WeblogicWeb服务器的安全设置
Weblogic简单介绍
WebLogic是日本Oracle公司出品的一个applicationserver,准确的说是一个基于JAVAEE构架的中间件,WebLogic是用于开发、集成、部署和管理小型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和JavaEnterprise标准的安全性引入小型网路应用的开发、集成、部署和管理之中。
Weblogic安全设置1、更改weblogic后台用户名密码策略
要求:不使用默认用户密码、弱密码。密码宽度最小8位以上,并符合密码复杂要求(密码组成起码存在数字、大小写字母和特殊字符)。
主页>安全领域概要>myrealm>用户和组>myrealm>提供程序>SystemPasswordValidator>提供程序特定
2、账号锁定策略
要求:密码重试次数5次linux查看硬件信息,锁定时间30分钟(默认配置)
实际操作:
主页>安全领域概要>myrealm>配置>用户封锁
3、日志审计配置
要求:开启访问日志linux安装配置weblogic实例linux安装配置weblogic实例,按时间滚动RED HAT LINUX 9.0,并保留60天
实际操作:
环境>服务器>Adminservers>日志记录
4、Weblogicheader设置
禁用Sendserverheader(默认禁用)
实际操作:
环境>服务器>Adminservers>合同>http>检测是否开启发送服务器焦段
禁用X-Powered-ByHearder
实际操作:
Base_domain>web应用程序>更改X-Powered-By Header为“将不发送X-Powered-By Header ”
5、限制应用服务器Socket数目
实际操作:
环境>服务器>Adminservers>配置>优化 更改“最大打开套接字数”,使其不为默认的“-1”
6、修改默认路径和端口
实际操作:
环境>服务器>Adminservers>配置>通常信息
