检测项 用户权限 检测内容 查看运行weblogic的用户权限 加固方法 例如linux,命令行下输入ps -ef | grep weblogic 查看运行weblogic服务的用户,然后查看此用户的权限; 1、依次展开“安全领域> myrealm>用户和组”查看weblogic用户; 2、访谈管理员,判断各账户的使用情况; 帐户共用 不允许不同用户共用同一账户 帐户清理 应删除过期、无用帐户 1、依次展开“安全领域> myrealm>用户和组”查看weblogic用户; 2、访谈管理员,判断各账户的使用情况; 3、删除无用账户。 口令长度策略 设置Weblogic帐户口令长度 1、依次展开主页>安全领域> myrealm>提供程序>口令验证> SystemPasswordValidator >提供程序设定>口令长度策略; 2、查看最小口令长度; 3、更改最小口令长度的值。 口令复杂度策略 设置Weblogic帐户口令复杂度 1、依次展开主页>安全领域> myrealm>提供程序>验证> DefaultAuthenticator>提供程序设定>字符策略; 2、设置“任意字符的最大出现次数”、“最大连续字符数”、“最小字母字符数”、“最小数字字符数”、“最小小写字符数”、“最小大写字符数”、“最少非字母数字字符数”、“最小非字母字符数”各项的值。 用户名策略 应设置用户名策略,防止设置口令包含用户名或设置为用户名 1、依次展开主页>安全领域> myrealm>提供程序>验证> DefaultAuthenticator>提供程序设定>用户名策略; 2、勾选“如果口令包含用户名则拒绝”、“如果口令包含反向用户名则拒绝”。 用户封锁 应配置weblogic登录失败锁定策略 1、依次展开主页>安全领域> myrealm>配置>用户封锁 2、查看“封锁阈值、封锁持续时间、封锁重置持续时间”的值,并是否启用封锁策略 封锁阈值:在锁定用户帐户之前, 可连续发生的无效登录尝试的最大次数 封锁持续时间:锁定用户帐户的分钟数 封锁重置持续时间:在期间内连续进行无效登录尝试会导致锁定用户帐户; 3、设定相应的值并启用封锁策略。 日志审计 启用日志记录,配置按日期rotate 1、依次展开:服务器> AdminServer (管理)>日志记录>HTTP; 2、查看要“要保留的文件数”的值; 3、根据业务需求配置“要保留的文件数”的值,建议配置保留日志为60天或90天。 4、保存后重启weblogic。 审计策略 应合理配置审计策略 1、依次展开:主页>安全领域> myrealm>提供程序>审计; 2、查看是否启用审计功能; 3、启用审计功能,例如:新建一个审计程序>配置>提供程序设定>严重性选择FAILURE; 4、保存后重启weblogic。 SSL设置 应启用SSL拒绝日志 1、测试是否可通过HTTPS登录控制台; 2、如果可用HTTPS登录,依次展开:主页>服务器>AdminServer (管理)>配置>SSL>高级>启用 SSL 拒绝日志记录; 3、保存后重启weblogic X-Powered-By 应禁用Header X-Powered-By Header标头 服务端口 修改默认端口 依次展开:主页>域>配置>web应用程序>X-Powered-By 标头>将不发送X-Powered-By标头 1、依次展开:主页>服务器> AdminServer (管理)>配置>一般信息>监听端口; 2、更改监听端口号,保存重启; 3、或者修改配置文件user_projects\\domains\\mydomain\\config\\config.xml