weblogic安全加固检查.docVIP

设备型号 系统版本 Weblogic9.2 IP地址 内容 应用程序补丁 描述 应用软件补丁是厂商对weblogic可能包含的缺陷所做的修补，定期检查weblogic相关安全补丁可以避免降低遭受威胁的可能 检查项 根据BEA漏洞公告： /technology/deploy/security/alerts.htm/定期测试并完成补丁安装 检查结果：已安装补丁 删除开发与示例程序 描述 开发与示例程序是Weblogic用于指导开发的文档，正式环境中应该移除，避免被攻击者利用 检查项 检查生产环境中weblogic server的开发与示例程序是否已删除。 检查结果：已删除 加密传输敏感信息 描述 使用未加密的协议进行信息传输无法避免网络嗅探的发生，传输敏感信息如身份认证信息，使用SSL可以保障信息传输的安全性 检查项 检查weblogic是否采用SSL配置 检查结果：未采用SSL配置 对SSL进行保护 描述 通常SSL协议并不能抵抗中间人攻击的发生，通过启用主机名校验，可以有效确认信息发送方的身份，避免了中间人攻击的发生 检查项 登录weblogic控制台，通常是“http://应用于服务器IP:7001/console”，然后找到以下项目Server-server name-Connections-SSL，查看是否已禁用”Hostname Verification Ignored” 检查结果：未使用SSL 帐号与密码 描述 通过定义密码的最短长度，密码的失败登录尝试等密码策略可以有效的保护密码安全 检查项 登录控制台后查看“Security(Realms”选项，选择应用使用的realm名字(默认是myrealm) 查看“User Lockout”选项的如下属性是否已经设置： Lockout Threshold(失败尝试次数) Lockout Duration(帐号锁定时间) Lockout Reset Duration(失败尝试时间) 帐号锁定缓存 系统最短口令长度（MinimumPassword Length） 禁用Guest用户 配置weblogic的console的自动注销 检查结果： Lockout Threshold(失败尝试次数)：5次 Lockout Duration(帐号锁定时间)：30分钟 Lockout Reset Duration(失败尝试时间)：5分钟 帐号锁定缓存：5 系统最短口令长度： Guest用户禁用与否： weblogic的console的自动注销： Banner 描述 默认当weblogic实例响应http请求的时候会发送包含自身版本信息的响应，这可能会增加服务器受攻击的威胁 检查项 登录控制台后查看“Server-server name-Connections-HTTP”选项，查看是否已禁用”Send Server Header Enabled”属性 检查结果：未启用 禁止非授权用户和组对 weblogic 根目录和下级目录的写和执行权限，避免重要数据被修改或删除 检查结果：已禁止 设置weblogic日志文件的访问权限，应只允许管理员具有访问权限 检查结果：已设置 设置 SerializedSystemIni.dat 密码文件的权限，应只允许系统管理员具有读写权限 检查结果：已设置 审计配置 1）开启审计功能 检查结果：已开启 2）定制日志的严重度,使weblogic在用户更改域中资源的配置或调用域中资源的管理操作时发出日志消息并生成审核事件 检查结果：按weblogic安装默认配置 3）修改 weblogic 日志的存放路径保证日志存放的地点的安全可靠 检查结果：已修改