WebLogicWeb服务器安全配置风险评估检查表

第3章 日志配置操作

3.1 日志配置 3.1.1 审核登录

安全基线项目名称 安全基线编号 安全基线项说明 检测操作步骤 基线符合性判定依据 备注

WebLogic审核登录安全基线要求项 SBL-WebLogic-03-01-01 设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址。 1、参考配置操作 查看WebLogic安装目录下的weblogic.properties配置文件 1、判定条件 weblogic.system.enableReverseDNSLookups=true

第4章 IP协议安全配置

4.1 IP协议 4.1.1 支持加密协议

安全基线项目名称 安全基线编号 安全基线项说明 检测操作步骤 基线符合性判定依据 WebLogic支持加密协议安全基线要求项 SBL-WebLogic-04-01-01 对于通过HTTP协议进行远程维护的设备，设备应支持使用HTTPS等加密协议。 1、参考配置操作 查看WebLogic安装目录下的weblogic.properties配置文件 1、判定条件 weblogic.system.SSLListenPort=portNumber weblogic.security.certificate.server=mycert.der weblogic.security.key.server=mykey.der weblogic.security.certificate.authority=CA.der weblogic.security.certificateCacheSize=5 weblogic.security.clientRootCA=anyValidCertificate weblogic.httpd.register.authenticated=\\ weblogic.t3.srvr.ClientAuthenticationServlet weblogic.httpd.register.T3AdminCaptureRootCA=admin.T3AdminCaptureRootCA 备注 4.1.2 限制应用服务器Socket数量

安全基线项目名称 安全基线编号 安全基线项说明 检测操作步骤 WebLogic限制应用服务器Socket数量安全基线要求项 SBL-WebLogic-04-01-02 Sockets最大打开数目设置不当的话，容易受到拒绝服务攻击，超出操作系统文件描述符限制 1、参考配置操作 以管理员身份登录管理控制台 1. 点击左侧面板的域名文件夹，然后点击Servers文件夹，双击要管理的服务器 2. 在右侧面板的“Configuration”面板下选择“Tuning”标签，查看Maximum Open Sockets值 基线符合性判定依据 备注 1、判定条件 要求Maximum Open Sockets不大于254。 4.1.3 禁用Send Server Header

安全基线项目名称 安全基线编号 安全基线项说明 检测操作步骤 WebLogic禁用Send Server Header安全基线要求项 SBL-WebLogic-04-01-03 Sockets最大打开数目设置不当的话，容易受到拒绝服务攻击，超出操作系统文件描述符限制 1、参考配置操作 以管理员身份登录管理控制台 1. 点击域名下的Servers文件夹，选择要管理的服务器 2. 在右侧面板“Protocols”面板下，点击HTTP标签 3. 检查是否勾选Send Server header 基线符合性判定依据 备注 1、判定条件 要求禁止Send Server header

第5章 设备其他配置操作

5.1 安全管理 5.1.1 定时登出

安全基线项目名称 安全基线编号 安全基线项说明 检测操作步骤 基线符合性判定依据 备注 WebLogic定时登出安全基线要求项 SBL-WebLogic-05-01-01 对于具备字符交互界面的设备，应支持定时账户自动登出。登出后用户需再次登录才能进入系统。 1、参考配置操作 查看WebLogic安装目录下的weblogic.properties配置文件 1、判定条件 weblogic.login.readTimeoutMillis=integer weblogic.login.readTimeoutMillisSSL=integer 5.1.2 更改默认端口

安全基线项目名称 安全基线编号 安全基线项说明 检测操作步骤 基线符合性判定依据 备注 WebLogic运行端口安全基线要求项 SBL-WebLogic-05-01-02 更改WebLogic服务器默认端口 1、参考配置操作 查看WebLogic安装目录下的weblogic.properties配置文件 1、判定条件 weblogic.system.listenPort=integer 5.1.3 错误页面处理

安全基线项目名称 安全基线编号 安全基线项说明 检测操作步骤 基线符合性判定依据 WebLogic错误页面处理安全基线要求项 SBL-WebLogic-05-01-03 WebLogic错误页面重定向 1、参考配置操作 查看/WEB-INF/web.xml: 1、 判定条件 要求包含如下片段： 备注 5.1.4 目录列表访问限制

安全基线项目名称 安全基线编号 安全基线项说明 检测操作步骤 基线符合性判定依据 备注

WebLogic目录列表安全基线要求项 SBL-WebLogic-05-01-04 禁止WebLogic列表显示文件 1、参考配置操作 查看WebLogic安装目录下的weblogic.properties配置文件 1、判定条件 weblogic.httpd.indexDirectories=false