首页 » 应用安全 » Web 服务器 » Weblogic » 正文

Weblogic 安全加固

1、以低权限用户运行weblogic

以weblogic 12c为例,执行如下命令:
# su - root
# groupadd weblogic
# useradd -g weblogic weblogic -s /bin/bash
# chown -R weblogic:weblogic /tmp/wls12120

然后重新启动服务
# su - weblogic
# /tmp/wls12120/user_projects/domains/mydomain/startWebLogic.sh

2、限制用户尝试登陆次数

选择左侧导航栏中的“安全领域”,选择右侧领域名称,再选择“用户封锁”,根据自身需求设置参数:

设置完成后无需重启,测试效果如图:

3、更改控制台目录名

更改高级选项中的“控制台上下文路径”为一个特异的名字,以达到隐蔽的效果,修改后需重启生效。

当然,也可以直接取消掉“启用控制台”,这样就完全不能使用console了。

 

4. 删除内置应用

停止Weblogic应用,根据需要删除下列位置的对应名称的文件或目录,然后重启服务:

WAR 包:
%WEBLOGIC_HOME%/wlserver/server/lib/*.war
%WEBLOGIC_HOME%/***domain/servers/***server/tmp/.internal/*.war
工作目录:
%WEBLOGIC_HOME%/***domain/servers/***server/tmp/_WL_internal/*
注意:**domain 是在安装weblogic时由运维人员定义的名称,需根据实际情况确定

例如,要删除 uddiexplorer 解决 UDDI Explorer SSRF 漏洞(CVE-2014-4241)需要删除下列文件/目录:
%WEBLOGIC_HOME%/wlserver/server/lib/uddiexplorer.war
%WEBLOGIC_HOME%/***domain/servers/***server/tmp/.internal/uddiexplorer.war
%WEBLOGIC_HOME%/***domain/servers/***server/tmp/_WL_internal/uddiexplorer(目录)

注意:所有bea和wls开头的war包都不能删除,删除后weblogic将无法启动。


5. 启用管理端口

通常,为了管理方便,控制台无法直接取消,这时可以通过启用管理端口来进行加固。

启用管理端口后,管理控制台就不能通过应用端口来访问了,而是使用指定的管理端口,这样有利于在实际应用中基于端口设置访问控制策略,限制非法用户对管理控制台的访问。

开启管理端口后,需要使用https协议访问管理控制台。例如:

https://x.x.x.x:9002/console/

 

 方法一:通过管理控制台配置:

 登录管理控制台,在左侧边栏的”域结构”中点击“****domain”(创建的域),点击标签栏“配置一般信息”,勾选“启用管理端口”,单击页面底部的“保存”按钮。

完成后,点击左侧边栏顶部的“激活更改”按钮即可。

 

方法二:通过配置文件来配置:

修改所创建域下的config/config.xml文件,在文件的configuration-version参数前插入如下配置(如果已有相关配置请直接修改参数对应的值):

<!--管理端口开关//-->
<administration-port-enabled>true</administration-port-enabled>
<!--管理端口号,默认9002-->
<administration-port>9002</administration-port>

配置完成后,需要重启Weblogic。

发表评论