安全基線第一章

範圍
適用於使用的 Weblogic 服務器。本規範提出了 Weblogic 服務器安全配置
要求，適用於所有的安全等級，可作為編制設備入網測試、安全驗收、安全檢查規範等
文檔的參考。
由於版本不同，配置操作有所不同，本規範以 unix 平臺上 Weblogic9.x 為例，給出
參考配置操作。
2 規範性引用文件
GB/T22239-2008《信息安全技術 信息系統安全等級保護基本要求》
YD/T 1736-2008《互聯網安全防護要求》
YD/T 1738-2008《增值業務網—消息網安全防護要求》
YD/T 1740-2008《增值業務網—智能網安全防護要求》
YD/T 1758-2008《非核心生產單元安全防護要求》
YD/T 1752-2008《支撐網安全防護要求》
3 縮略語

SSL Secure Sockets Layer 安全套接層
HTTP HyperText Transfer Protocol 超文本傳輸協議

4 安全配置要求
4.1 賬號
編號：1
要求內容 為不同的管理用戶分配不同的角色
參考操作

以管理員身份登錄控制臺

1. 點擊左側面板”Security”文件夾，展開”REALM”
2. 點擊 ”Users” 文件夾，修改非特權用戶為角色
   Administrators、Deployers、Monitors、Operators 之一

2 檢測方法
1、判定條件
2、檢測操作
以管理員身份登錄控制臺

1. 點擊左側面板”Security”文件夾，展開”REALM”
2. 點擊”Users”文件夾，查看用戶所屬組及組、全局角色配置

編號：2
要求內容 應刪除與設備運行、維護等工作無關的賬號
參考操作

以管理員身份登錄控制臺

1. 點擊左側面板”Security”文件夾，展開”REALM”
2. 點擊”Users”文件夾，刪除與設備運行、維護等工作無關的
   賬號
   檢測方法 1、判定條件
   沒有與設備運行、維護等工作無關的賬號

編號：3
要求內容 禁止以特權用戶身份運行 WebLogic
操作指南 1、參考配置操作
以WebLogic管理員身份登錄管理控制臺,執行：

1. 在左面板，點擊”Machine”文件夾
2. 在右面板，選擇“Configure a New Unix Machine link”
3. 輸入 unix 機器名,勾選” Enable Post-bind UID field”並輸入用戶名,
   該用戶名必須對 BEA_HOME 及子目錄有完全控制權限，輸入對應組(用
   戶名和組名須事先在 OS中單獨創建),點擊”Apply”按鈕. 註意：不要使用
   默認的 nobody用戶。

4. 選擇”Servers”標簽. 從”Available list” 移動 每個想要的服務器實例到
   “Chosen list”. 然後擊”Apply”按鈕

檢測方法 1、判定條件
以特權用戶身份啟動應用服務器， 綁定端口之後改變 UID和 GID到非特
權用戶和組
2、檢測操作
以root身份執行：

ps –ef| grep –i weblogic

以WebLogic管理員身份登錄管理控制臺,執行：

1. 在左面板，點擊”Machine”文件夾
2. 在右面板，查看是否配置”Unix Machine link”

編號 4：
要求內容 開啟主機名認證，設置 Hostname Verification 值為”Bea Hostname
Verifier”
參考操作
設置Hostname Verification值為”Bea Hostname Verifier”
以管理員身份登錄管理控制臺：

1. 點擊左面板域名文件夾，然後點擊“servers”文件夾，點擊要管理的

4
服務器名

2. 在右側面板的”configuration”面板下的”Keystore &SSL”標簽中， 點擊
   Advanced option中 “Show”項，查看Client attribute下的Hostname
   Verification值,設置為”Bea Hostname Verifier”
   檢測方法 1、判定條件
   2、檢測操作
   以管理員身份登錄管理控制臺：
3. 點擊左面板域名文件夾，然後點擊“servers”文件夾，點擊要管理的
   服務器名
4. 在右側面板的”configuration”面板下的”Keystore &SSL”標簽中， 點擊
   Advanced option中 “Show”項，查看Client attribute下的Hostname
   Verification值

4.2 口令
編號：1
要求內容 對於采用靜態口令認證技術的設備，口令長度至少 8 位，並包括數
字、小寫字母、大寫字母和特殊符號 4 類中至少 3 類
操作指南 以管理員身份登錄控制臺

1. 點擊左側面板”Security”文件夾，展開”REALM”
2. 點擊”Users”文件夾，設置口令長度至少 8 位，並包括數字、小寫字
   母、大寫字母和特殊符號 4 類中至少 3 類
   檢查 WebLogic 安裝目錄下的 weblogic.properties 配置文件中參數
   weblogic.system.minPasswordLen=8
   檢測方法 1、判定條件
   2、檢測操作

編號：2
要求內容 對於采用靜態口令認證技術的設備， 應配置當用戶連續認證失敗次數超
過6次（不含6次） ，鎖定該用戶使用的賬號
操作指南 1、參考配置操作
設定帳號鎖定次數和時間
以管理員身份登錄控制臺

1. 點擊左側面板”Security”文件夾，展開”REALM”
2. 點擊右側面板中的”User Lock”標簽，設定 Lockout Enabled，Lockout
   5
   Threshold 值為 5，Lockout Duration 為30（分鐘）

檢測方法 1、判定條件
2、檢測操作
以管理員身份登錄控制臺

1. 點擊左側面板”Security”文件夾，展開”REALM”
2. 點擊右側面板中的”User Lock”標簽，查看鎖定閾值，鎖定持續時間，
   鎖定重置持續時間
   4.3 日誌
   編號 1：
   要求內
   容
   開啟日誌功能
   參考操
   作

以管理員身份登錄管理控制臺

1. 點擊域名，在右側面板選擇“Configuration”標簽
2. 選擇logging標簽，設置域級日誌，勾選如下圖紅色標記部分

6

3. 點擊域名下 servers 下的服務器名，在右側面板選擇“Logging”標簽，選擇
   Domain，勾選”Log to Domain Log file”

4. 同上，點擊 Server標簽，配置服務器級日誌，勾選”Log to stdout”等，如
   下紅色標記項
   7

5. 同上，點擊“HTTP”標簽，按如下紅色標記部分進行配置

8
檢測方法 1、判定條件
開啟日誌功能

編號 2：
要求內
容
配置日誌審計
參考
操作

以管理員身份登錄控制臺

1. 點擊左側面板Security文件夾,展開provider,然後點擊Auditing文件夾

2. 查看是否配置Auditor，如無則選擇”Configure a new Default Auditor”並設置
   審計級另為FAILURE.

3. 點擊左側面板中域名下的服務器，在右側面板“General”標簽中設置
   Configuration Auditing為logAudit

檢測方
法
1、判定條件
配置了審計，設置審計級另為 FAILURE，Configuration Auditing 為
logAudit
2、檢測操作
以管理員身份登錄控制臺

1. 點擊左側面板 Security文件夾,展開 provider,然後點擊 Auditing文件夾

2. 查看是否配置 Auditor，對照如下圖的紅色標記部分配置

   9

3. 點擊左側面板中域名下的服務器，對照如下圖的紅色標記部分配置
   4.4 Keystore 和SSL設置
   編號 1：
   要求內容 合理設置 WebLogic Keystore 和 SSL
   操作指南 創建用戶自已的私有密鑰和數字證書
   以管理員身份登錄管理控制臺：
4. 點擊左面板域名文件夾，然後點擊“servers”文件夾，點擊要管理的
   服務器名
5. 在右側面板的”configuration”面板下的”Keystore &SSL”標簽中，點
   擊Keystore configuration中 “Change”項，改變默認私有密鑰設置
6. 同上點擊SSL configuration中 “Change”項，改變默認私有密鑰設置
7. 同上點擊”Advanced option”中”Show”項，勾選” SSLRejection
   Logging Enabled”
   檢測方法 以管理員身份登錄管理控制臺：
8. 點擊左面板域名文件夾，然後點擊“servers”文件夾，點擊要管理的
   服務器名

10

2. 在右側面板的”configuration”面板下的”Keystore &SSL”標簽中查看
   如下圖相應紅色標記部分和藍色標記部分

4.5 Sockets最大打開數量
編號 1：
要求內容 合理設置應用服務器 Sockets 最大打開數量
操作指南 1、 參考配置操作：
11
以管理員身份登錄管理控制臺

1. 點擊左側面板的域名文件夾，然後點擊Servers文件夾，雙
   擊要管理的服務器
2. 在右側面板的“Configuration”面板下選擇“Tuning”標簽
3. 設置” Maximum Open Sockets”為254 或其它用戶設定值
   備註：此項操作需開發人員在測試機修改後測試，應用正常然後
   再在生產機器上修改
   檢測方法 以管理員身份登錄管理控制臺
4. 點擊左側面板的域名文件夾，然後點擊Servers文件夾，雙擊
   要管理的服務器
5. 在右側面板的“Configuration”面板下選擇“Tuning”標簽，查看
   Maximum Open Sockets 值

4.6 文件和目錄權限
編號：1
要求內容 合理設置文件與目錄權限，沒有不必要的權限，也不存在不必要
的文件
參考操作

對啟動和環境腳本限制權限為710，確認BEA_HOME屬主為
weblogic用戶，對不必要的工具文件設置權限為700並改後綴名
為.predeleted
以root 身份執行以下操作：

chown –R “weblogicuser” $BEA_HOME

find $BEA_HOME/ -name *.sh |xargs chmod 710

#檢查不必要工具文件，並將限制權限為 700

tar cvf beahome.date ‘+%y%m%d‘.tar $BEA_HOME

find $WL_HOME/ -name config_builder.sh |xargs chmod 700

find $WL_HOME/ -name startWLBuilder.sh |xargs chmod 700

find $WL_HOME/ -name jcommon-0.7.0.jar |xargs chmod 700

find $WL_HOME/ -name PointBase |xargs chmod 700

find $WL_HOME/ -name medrec |xargs chmod 700

#檢查不必要工具文件，並改名為.predeleted
#mv config_builder.sh config_builder.sh.predeleted
#mv startWLBuilder.sh startWLBuilder.sh.predeleted
#mv jcommon-0.7.0.jar jcommon-0.7.0.jar.predeleted
#mv PointBase PointBase.predeleted
#mv medrec medrec .predeleted
檢測方法
以root 身份執行以下操作：

ls –alR $BEA_HOME

find $BEA_HOME/ -name *.sh |xargs ls –al

12
#查找不必要的工具文件

find $BEA_HOME/ -name config_builder.sh |xargs ls –al

find $BEA_HOME/ -name startWLBuilder.sh |xargs ls –al

find $BEA_HOME/ -name jcommon-0.7.0.jar |xargs ls –al

find $WL_HOME/ -name PointBase |xargs ls –al

find $WL_HOME/ -name medrec |xargs ls –al

4.7 WebLogic運行模式
編號：1
要求內容 更改運行模式為”Production Mode”
參考操作

以管理員身份登錄管理控制臺

1. 點擊域名，在右側面板選中”Genaral”標簽
2. 勾選” Production Mode”，更改運行模式為” Production
   Mode”
   檢測方法
   以root身份執行：

3. find $BEA_HOME/ -name myserver.log | grep –i

   “Production Mode”

   find $BEA_HOME/ -name setEnv.sh | grep –i “Production

   Mode”

4. 以管理員身份登錄管理控制臺,點擊域名，在右側面板選
   中”Genaral”標簽,查看是否勾選” Production Mode”

4.8 Sender Server Header
編號：1
要求內容 禁用 Send Server header
參考操作

以管理員身份登錄管理控制臺

1. 點擊域名下的Servers文件夾，選擇要管理的服務器
2. 在右側面板“Protocols”面板下，點擊HTTP標簽
3. 去掉 Send Server header 項前面的勾,禁止 Send Server
   header
   檢測方法
   以管理員身份登錄管理控制臺
4. 點擊域名下的Servers文件夾，選擇要管理的服務器
5. 在右側面板“Protocols”面板下，點擊HTTP標簽
6. 檢查是否勾選 Send Server header

4.9 刪除Sample程序
13
編號：1
要求
內容
刪除sample程序
參考
操作

以管理員身份登錄管理控制臺
1．點擊”Deployment”文件夾，查看是否有如下形式應用存在：
2．# find $BEA_HOME/ -name sample | xargs rm –rf
檢測
方法

1. 以root權限執行

   find $BEA_HOME/ -name sample –print

2. 以管理員身份登錄管理控制臺
   a) 點擊”Deployment”文件夾，查看是否有如下形式應用存在：

   b) 展開”Deployment”子文件夾，查看是否存在以上形式內容，其path中包
   含“samples“目錄, 如下圖

14

4.10 設定默認出錯頁面
編號：1
要求內容 重新在應用程序 web.xml 中定義默認出錯頁面
參考操作

編輯<Application HOME>/WEB-INF/web.xml ， 加入 error-page
定義
檢測方法
1、判斷依據：

2、檢查操作：
以root身份執行：

cat <Application HOME>/WEB-INF/web.xml

4.11 session超時時間
編號：1
要求內容 根據具體應用，合理設置 session 超時時間
參考操作

在應用程序的 web.xml 中定義 session超時時間，例如，以下設
置表示 session超時時間為 15分鐘
15
<session-config>
<session-timeout>15</session-timeout>
</session-config>

檢測方法 檢查是否在應用程序的 web.xml 中定義了 session 超時時間

4.12 補丁
編號：1
要求內容 在不影響業務的情況下，升級到最新補丁，而且該補丁要通過實
驗測試
參考操作
安裝最新安全相關補丁包，安全補丁下載需要 BEA 公司授權，
WebLogic 安全公告 URL：
http://dev2dev.bea.com/advisoriesnotifications/

檢測方法

1. 以管理員身份登錄管理控制臺, 右鍵點擊左側面板ConWLe圖
   標，選擇“View Server & Browser Info”,查看版本號
   2．以 root 身份執行：

   cat $BEA_HOME/logs/log.txt

4.13 HTTP加密協議
要求內容 對於通過 HTTP 協議進行遠程維護的設備，設備應支持使用
HTTPS等加密協議。
操作指南 1、參考配置操作
以管理員身份登錄管理控制臺：

1. 點擊左面板域名文件夾，然後點擊“servers”文件夾，點擊要管
   理的服務器名
2. 在右側面板的”configuration”面板下的”Keystore &SSL”標簽
   中，啟用 ssl configure
   檢測方法 1、判定條件
   2、檢測操作

4.14 連接數設置
要求內容 根據機器性能和業務需求，設置最大最小連接數。
操作指南 1、 參考配置操作

16
以管理員身份登錄管理控制臺

1. 點擊左側面板的域名文件夾，然後點擊Servers文件夾，雙擊要管理
   的服務器
2. 在右側面板的“Configuration”面板下選擇“Tuning”標簽
3. 設置” Maximum Open Sockets”為254 或其它用戶設定值
   2、 補充操作說明
   檢測方法 1、判定條件
   2、檢測操作
   檢查當前的連接數

WebLogic 安全配置要求及操作指南