WebLogic-Web服务器安全配置风险评估检查表

IWebLogicWeb服务器安全配置基线目录第1章 概述.........................................................................................................................................1 1.1 目的.........................................................................................................................................1 1.2 适用范围.................................................................................................................................1 1.3 适用版本.................................................................................................................................1 第2章 账号管理、认证授权.............................................................................................................2 2.1 账号.........................................................................................................................................2 2.1.1 账号锁定策略.................................................................................................................2 2.2 口令.........................................................................................................................................2 2.2.1 密码复杂度.....................................................................................................................2 第3章 日志配置操作.........................................................................................................................4 3.1 日志配置.................................................................................................................................4 3.1.1 审核登录.........................................................................................................................4 第4章 IP协议安全配置................................................................................................................5 4.1 IP协议.....................................................................................................................................5 4.1.1 支持加密协议.................................................................................................................5 4.1.2 限制应用服务器Socket数量.........................................................................................5 4.1.3 禁用SendServerHeader................................................................................................6 第5章 设备其他配置操作.................................................................................................................7 5.1 安全管理.................................................................................................................................7 5.1.1 定时登出.........................................................................................................................7 5.1.2 更改默认端口.................................................................................................................7 5.1.3 错误页面处理.................................................................................................................8 5.1.4 目录列表访问限制.........................................................................................................8 第1章概述1.1目的本文档规定了WebLogicWeb服务器应当遵循的安全性设置标准，本文档旨在指导系统管理人员进行WebLogicWeb服务器的安全配置。1.2适用范围本配置标准的使用者包括：服务器系统管理员、应用管理员、网络安全管理员。1.3适用版本6.x、7.x、8.x版本的WebLogicWeb服务器。现在最新的weblogic服务器时9.1，此文件不适用与最新的服务器第2章账号管理、认证授权2.1账号2.1.1账号锁定策略安全基线项目名称WebLogic账号锁定安全基线要求项安全基线编号SBL-WebLogic-02-01-01安全基线项说明要求设定帐号锁定次数和时间检测操作步骤1、参考配置操作查看以管理员身份登录控制台1.点击左侧面板”Security”文件夹，展开”REALM”2.点击右侧面板中的”UserLock”标签，查看LockoutEnabled，LockoutThreshold，LockoutDuration等基线符合性判定依据1、判定条件要求LockoutEnabled=true;LockoutThreshold=5;LockoutDuration=30备注2.2口令2.2.1密码复杂度安全基线项目名称WebLogic密码复杂度安全基线要求项安全基线编号SBL-WebLogic-02-01-01安全基线项说明对于采用静态口令认证技术的设备，口令长度至少8位。检测操作步骤1、参考配置操作查看WebLogic安装目录下的weblogic.properties配置文件2、补充操作说明口令要求：长度至少8位。基线符合性判定依据1、判定条件weblogic.system.minPasswordLen=8备注第3章日志配置操作3.1日志配置3.1.1审核登录安全基线项目名称WebLogic审核登录安全基线要求项安全基线编号SBL-WebLogic-03-01-01安全基线项说明设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址。检测操作步骤1、参考配置操作查看WebLogic安装目录下的weblogic.properties配置文件基线符合性判定依据1、判定条件weblogic.system.enableReverseDNSLookups=true备注第4章IP协议安全配置4.1IP协议4.1.1支持加密协议安全基线项目名称WebLogic支持加密协议安全基线要求项安全基线编号SBL-WebLogic-04-01-01安全基线项说明对于通过HTTP协议进行远程维护的设备，设备应支持使用HTTPS等加密协议。检测操作步骤1、参考配置操作查看WebLogic安装目录下的weblogic.properties配置文件基线符合性判定依据1、判定条件weblogic.system.SSLListenPort=portNumberweblogic.security.certificate.server=mycert.derweblogic.security.key.server=mykey.derweblogic.security.certificate.authority=CA.derweblogic.security.certificateCacheSize=5weblogic.security.clientRootCA=anyValidCertificateweblogic.httpd.register.authenticated=\weblogic.t3.srvr.ClientAuthenticationServletweblogic.httpd.register.T3AdminCaptureRootCA=admin.T3AdminCaptureRootCA备注4.1.2限制应用服务器Socket数量安全基线项目名称WebLogic限制应用服务器Socket数量安全基线要求项安全基线编号SBL-WebLogic-04-01-02安全基线项说明Sockets最大打开数目设置不当的话，容易受到拒绝服务攻击，超出操作系统文件描述符限制检测操作步骤1、参考配置操作以管理员身份登录管理控制台1.点击左侧面板的域名文件夹，然后点击Servers文件夹，双击要管理的服务器2.在右侧面板的“Configuration”面板下选择“Tuning”标签，查看MaximumOpenSockets值基线符合性判定依据1、判定条件要求MaximumOpenSockets不大于254。备注4.1.3禁用SendServerHe