1、weblogic 安全策略配置1. 用户名密码安全设置1.1. 操作系统用户 weblogic 安全要求:密码长度应 8 位以上,并符合密码复杂度要求修改密码passwd weblogic /bea 目录目录属性应为 0755 1.2. 用户名密码策略要求:不使用默认用户名/密码:weblogic/weblogic 密码长度应 8 位以上,并符合密码复杂度要求1.3. 帐号锁定策略要求:密码重试次数 5 次,锁定时间 30 分钟点击 security realms 点击 myrealm Users lockout1.4. 启动 boot.properties 文件weblogic 启动时会读取
2、用户名和密码,不应在启动脚本里设置用户名和密码如 WLS_USER=weblogic, WLS_PW=xxx;而应在域目录下设置 boot.properties文件,设置 username=weblogic,password=XXX。Weblogic 启动后会自动加密码boot.properties 文件。1.5. 修改 weblogic 密码1 登录 weblogic 控制台,点击 security realms2 点击 myrealm Users and Groups3 点击 weblogicpasswords4 点击 lock勾选 limit number of retained fil
3、es;files to retain:60 4 点 save 5 点 activate changes,会提示设置生效,但需重启 weblogic。6 如有其它 server 则按上面步骤设置7 重启 weblogic 2.2. 访问日志查看方法访问日志存放在域目录下/servers/各 server/logs/access.log*3. Weblogic header 设置正确设置 weblogic header 可以防止扫描软件猜解 weblogic 的版本信息,进而进行下一步攻击。3.1. 禁用 Send Server Header(默认禁用)点击 EnvironmentserversA
4、dminServerprotocolshttp 检查是否勾选Send Server header 3.2. 禁用 X-Powered-By Header 1 点击最顶部的域Web Applications 2 点击 lock&edit 修改 X-Powered-By Header 为 X-Powered-By Header will not be sent 3 点击 saveactivate changes 会提示设置生效,但需重启 weblogic 4 重启 weblogic 4. 限制应用服务器 Socket 数量1 停止 weblogic 2 进入域目录下 config 下3 备份 config.xml 文件cp config.xml config.xml.201005 4 修改 config.xml 在中间,后面加2505 启动 weblogic 验证是否生效5. 错误页面处理修改应用下/WEB-INF/web.xml,包含如下格式内容* error.html 6. Session 超时设置修改应用下/WEB-INF/weblogic.xml, 包含如下格式内容:TimeoutSecs 7200
