金蝶EAS Cloud 中间件_WebLogic系统加固规范V0.2.doc

下载本文档

阅读 487
下载 27
格式 doc
大小 5.49 MB
约37页
2024-09-06
收藏
评论
点赞(0)
海报
举报

金蝶EAS Cloud 中间件_WebLogic系统加固规范V0.2.doc_第1页

1/37页

金蝶EAS Cloud 中间件_WebLogic系统加固规范V0.2.doc_第2页

2/37页

金蝶EAS Cloud 中间件_WebLogic系统加固规范V0.2.doc_第3页

3/37页

在线预览已结束，请下载后查看完整版，加入VIP享文档下载特权

/37

文本预览下载提示常见问题

WebLogic系统加固规范2024年9月目录1账号管理、认证授权............................................................................................11.1.1SHG-WebLogic-01-01-01................................................................................11.1.2SHG-WebLogic-01-01-02................................................................................31.1.3SHG-WebLogic-01-01-03................................................................................41.1.4SHG-WebLogic-01-01-04................................................................................62日志配置................................................................................................................72.1.1SHG-WebLogic-02-01-01................................................................................72.1.2SHG-WebLogic-02-01-02............................................................................103通信协议................................................................................................................153.1.1SHG-WebLogic-03-01-01............................................................................153.1.2SHG-WebLogic-03-01-02............................................................................204设备其他安全要求................................................................................................224.1安装部署........................................................................................................224.1.1SHG-WebLogic-04-01-01............................................................................224.1.2SHG-WebLogic-04-01-02............................................................................234.1.3SHG-WebLogic-04-01-03............................................................................254.1.4SHG-WebLogic-04-01-04............................................................................264.1.5SHG-WebLogic-04-01-05............................................................................284.1.6SHG-WebLogic-04-01-06............................................................................304.1.7SHG-WebLogic-04-01-07............................................................................314.1.8SHG-WebLogic-04-01-08............................................................................314.2运行维护........................................................................................................324.2.1SHG-WebLogic-04-02-01............................................................................324.2.2SHG-WebLogic-04-02-02............................................................................334.2.3SHG-WebLogic-04-02-03............................................................................344.3备份容错........................................................................................................354.3.1SHG-WebLogic-04-03-01............................................................................3511账号管理、认证授权账号管理、认证授权1.1.11.1.1SHG-WebLogic-01-01-0SHG-WebLogic-01-01-011编号SHG-WebLogic-01-01-01名称服务器启动帐户实施目的配置Unix机器POST-bind，避免WebLogic以特权用户身份运行问题影响应用服务器如果溢出,攻击者将直接获得root权限，存在较严重的安全隐患系统当前状态以root身份执行：#ps–ef|grep–iweblogic以WebLogic管理员身份登录管理控制台,执行：1.在左面板，点击”Machine”文件夹2.在右面板，查看是否配置”UnixMachinelink”实施步骤以WebLogic管理员身份登录管理控制台,执行：1.在左面板，点击”Machine”文件夹2.在右面板，选择“ConfigureaNewUnixMachinelink”3.输入unix机器名,勾选”EnablePost-bindUIDfield”并输入用户名,该用户名必须对BEA_HOME及子目录有完全控制权限，输入对应组(用户名和组名须事先在OS中单独创建),点击”Apply”按钮.注意：不要使用默认的nobody用户，如下图所示：4.选择”Servers”标签.从”Availablelist”移动每个想要的服务器实例到“Chosenlist”.然后击”Apply”按钮回退方案恢复设置到加固前状态判断依据以特权用户身份启动应用服务器，绑定端口之后改变UID和GID到非特权用户和组实施风险高重要等级★★备注1.1.21.1.2SHG-WebLogic-01-01-02SHG-WebLogic-01-01-02编号SHG-WebLogic-01-01-02名称主机名认证实施目的设置HostnameVerification值为”BeaHostnameVerifier”问题影响主机名认证有助于防范中间人攻击.系统默认是启用”BeaHostnameVerifier”，用户有可能将其禁用系统当前状态以管理员身份登录管理控制台：1.点击左面板域名文件夹，然后点击“servers”文件夹，点击要管理的服务器名2.在右侧面板的”configuration”面板下的”Keystore&SSL”标签中，点击Advancedoption中“Show”项，查看Clientattribute下的HostnameVerification值,默认是”BeaHostnameVerifier”实施步骤设置HostnameVerification值为”BeaHostnameVerifier”以管理员身份登录管理控制台：1.点击左面板域名文件夹，然后点击“servers”文件夹，点击要管理的服务器名2.在右侧面板的”configuration”面板下的”Keystore&SSL”标签中，点击Advancedoption中“Show”项，查看Clientattribute下的HostnameVerification值,设置为”BeaHostnameVerifier”回退方案恢复HostnameVerification值到加固前状态判断依据HostnameVerification值默认是”BeaHostnameVerifier”实施风险低重要等级★★备注1.1.31.1.3SHG-WebLogic-01-01-03SHG-WebLogic-01-01-03编号SHG-WebLogic-01-01-03名称帐号锁定设置实施目的设定帐号锁定次数和时间问题影响不设定帐号锁定难以抵抗帐号字典攻击系统当前状态以管理员身份登录控制台1.点击左侧面板”Security”文件夹，展开”REALM”2.点击右侧面板中的”UserLock”标签，查看如下图红色标记部分实施步骤设定帐号锁定次数和时间以管理员身份登录控制台1.点击左侧面板”Security”文件夹，展开”REALM”2.点击右侧面板中的”UserLock”标签，设定LockoutEnabled，LockoutThreshold值为5，LockoutDuration为30（分钟）回退方案修改设置到加固前状态判断依据实施风险中重要等级★★★备注1.1.41.1.4SHG-WebLogic-01-01-04SHG-WebLogic-01-01-04编号SHG-WebLogic-01-01-04名称管理ID控制实施目的为不同的管理用户分配不同的角色，避免共享口令和减少特权ID使用问题影响可能存在共用帐号和没有分配不同角色到不同管理用户的情况，存在安全隐患系统当前状态以管理员身份登录控制台1.点击左侧面板”Security”文件夹，展开”REALM”2.点击”Users”文件夹，查看用户所属组及组、全局角色配置实施步骤为不同的管理用户分配不同的角色，避免共享口令和减少特权ID使用以管理员身份登录控制台1.点击左侧面板”Security”文件夹，展开”REALM”2.点击”Users”文件夹，修改非特权用户为角色Administrators、Deployers、Monitors、Operators之一回退方案恢复用户角色判断依据为不同的管理用户分配不同的角色实施风险中重要等级★★★备注22日志配置日志配置2.1.12.1.1SHG-WebLogic-02-01-01SHG-WebLogic-02-01-01编号SHG-WebLogic-02-01-01名称配置WebLogic审计实施目的配置WebLogic审计问题影响审计不启用或配置不当会无法回溯追踪安全事件系统当前状态以管理员身份登录控制台1.点击左侧面板Security文件夹,展开provider,然后点击Auditing文件夹2.查看是否配置Auditor，对照如下图的红色标记部分配置1.点击左侧面板中域名下的服务器，对照如下图的红色标记部分配置实施步骤以管理员身份登录控制台1.点击左侧面板Security文件夹,展开provider,然后点击Auditing文件夹2.查看是否配置Auditor，如无选择”ConfigureanewDefaultAuditor”并设置审计级另为FAILURE.3.点击左侧面板中域名下的服务器，在右侧面板“General”标签中设置ConfigurationAuditing为logAudit回退方案关闭审计功能判断依据配置了审计，设置审计级另为FAILURE，ConfigurationAuditing为logAudit实施风险中重要等级★★★备注2.1.22.1.2SHG-WebLogic-02-01-02SHG-WebLogic-02-01-02编号SHG-WebLogic-02-01-02名称启用日志记录实施目的启用日志记录，配置按日期rotate问题影响不启用日志或配置不当，就无法回溯追踪需要的历史记录系统当前状态以管理员身份登录管理控制台1.点击域名，在右侧面板选择“Configuration”标签2.选择logging标签，设置域级日志，查看如下图红色标记部分3.点击域名下servers下的服务器名，在右侧面板选择“Logging”标签，点击Domain标签，查看”LogtoDomainLogfile”4.点击域名下servers下的服务器名，在右侧面板选择“Logging”标签，点击Server标签，配置服务器级日志，查看”Logtostdout”等，如下红色标记项5.点击域名下servers下的服务器名，在右侧面板选择“Logging”标签，点击“HTTP”标签，查看如下红色标记部分实施步骤以管理员身份登录管理控制台1.点击域名，在右侧面板选择“Configuration”标签2.选择logging标签，设置域级日志，勾选如下图红色标记部分3.点击域名下servers下的服务器名，在右侧面板选择“Logging”标签，选择Domain，勾选”LogtoDomainLogfile”4.同上，点击Server标签，配置服务器级日志，勾选”Logtostdout”等，如下红色标记项5.同上，点击“HTTP”标签，按如下红色标记部分进行配置回退方案关闭日志功能判断依据开启日志，并配置按日期rotate实施风险低重要等级★★★备注33通信协议通信协议3.1.13.1.1SHG-WebLogic-03-01-01SHG-WebLogic-03-01-01编号SHG-WebLogic-03-01-01名称Keystore和SSL设置实施目的设置WebLogicKeystore和SSL问题影响由于默认私有密钥在所有WebLogic服务器上是相同的，存在极大的安全隐患系统当前状态以管理员身份登录管理控制台：1.点击左面板域名文件夹，然后点击“servers”文件夹，点击要管理的服务器名2.在右侧面板的”configuration”面板下的”Keystore&SSL”标签中查看如下图相应红色标记部分和蓝色标记部分实施步骤创建用户自已的私有密钥和数字证书以管理员身份登录管理控制台：1.点击左面板域名文件夹，然后点击“servers”文件夹，点击要管理的服务器名2.在右侧面板的”configuration”面板下的”Keystore&SSL”标签中，点击Keystoreconfiguration中“Change”项，改变默认私有密钥设置3.同上点击SSLconfiguration中“Change”项，改变默认私有密钥设置4.同上点击”Advancedoption”中”Show”项，勾选”SSLRejectionLoggingEnabled”回退方案取消SSLRejectionLoggingEnabled判断依据不应出现以下红色标记的默认设置：最底部蓝色标记部分应勾选”SSLRejectionLoggingEnabled”，记录SSLRejection日志实施风险高重要等级★★备注3.1.23.1.2SHG-WebLogic-03-01-02SHG-WebLogic-03-01-02编号SHG-WebLogic-03-01-02名称限制应用服务器Sockets最大打开数量实施目的限制应用服务器Sockets最大打开数量问题影响Sockets最大打开数目设置不当的话，容易受到拒绝服务攻击，超出操作系统文件描述符限制系统当前状态以管理员身份登录管理控制台1.点击左侧面板的域名文件夹，然后点击Servers文件夹，双击要管理的服务器2.在右侧面板的“Configuration”面板下选择“Tuning”标签，查看MaximumOpenSockets值实施步骤以管理员身份登录管理控制台1.点击左侧面板的域名文件夹，然后点击Servers文件夹，双击要管理的服务器2.在右侧面板的“Configuration”面板下选择“Tuning”标签3.设置”MaximumOpenSockets”为254或其它用户设定值回退方案恢复MaximumOpenSockets值到加固前状态判断依据实施风险中重要等级★★★备注此项操作需开发人员在测试机修改后测试，应用正常然后再在生产机器上修改44设备其他安全要求设备其他安全要求4.14.1安装部署安装部署4.1.14.1.1SHG-WebLogic-04-01-0SHG-WebLogic-04-01-011编号SHG-WebLogic-04-01-01名称目录和文件权限实施目的设置WebLogic目录权限问题影响系统当前状态以root身份执行以下操作：#ls–alR$BEA_HOME#find$BEA_HOME/-name*.sh|xargs`ls–al`#以下查找不必要的工具文件#find$BEA_HOME/-nameconfig_builder.sh|xargs`ls–al`#find$BEA_HOME/-namestartWLBuilder.sh|xargs`ls–al`#find$BEA_HOME/-namejcommon-0.7.0.jar|xargs`ls–al`#find$WL_HOME/-namePointBase|xargs`ls–al`#find$WL_HOME/-namemedrec|xargs`ls–al`实施步骤对启动和环境脚本限制权限为710，确认BEA_HOME属主为weblogic用户，对不必要的工具文件设置权限为700并改后缀名为.predeleted以root身份执行以下操作：#chown–R“weblogicuser”$BEA_HOME#find$BEA_HOME/-name*.sh|xargs`chmod710`#将检查步骤中查找到的不必要工具文件限制权限为700#tarcvfbeahome.`date'+%y%m%d'`.tar$BEA_HOME#find$WL_HOME/-nameconfig_builder.sh|xargs`chmod700`#find$WL_HOME/-namestartWLBuilder.sh|xargs`chmod700`#find$WL_HOME/-namejcommon-0.7.0.jar|xargs`chmod700`#find$WL_HOME/-namePointBase|xargs`chmod700`#find$WL_HOME/-namemedrec|xargs`chmod700`#将检查步骤中查找到的不必要工具文件改名为.predeleted#mvconfig_builder.shconfig_builder.sh.predeleted#mvstartWLBuilder.shstartWLBuilder.sh.predeleted#mvjcommon-0.7.0.jarjcommon-0.7.0.jar.predeleted#mvPointBasePointBase.predeleted#mvmedrecmedrec.predeleted回退方案恢复到加固前状态判断依据没有不必要的权限，也不存在不必要的文件实施风险中重要等级★★备注4.1.24.1.2SHG-WebLogic-04-01-02SHG-WebLogic-04-01-02编号SHG-WebLogic-04-01-02名称WebLogic运行模式实施目的更改运行模式为”ProductionMode”问题影响WebLogic默认以开发方式运行，安全限制很宽松，存在严重的安全隐患系统当前状态以root身份执行：1.#find$BEA_HOME/-namemyserver.log|grep–i“ProductionMode”#find$BEA_HOME/-namesetEnv.sh|grep–i“ProductionMode”2.以管理员身份登录管理控制台,点击域名，在右侧面板选中”Genaral”标签,查看是否勾选”ProductionMode”实施步骤以管理员身份登录管理控制台1.点击域名，在右侧面板选中”Genaral”标签2.勾选”ProductionMode”，更改运行模式为”ProductionMode”回退方案恢复成开发模式判断依据以ProductionMode运行实施风险中重要等级★★★备注4.1.34.1.3SHG-WebLogic-04-01-03SHG-WebLogic-04-01-03编号SHG-WebLogic-04-01-03名称EmbeddedLDAP服务器实施目的为LDAP服务器安装相应补丁问题影响LDAP允许根目录为Null和匿名绑定,使得不需要事先知道目录结构就可获得敏感信息。加上NULLBIND，使得一个匿名用户使用类似'LdapMiner"的工具查询LDAP服务器。系统当前状态以root身份执行：#netstat–an|grep389以管理员身份登录管理控制台1.右键点击左侧面板Console图标，选择“ViewServer&BrowserInfo”2.查看版本号,WebLogic8.1.4以下版本存在此安全隐患实施步骤安装最新的WebLogicServicePack安全补丁下载需要BEA公司授权，WebLogic安全公告URL：http://dev2dev.bea.com/advisoriesnotifications/回退方案无判断依据查看版本实施风险高重要等级★★★备注4.1.44.1.4SHG-WebLogic-04-01-04SHG-WebLogic-04-01-04编号SHG-WebLogic-04-01-04名称禁用SendServerheader实施目的禁用SendServerheader问题影响SendServerheader会返回用户WebLogic服务器主机名和版本号，泄露敏感信息，存在安全隐患系统当前状态以管理员身份登录管理控制台1.点击域名下的Servers文件夹，选择要管理的服务器2.在右侧面板“Protocols”面板下，点击HTTP标签3.检查是否勾选SendServerheader实施步骤以管理员身份登录管理控制台1.点击域名下的Servers文件夹，选择要管理的服务器2.在右侧面板“Protocols”面板下，点击HTTP标签3.去掉SendServerheader项前面的勾,禁止SendServerheader回退方案打开SendServerheader判断依据实施风险低重要等级★★★备注4.1.54.1.5SHG-WebLogic-04-01-05SHG-WebLogic-04-01-05编号SHG-WebLogic-04-01-05名称删除sample程序实施目的删除sample程序问题影响sample例子程序会泄露系统敏感信息，存在较大的安全隐患系统当前状态1.以root权限执行#find$BEA_HOME/-namesample–print2.以管理员身份登录管理控制台a)点击”Deployment”文件夹，查看是否有如下形式应用存在：b)展开”Deployment”子文件夹，查看是否存在以上形式内容，其path中包含“samples“目录,如下图实施步骤以管理员身份登录管理控制台1．点击”Deployment”文件夹，查看是否有如下形式应用存在：2．#find$BEA_HOME/-namesample|xargs`rm–rf`回退方案重新安装SAMPLE判断依据没有安装实施风险低重要等级★★★备注4.1.64.1.6SHG-WebLogic-04-01-06SHG-WebLogic-04-01-06编号SHG-WebLogic-04-01-06名称设定默认出错页面实施目的重新在应用程序web.xml中定义默认出错页面问题影响如果没有定义默认错误网页，则当应用程序出错时会显示内部出错信息,暴露系统和应用的敏感信息系统当前状态以root身份执行：#cat/WEB-INF/web.xml实施步骤编辑/WEB-INF/web.xml，加入error-page定义回退方案回复定义错误页面到加固前状态判断依据存在如下定义形式：实施风险低重要等级★★★备注APPLICATION_HOME需要询问用户或自行查找确定4.1.74.1.7SHG-WebLogic-04-01-07SHG-WebLogic-04-01-07编号SHG-WebLogic-04-01-07名称从生产环境删除源码实施目的用户预编译JSP，然后从生产环境删除源码问题影响生产环境存在源码是极大的安全隐患系统当前状态以root身份执行：#find$BEA_HOME/-name*.jsp–print实施步骤rm删除.jsp源码文件回退方案无判断依据不存在jsp源码实施风险中重要等级★★★备注4.1.84.1.8SHG-WebLogic-04-01-08SHG-WebLogic-04-01-08编号SHG-WebLogic-04-01-08名称开发和生产环境隔离实施目的WebLogic应该开发和生产环境隔离问题影响开发环境容易引入安全问题系统当前状态询问管理员是否生产环境与开发调试环境隔离实施步骤建立开发环境，使生产环境和开发环境隔离回退方案无判断依据开发和生产环境隔离实施风险高重要等级★★★备注4.24.2运行维护运行维护4.2.14.2.1SHG-WebLogic-04-02-01SHG-WebLogic-04-02-01编号SHG-WebLogic-04-02-01名称WebLogic补丁实施目的升级WebLogic版本和安装补丁问题影响WebLogic应用服务器各版本都存在安全漏洞，需要及时安装厂商提供的安全补丁系统当前状态1.以管理员身份登录管理控制台,右键点击左侧面板ConWLe图标，选择“ViewServer&BrowserInfo”,查看版本号2.以root身份执行：#cat$BEA_HOME/logs/log.txt实施步骤安装最新安全相关补丁包，卸载不需要的组件安全补丁下载需要BEA公司授权，WebLogic安全公告URL：http://dev2dev.bea.com/advisoriesnotifications/回退方案无判断依据较新的大版本号和最新的版本小号，没有用户不需要的组件实施风险高重要等级★★★备注4.2.24.2.2SHG-WebLogic-04-02-02SHG-WebLogic-04-02-02编号SHG-WebLogic-04-02-02名称Cron作业和命令行实施目的不要在命令行和cron作业中带用户名和口令参数,同时应chmod700相应包含口令的脚本问题影响用户可能在命令行或cron作业中直接输入用户名和密码参数系统当前状态以root身份执行：#ps–ef|grep–iweblogic#su–weblogicusername–c“crontab–l”#crontab-l实施步骤检查系统是否限制schedule使用不要在命令行和cron作业中带用户名和口令参数,同时应chmod700相应包含口令的脚本以root权限执行：#chmod700相应包含口令的脚本回退方案Chmod恢复设置判断依据Cron作业不包含用户名和密码参数实施风险中重要等级★★★备注4.2.34.2.3SHG-WebLogic-04-02-03SHG-WebLogic-04-02-03编号SHG-WebLogic-04-02-03名称变更控制实施目的任何系统的改变都必须有授权和纸介质保存的修改记录问题影响系统如果可以随意改变，没有制度上的控制，就无法保障系统安全，也无法建立基线比较系统配置差异系统当前状态询问管理员任何系统的改变是否都必须有授权和纸介质保存的修改记录,并查看修改记录实施步骤建立授权和纸介质保存的修改记录回退方案无判断依据任何系统的改变都必须有授权和纸介质保存的修改记录实施风险低重要等级★★★备注4.34.3备份容错备份容错4.3.14.3.1SHG-WebLogic-04-03-01SHG-WebLogic-04-03-01编号SHG-WebLogic-04-03-01名称备份容错实施目的用户应有完善的应用服务器备份机制问题影响某些操作如killJVM（java虚拟机）可能导致config.xml损坏，非法操作或误操作可能导致服务器崩溃，需要对WebLogic的配置文件进行日常备份保护，保证应用系统的可用性.SerializedSystemIni.dat文件包含用户口令，如果损坏，必须重新配置WebLogicDomain,也需要备份。系统当前状态询问管理员是否有WebLogic的备份恢复方案实施步骤每周备份一次config.xml文件，至少每月备份一次WebLogic全目录,生产环境配置更改前必须先备份回退方案无判断依据用户应有完善的应用服务器备份机制实施风险低重要等级★★★备注

1、当您付费下载文档后，您只拥有了使用权限，并不意味着购买了版权，文档只能用于自身使用，不得用于其他商业用途（如 [转卖]进行直接盈利或[编辑后售卖]进行间接盈利）。
2、本站所有内容均由合作方或网友上传，本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺！文档内容仅供研究参考，付费前请自行鉴别。
3、如文档内容存在违规，或者侵犯商业秘密、侵犯著作权等，请点击“违规举报”。

碎片内容