
编号:1
要求内容 对于采用静态口令认证技术的设备,口令长度至少 8 位,并包括数
字、小写字母、大写字母和特殊符号 4 类中至少 3 类
操作指南 以管理员身份登录控制台

  1. 点击左侧面板”Security”文件夹,展开”REALM”
  2. 点击”Users”文件夹,设置口令长度至少 8 位,并包括数字、小写字
    母、大写字母和特殊符号 4 类中至少 3 类
    检查 WebLogic 安装目录下的 weblogic.properties 配置文件中参数
    weblogic.system.minPasswordLen=8
    检测方法 1、判定条件
    2、检测操作

编号:2
要求内容 对于采用静态口令认证技术的设备, 应配置当用户连续认证失败次数超
过6次(不含6次) ,锁定该用户使用的账号
操作指南 1、参考配置操作
设定帐号锁定次数和时间
以管理员身份登录控制台

  1. 点击左侧面板”Security”文件夹,展开”REALM”
  2. 点击右侧面板中的”User Lock”标签,设定 Lockout Enabled,Lockout
    5
    Threshold 值为 5,Lockout Duration 为30(分钟)

检测方法 1、判定条件
2、检测操作
以管理员身份登录控制台

  1. 点击左侧面板”Security”文件夹,展开”REALM”
  2. 点击右侧面板中的”User Lock”标签,查看锁定阈值,锁定持续时间,
    锁定重置持续时间
    4.3 日志
    编号 1:
    要求内

    开启日志功能
    参考操

以管理员身份登录管理控制台

  1. 点击域名,在右侧面板选择“Configuration”标签
  2. 选择logging标签,设置域级日志,勾选如下图红色标记部分

6

  1. 点击域名下 servers 下的服务器名,在右侧面板选择“Logging”标签,选择
    Domain,勾选”Log to Domain Log file”
  2. 同上,点击 Server标签,配置服务器级日志,勾选”Log to stdout”等,如
    下红色标记项
    7
  3. 同上,点击“HTTP”标签,按如下红色标记部分进行配置

8
检测方法 1、判定条件
开启日志功能

编号 2:
要求内

配置日志审计
参考
操作

以管理员身份登录控制台

  1. 点击左侧面板Security文件夹,展开provider,然后点击Auditing文件夹
  2. 查看是否配置Auditor,如无则选择”Configure a new Default Auditor”并设置
    审计级另为FAILURE.
  3. 点击左侧面板中域名下的服务器,在右侧面板“General”标签中设置
    Configuration Auditing为logAudit

检测方

1、判定条件
配置了审计,设置审计级另为 FAILURE,Configuration Auditing 为
logAudit
2、检测操作
以管理员身份登录控制台

  1. 点击左侧面板 Security文件夹,展开 provider,然后点击 Auditing文件夹
  2. 查看是否配置 Auditor,对照如下图的红色标记部分配置9
  3. 点击左侧面板中域名下的服务器,对照如下图的红色标记部分配置
    4.4 Keystore 和SSL设置
    编号 1:
    要求内容 合理设置 WebLogic Keystore 和 SSL
    操作指南 创建用户自已的私有密钥和数字证书
    以管理员身份登录管理控制台:
  4. 点击左面板域名文件夹,然后点击“servers”文件夹,点击要管理的
    服务器名
  5. 在右侧面板的”configuration”面板下的”Keystore &SSL”标签中,点
    击Keystore configuration中 “Change”项,改变默认私有密钥设置
  6. 同上点击SSL configuration中 “Change”项,改变默认私有密钥设置
  7. 同上点击”Advanced option”中”Show”项,勾选” SSLRejection
    Logging Enabled”
    检测方法 以管理员身份登录管理控制台:
  8. 点击左面板域名文件夹,然后点击“servers”文件夹,点击要管理的
    服务器名

10

  1. 在右侧面板的”configuration”面板下的”Keystore &SSL”标签中查看
    如下图相应红色标记部分和蓝色标记部分

4.5 Sockets最大打开数量
编号 1:
要求内容 合理设置应用服务器 Sockets 最大打开数量
操作指南 1、 参考配置操作:
11
以管理员身份登录管理控制台

  1. 点击左侧面板的域名文件夹,然后点击Servers文件夹,双
    击要管理的服务器
  2. 在右侧面板的“Configuration”面板下选择“Tuning”标签
  3. 设置” Maximum Open Sockets”为254 或其它用户设定值
    备注:此项操作需开发人员在测试机修改后测试,应用正常然后
    再在生产机器上修改
    检测方法 以管理员身份登录管理控制台
  4. 点击左侧面板的域名文件夹,然后点击Servers文件夹,双击
    要管理的服务器
  5. 在右侧面板的“Configuration”面板下选择“Tuning”标签,查看
    Maximum Open Sockets 值

4.6 文件和目录权限
编号:1
要求内容 合理设置文件与目录权限,没有不必要的权限,也不存在不必要
的文件
参考操作

对启动和环境脚本限制权限为710,确认BEA_HOME属主为
weblogic用户,对不必要的工具文件设置权限为700并改后缀名
为.predeleted
以root 身份执行以下操作:

chown –R “weblogicuser” $BEA_HOME

find $BEA_HOME/ -name *.sh |xargs chmod 710

#检查不必要工具文件,并将限制权限为 700

tar cvf beahome.date '+%y%m%d'.tar $BEA_HOME

find $WL_HOME/ -name config_builder.sh |xargs chmod 700

find $WL_HOME/ -name startWLBuilder.sh |xargs chmod 700

find $WL_HOME/ -name jcommon-0.7.0.jar |xargs chmod 700

find $WL_HOME/ -name PointBase |xargs chmod 700

find $WL_HOME/ -name medrec |xargs chmod 700

#检查不必要工具文件,并改名为.predeleted
#mv config_builder.sh config_builder.sh.predeleted
#mv startWLBuilder.sh startWLBuilder.sh.predeleted
#mv jcommon-0.7.0.jar jcommon-0.7.0.jar.predeleted
#mv PointBase PointBase.predeleted
#mv medrec medrec .predeleted
检测方法
以root 身份执行以下操作:

ls –alR $BEA_HOME

find $BEA_HOME/ -name *.sh |xargs ls –al

12
#查找不必要的工具文件

find $BEA_HOME/ -name config_builder.sh |xargs ls –al

find $BEA_HOME/ -name startWLBuilder.sh |xargs ls –al

find $BEA_HOME/ -name jcommon-0.7.0.jar |xargs ls –al

find $WL_HOME/ -name PointBase |xargs ls –al

find $WL_HOME/ -name medrec |xargs ls –al

4.7 WebLogic运行模式
编号:1
要求内容 更改运行模式为”Production Mode”
参考操作

以管理员身份登录管理控制台

  1. 点击域名,在右侧面板选中”Genaral”标签
  2. 勾选” Production Mode”,更改运行模式为” Production
    Mode”
    检测方法
    以root身份执行:
  3. find $BEA_HOME/ -name myserver.log | grep –i

    “Production Mode”

    find $BEA_HOME/ -name setEnv.sh | grep –i “Production

    Mode”

  4. 以管理员身份登录管理控制台,点击域名,在右侧面板选
    中”Genaral”标签,查看是否勾选” Production Mode”

4.8 Sender Server Header
编号:1
要求内容 禁用 Send Server header
参考操作

以管理员身份登录管理控制台

  1. 点击域名下的Servers文件夹,选择要管理的服务器
  2. 在右侧面板“Protocols”面板下,点击HTTP标签
  3. 去掉 Send Server header 项前面的勾,禁止 Send Server
    header
    检测方法
    以管理员身份登录管理控制台
  4. 点击域名下的Servers文件夹,选择要管理的服务器
  5. 在右侧面板“Protocols”面板下,点击HTTP标签
  6. 检查是否勾选 Send Server header

4.9 删除Sample程序
13
编号:1
要求
内容
删除sample程序
参考
操作

以管理员身份登录管理控制台
1.点击”Deployment”文件夹,查看是否有如下形式应用存在:
2.# find $BEA_HOME/ -name sample | xargs rm –rf
检测
方法

  1. 以root权限执行

    find $BEA_HOME/ -name sample –print

  2. 以管理员身份登录管理控制台
    a) 点击”Deployment”文件夹,查看是否有如下形式应用存在:b) 展开”Deployment”子文件夹,查看是否存在以上形式内容,其path中包
    含“samples“目录, 如下图

14

4.10 设定默认出错页面
编号:1
要求内容 重新在应用程序 web.xml 中定义默认出错页面
参考操作

编辑<Application HOME>/WEB-INF/web.xml , 加入 error-page
定义
检测方法
1、判断依据:

2、检查操作:
以root身份执行:

cat <Application HOME>/WEB-INF/web.xml

4.11 session超时时间
编号:1
要求内容 根据具体应用,合理设置 session 超时时间
参考操作

在应用程序的 web.xml 中定义 session超时时间,例如,以下设
置表示 session超时时间为 15分钟
15
<session-config>
<session-timeout>15</session-timeout>
</session-config>

检测方法 检查是否在应用程序的 web.xml 中定义了 session 超时时间

4.12 补丁
编号:1
要求内容 在不影响业务的情况下,升级到最新补丁,而且该补丁要通过实
验测试
参考操作
安装最新安全相关补丁包,安全补丁下载需要 BEA 公司授权,
WebLogic 安全公告 URL:
http://dev2dev.bea.com/advisoriesnotifications/

检测方法

  1. 以管理员身份登录管理控制台, 右键点击左侧面板ConWLe图
    标,选择“View Server & Browser Info”,查看版本号
    2.以 root 身份执行:

    cat $BEA_HOME/logs/log.txt

4.13 HTTP加密协议
要求内容 对于通过 HTTP 协议进行远程维护的设备,设备应支持使用
HTTPS等加密协议。
操作指南 1、参考配置操作
以管理员身份登录管理控制台:

  1. 点击左面板域名文件夹,然后点击“servers”文件夹,点击要管
    理的服务器名
  2. 在右侧面板的”configuration”面板下的”Keystore &SSL”标签
    中,启用 ssl configure
    检测方法 1、判定条件
    2、检测操作

4.14 连接数设置
要求内容 根据机器性能和业务需求,设置最大最小连接数。
操作指南 1、 参考配置操作

16
以管理员身份登录管理控制台

  1. 点击左侧面板的域名文件夹,然后点击Servers文件夹,双击要管理
    的服务器
  2. 在右侧面板的“Configuration”面板下选择“Tuning”标签
  3. 设置” Maximum Open Sockets”为254 或其它用户设定值
    2、 补充操作说明
    检测方法 1、判定条件
    2、检测操作
    检查当前的连接数
About hackgoo 110 Articles
渗透测试人员,信息安全维护 主要技能web安全,linux运维 站在巨人的肩膀上,在学习中进步,在进步中学习,低调求生存 极客谷保留所有权利,转载请注明出处

Be the first to comment

Leave a Reply

Your email address will not be published.


*