《WebLogic-Web服务器安全配置风险评估检查表.docx》由会员分享,可在线阅读,更多相关《WebLogic-Web服务器安全配置风险评估检查表.docx(12页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、WebLogicWeb服务器安全配置基线目 录第1章概述11.1目11.2适用范围11.3适用版本1第2章账号管理、认证授权22.1账号22.1.1账号锁定策略22.2口令22.2.1密码复杂度2第3章日志配置操作43.1日志配置43.1.1审核登录4第4章IP协议安全配置54.1IP协议54.1.1支持加密协议54.1.2限制应用服务器Socket数量54.1.3禁用Send Server Header6第5章设备其他配置操作75.1安全管理75.1.1定时登出75.1.2更改默认端口75.1.3错误页面处理85.1.4目录列表访问限制8第1章 概述1.1 目本文档规定了WebLogic W
2、eb服务器应当遵循安全性设置标准,本文档旨在指导系统管理人员进行WebLogic Web服务器安全配置。1.2 适用范围本配置标准使用者包括:服务器系统管理员、应用管理员、网络安全管理员。1.3 适用版本6.x、7.x、8.x版本WebLogic Web服务器。现在最新weblogic服务器时9.1,此文件不适用和最新服务器第2章 账号管理、认证授权2.1 账号2.1.1 账号锁定策略安全基线项目名称WebLogic账号锁定安全基线要求项安全基线编号SBL-WebLogic-02-01-01 安全基线项说明 要求设定帐号锁定次数和时间检测操作步骤1、参考配置操作 查看以管理员身份登录控制台1.
3、 点击左侧面板”Security”文件夹,展开”REALM”2. 点击右侧面板中”User Lock”标签,查看Lockout Enabled,Lockout Threshold,Lockout Duration等基线符合性判定依据1、判定条件要求Lockout Enabled=true;Lockout Threshold=5;Lockout Duration=30备注2.2 口令2.2.1 密码复杂度安全基线项目名称WebLogic密码复杂度安全基线要求项安全基线编号SBL-WebLogic-02-01-01 安全基线项说明 对于采用静态口令认证技术设备,口令长度至少8位。检测操作步骤1、参
4、考配置操作 查看WebLogic安装目录下weblogic.properties配置文件2、补充操作说明口令要求:长度至少8位。基线符合性判定依据1、判定条件weblogic.system.minPasswordLen=8备注第3章 日志配置操作3.1 日志配置3.1.1 审核登录安全基线项目名称WebLogic审核登录安全基线要求项安全基线编号SBL-WebLogic-03-01-01 安全基线项说明 设备应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用账号,登录是否成功,登录时间,以及远程登录时,用户使用IP地址。检测操作步骤1、参考配置操作查看WebLogic安装目录下web
5、logic.properties配置文件基线符合性判定依据1、判定条件weblogic.system.enableReverseDNSLookups=true备注第4章 IP协议安全配置4.1 IP协议4.1.1 支持加密协议安全基线项目名称WebLogic支持加密协议安全基线要求项安全基线编号SBL-WebLogic-04-01-01 安全基线项说明 对于通过HTTP协议进行远程维护设备,设备应支持使用HTTPS等加密协议。检测操作步骤1、参考配置操作查看WebLogic安装目录下weblogic.properties配置文件基线符合性判定依据1、判定条件weblogic.system.SS
6、LListenPort=portNumber weblogic.security.certificate.server=mycert.der weblogic.security.key.server=mykey.der weblogic.security.certificate.authority=CA.der weblogic.security.certificateCacheSize=5 weblogic.security.clientRootCA=anyValidCertificate weblogic.httpd.register.authenticated=weblogic.t3.s
7、rvr.ClientAuthenticationServlet weblogic.httpd.register.T3AdminCaptureRootCA=admin.T3AdminCaptureRootCA 备注4.1.2 限制应用服务器Socket数量安全基线项目名称WebLogic限制应用服务器Socket数量安全基线要求项安全基线编号SBL-WebLogic-04-01-02 安全基线项说明 Sockets最大打开数目设置不当话,容易受到拒绝服务攻击,超出操作系统文件描述符限制检测操作步骤1、参考配置操作以管理员身份登录管理控制台 1. 点击左侧面板域名文件夹,然后点击Servers文件
8、夹,双击要管理服务器 2. 在右侧面板“Configuration”面板下选择“Tuning”标签,查看Maximum Open Sockets值基线符合性判定依据1、判定条件要求Maximum Open Sockets不大于254。备注4.1.3 禁用Send Server Header安全基线项目名称WebLogic禁用Send Server Header安全基线要求项安全基线编号SBL-WebLogic-04-01-03 安全基线项说明 Sockets最大打开数目设置不当话,容易受到拒绝服务攻击,超出操作系统文件描述符限制检测操作步骤1、参考配置操作以管理员身份登录管理控制台1. 点击域
9、名下Servers文件夹,选择要管理服务器2. 在右侧面板“Protocols”面板下,点击HTTP标签3. 检查是否勾选Send Server header基线符合性判定依据1、判定条件要求禁止Send Server header备注第5章 设备其他配置操作5.1 安全管理5.1.1 定时登出安全基线项目名称WebLogic定时登出安全基线要求项安全基线编号SBL-WebLogic-05-01-01 安全基线项说明 对于具备字符交互界面设备,应支持定时账户自动登出。登出后用户需再次登录才能进入系统。检测操作步骤1、参考配置操作查看WebLogic安装目录下weblogic.propertie
10、s配置文件基线符合性判定依据1、判定条件weblogic.login.readTimeoutMillis=integer weblogic.login.readTimeoutMillisSSL=integer 备注5.1.2 更改默认端口安全基线项目名称WebLogic运行端口安全基线要求项安全基线编号SBL-WebLogic-05-01-02 安全基线项说明 更改WebLogic服务器默认端口检测操作步骤1、参考配置操作查看WebLogic安装目录下weblogic.properties配置文件基线符合性判定依据1、判定条件weblogic.system.listenPort=integer
11、备注5.1.3 错误页面处理安全基线项目名称WebLogic错误页面处理安全基线要求项安全基线编号SBL-WebLogic-05-01-03 安全基线项说明 WebLogic错误页面重定向检测操作步骤1、参考配置操作查看/WEB-INF/web.xml:基线符合性判定依据1、 判定条件要求包含如下片段:备注5.1.4 目录列表访问限制安全基线项目名称WebLogic目录列表安全基线要求项安全基线编号SBL-WebLogic-05-01-04 安全基线项说明 禁止WebLogic列表显示文件检测操作步骤1、参考配置操作查看WebLogic安装目录下weblogic.properties配置文件基线符合性判定依据1、判定条件weblogic.httpd.indexDirectories=false备注