文档从网络中收集,已重新整理排版.word版本可编辑.欢迎下载支持.
WebLogic Web服务器
安全配置基线
中国移动通信有限公司 管理信息系统部
2012年 04月
1文档来源为:从网络收集整理.word版本可编辑.
文档从网络中收集,已重新整理排版.word版本可编辑.欢迎下载支持.
版本 V1.0 V2.0 备注:
1. 若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。
创建 更新 版本控制信息 更新日期 2009年4月 2012年4月 更新人 审批人 1文档来源为:从网络收集整理.word版本可编辑.
目 录
第1章 概述 ......................................................................................................................................... 4 1.1 1.2 1.3 1.4 1.5
目的 ......................................................................................................................................... 4 适用范围 ................................................................................................................................. 4 适用版本 ................................................................................................................................. 4 实施 ......................................................................................................................................... 4 例外条款 ................................................................................................................................. 4
第2章 帐号管理、认证授权 ............................................................................................................. 5 2.1
帐号 ......................................................................................................................................... 5
系统启动帐号 ................................................................................................................. 5
2.1.2 帐号锁定策略 ................................................................................................................. 5 2.2 口令 ......................................................................................................................................... 6 2.2.1 密码复杂度 ..................................................................................................................... 6
第3章 日志配置操作 ......................................................................................................................... 7 3.1
日志配置 ................................................................................................................................. 7
2.1.1
3.1.1 第4章 4.1
审核登录 ......................................................................................................................... 7
IP协议安全配置 ................................................................................................................ 8
IP协议 ..................................................................................................................................... 8
4.1.1 4.1.2 4.1.3 支持加密协议 ................................................................................................................. 8
限制应用服务器Socket数量 ......................................................................................... 8 禁用Send Server Header ................................................................................................ 9
第5章 设备其他配置操作 ............................................................................................................... 10 5.1
安全管理 ............................................................................................................................... 10
5.1.1 5.1.2 5.1.3 5.1.4 定时登出 ....................................................................................................................... 10 更改默认端口* ............................................................................................................. 10 错误页面处理 ............................................................................................................... 11 目录列表访问限制 ....................................................................................................... 11
第6章 评审与修订 ........................................................................................................................... 12
3
第1章 概述
1.1 目的
本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的WebLogic Web服务器应当遵循的安全性设置标准,本文档旨在指导系统管理人员进行WebLogic Web服务器的安全配置。
1.2 适用范围
本配置标准的使用者包括:服务器系统管理员、应用管理员、网络安全管理员。 本配置标准适用的范围包括:支持中国移动集团公司管理信息系统部运行的WebLogic Web服务器系统。
1.3 适用版本
8.x 9.x 10.x版本的WebLogic Web服务器。
1.4 实施
本标准的解释权和修改权属于中国移动集团管理信息系统部,在本标准的执行过程中若有任何疑问或建议,应及时反馈。
本标准发布之日起生效。
1.5 例外条款
欲申请本标准的例外条款,申请人必须准备书面申请文件,说明业务需求和原因,送交中国移动通信有限公司管理信息系统部进行审批备案。
4
第2章 帐号管理、认证授权
2.1 帐号 2.1.1 系统启动帐号
安全基线项目名称 安全基线编号 安全基线项说明 检测操作步骤 WebLogic启动帐号安全基线要求项 SBL-WebLogic-02-01-01 要求限制帐号 1、参考配置操作 查看以管理员身份登录控制台 执行# ps –ef| grep –i weblogic 基线符合性判定依据 备注
1、判定条件 执行帐号不可以是root和nobody。 2.1.2 帐号锁定策略
安全基线项目名称 安全基线编号 安全基线项说明 检测操作步骤 WebLogic帐号锁定安全基线要求项 SBL-WebLogic-02-01-02 要求设定帐号锁定次数和时间,错误输入密码10次,系统自动锁定,锁定时间5分钟。 1、参考配置操作 查看以管理员身份登录控制台 1. 点击左侧面板”Security”文件夹,展开”REALM” 2. 点击右侧面板中的”User Lock”标签,查看Lockout Enabled,Lockout Threshold,Lockout Duration等 基线符合性判定依据 1、判定条件 要求Lockout Enabled=true; Lockout Threshold=10; Lockout Duration=5 4