加强服务器安全WebLogic篇

更新时间:2023-06-18 00:56:16 阅读: 评论:0

加强服务器安全WebLogic篇
WebLogic简介:
⼀个基于JAVAEE架构的中间件,WebLogic是⽤于开发、集成、部署和管理⼤型分布式Web应⽤、⽹络应⽤和数据库应⽤的Java应⽤服务器。将Java的动态功能和Java Enterpri标准的安全性引⼊⼤型⽹络应⽤的开发、集成、部署和管理之中。
Weblogic部署安全加固⼤致步骤:
①、删除开发与⽰例程序:开发与⽰例程序是Weblogic⽤于指导开发的⽂档,正式环境中应该移除,避免被攻击者利⽤。
②、加密传输敏感信息:使⽤未加密的协议进⾏信息传输⽆法避免⽹络嗅探的发⽣,传输敏感信息如⾝份认证信息,使⽤SSL可以保障信息传输的安全性。
③、对SSL进⾏保护:通常SSL协议并不能抵抗中间⼈攻击的发⽣,通过启⽤主机名校验,可以有效确认信息发送⽅的⾝份,避免了中间⼈攻击的发⽣。
④、账号与密码:通过定义密码的最短长度,密码的失败登录尝试等密码策略可以有效的保护密码安全:
a.登录控制台后查看“Security Realms”选项,选择应⽤使⽤的realm名字(默认是myrealm)
b.查看“Ur Lockout”选项的如下属性是否已经设置:
Lockout Threshold(失败尝试次数)
Lockout Duration(帐号锁定时间)
Lockout Ret Duration(失败尝试时间)
帐号锁定缓存
shldc.系统最短⼝令长度(MinimumPassword Length)
d.禁⽤Guest⽤户
e.配置weblogic的console的⾃动注
⑤、Banner:默认当weblogic实例响应http请求的时候会发送包含⾃⾝版本信息的响应,这可能会增加服务器受攻击的威胁。
登录控制台后查看“Server->rver name->Connections->HTTP”选项,查看是否已禁⽤”Send Server Header Enabled”属性。
⑥、禁⽌⾮授权⽤户和组对weblogic 根⽬录和下级⽬录的写和执⾏权限。
⑥、设置weblogic⽇志⽂件的访问权限:应只允许管理员具有访问权限。
⑧、设置SerializedSystemIni.dat 密码⽂件的权限:应只允许系统管理员具有读写权限。
⑨、审计配置:a.开启审计功能。b.定制⽇志的严重度,使weblogic在⽤户更改域中资源的配置或调⽤域中资源的管理操作时发出⽇志消息并⽣成审核事件。c.修改weblogic ⽇志的存放路径保证⽇志存放的地点的安全可靠。
启⽤ WebLogic Server 域之间的信任:
在启⽤ WebLogic Server 域之间的信任后,会将服务器暴露于中间⼈攻击之下。因此,在启⽤⽣产环境中的信任时应⼗分谨慎。BEA 建议使⽤强⽹络安全,例如使⽤专⽤通信通道或由强防⽕墙提供保护。
建⽴域之间的信任关系,是为了使⼀个 WebLogic Server 域的主题中的委托⼈作为另⼀个域的委托⼈被接受。启⽤此功能后,将通过
RMI 连接在 WebLogic Server 域之间传递标识,⽽⽆需在第⼆个域中进⾏⾝份验证(例如,以 Joe 的⾝份登录到域 1 中,当对域 2 进⾏RMI 调⽤时,仍会对 Joe 进⾏⾝份验证)。启⽤内部域信任后,事务可跨越域提交。当⼀个域的域凭据与另⼀个域的域凭据相匹配时,就会建⽴信任关系。
但是启⽤ WebLogic Server 域之间的信任时注意:
①、由于域将信任远程委托⼈⽽不会要求进⾏⾝份验证,因此,域中可以具有未在域的⾝份验证数据库中定义的已通过⾝份验证的⽤户。此情况可导致出现授权问题。
②、域中任何已通过⾝份验证的⽤户均可以访问与原始域之间启⽤信任的任何其他域,⽽⽆需重新进⾏⾝份验证。进⾏此类登录时,将不会进⾏审核,也不会对组成员资格进⾏验证。因此,如果 Joe 是对其进⾏⾝份验证的原始域中的管理员组成员,则当他对所有可信域进⾏RMI 调⽤时,他将⾃动成为这些域的管理员组成员。
③、如果域 2 信任域 1 和域 3,则现在域 1 和域 3 将隐式信任对⽅。因此,域 1中的管理员组成员将成为域 3 中的管理员组成员。这可能不是所需的信任关系。
④、如果扩展 WLSUr 和 WLSGroup 委托⼈类,则必须在共享信任的所有域的服务器类路径中安装⾃定义委托⼈类。
使⽤连接筛选器:
连接筛选器介绍:⾸先连接筛选器允许拒绝⽹络级别的访问。它们可以⽤于保护各个服务器、服务器群集或整个内部⽹或企业内部⽹上的服务器资源。例如,可以拒绝任何来⾃公司⽹络外部的⾮ SSL 连接。⽹络连接筛选器是⼀种防⽕墙,可以将它们配置为基于协议、IP 地址和DNS 节点名进⾏筛选。
menstrual
根据⽹络防⽕墙的配置,也许可以使⽤连接筛选器进⼀步限制管理访问。⼀种典型的⽤法是,限制仅域中的服务器和计算机拥有对管理端⼝的访问权限。攻击者即使可以访问位于防⽕墙内的计算机,仍⽆法执⾏管理操作,除⾮攻击者的计算机已被授予访问权限。
WebLogic Server 提供了名为weblogic.curity.ConnectionFilterImpl 的默认连接筛选器。此连接筛选器接受所有传⼊连接,同时还提供了⼀些静态⼯⼚⽅法,使服务器可以获取当前的连接筛选器。要将此连接筛选器配置为拒绝访问,只需在WebLogic 管理控制台中输⼊连接筛选器规则即可。也可以通过实现 weblogic.curity.Net 包中的类来使⽤⾃定义连接筛选器。要配置连接筛选器,请执⾏下列操作:
①、启⽤对已接受消息的⽇志记录。此“已启⽤连接记录器”选项将记录服务器中的成功连接和连接数据。可以使⽤这些信息调试与服务器连接有关的问题。
②、选择要在域中使⽤的连接筛选器。要配置默认连接筛选器,请在“连接筛选器”中指定 weblogic.curity.ConnectionFilterImpl。要配置⾃定义连接筛选器,请在“连接筛选器”中指定实现⽹络连接筛选器的类。此外,还必须在 WebLogic Server 的 CLASSPATH 中指定该类。
easyjet
③、输⼊连接筛选器规则的语法。
使⽤Java容器授权合同:
耐心地Java 容器授权合同(Java Authorization Contract for Containers,简称 JACC)标准可以替换 WebLogic Server 提供的 EJB 和 Servlet 容器部署和授权。在将 WebLogic Server 域配置为使⽤ JACC 时,EJB 和 Servlet 授权决策将通过 JACC 框架中的类做出。WebLogic Server 中的所有其他授权决策仍将由 WebLogic 安全框架决定。honey是什么意思英文
在域中的管理服务器和所有受管服务器都需要使⽤相同的 JACC 配置。如果在管理服务器上更改 JACC 设置,则应关闭受管服务器并使⽤与管理服务器相同的设置重新引导它们,以免出现安全漏洞。否则,域中的 EJB 和 Servlet 似乎受到 WebLogic 安全框架⾓⾊和策略的保护,但实际上,受管服务器仍在 JACC 下操作。
查看MBean的特性:
历届奥运会主题曲“已启⽤匿名 Admin 查找”选项指定是否允许从 MBean API 对 WebLogic Server MBean 进⾏匿名只读访问。通过此匿名访问,可以查看未显式标记为受 Weblogic Server MBean 授权过程保护的任何 MBean 特性的值。默认情况下启⽤此选项,以确保实现向后兼容性。要获得更⾼的安全性,应禁⽤此匿名访问。
WebLogic Server中的密码保护⽅式:
gina lynn对⽤于访问 WebLogic Server 域中的资源的密码进⾏保护。过去,⽤户名和密码都以明⽂形式存储在 WebLogic 安全领域中。现shut up
在,WebLogic Server 域中的所有密码都经过散列处理。SerializedSystemIni.dat ⽂件包含密码的散列。它与特定的 WebLogic Server 域关联,因此不能在域之间移动。如果 SerializedSystemIni.dat ⽂件被破坏或受损,则必须重新配置 WebLogic Server 域。因此,应采取以下防范措施:
①、制作 SerializedSystemIni.dat ⽂件的备份副本并将其置于安全的位置。
②、设置 SerializedSystemIni.dat ⽂件上的权限,使 WebLogic Server 部署的系统 管理员具有读写权限,⽽其他⽤户均不具有任何权限。
保护⽤户账户:
WebLogic Server 定义了⼀组可保护⽤户帐户免受⼊侵者攻击的配置选项。在默认的安全配置中,这些选项被设置为最⾼的保护级别。可以使⽤管理控制台在“配置: ⽤户锁定”页上修改这些选项。系统管理员可以选择执⾏下列操作(更改这些配置选项会降低安全性,使⽤户帐户更易于受到安全攻击):
感恩节英语祝福语①、关闭所有配置选项;
②、增加在锁定⽤户帐户前的登录尝试次数;
③、延长在锁定⽤户帐户前进⾏⽆效登录尝试的时间段;
④、更改锁定⽤户帐户的时间长度。
可以使⽤两组配置选项来保护⽤户帐户,⼀组在域级别设置,另⼀组在安全领域级别设置。⽤户可能会注意到,如果在设置⼀组配置选项(例如,针对安全领域的选项)后超过其中任何⼀个值,将不会锁定⽤户帐户。发⽣这种情况是因为,域级别的⽤户帐户锁定选项替换了安全领域级别的⽤户帐户选项。要避免出现这种情况,请禁⽤安全领域级别的⽤户帐户锁定选项。
警告:如果禁⽤安全领域级别的⽤户锁定配置选项,必须设置域上的⽤户锁定配置选项,否则,⽤户帐户将失去保护。
oem是什么
配置领域适配器⾝份验证提供程序:
在使⽤兼容性安全时,默认将为 CompatibilityRealm 配置⼀个领域适配器⾝份验证提供程序。允许在此版本的 WebLogic Server 中使⽤weblogic.curity.acl.CertAuthenticator 类的实现。包含⼀个标识声明提供程序,⽤于基于 X.509 标记声明标识。
在向已配置⾝份验证提供程序的安全领域中添加领域适配器⾝份验证提供程序时,WebLogic Server 会将该领域适配器⾝份验证提供程序上的 JAAS 控制标志设置为 OPTIONAL 并在域⽬录中检查是否存在fileRealm.properties ⽂件。如果⽂件不存在,则 WebLogic Server 不会将该领域适配器⾝份验证提供程序添加到安全领域中。
由领域适配器⾝份验证提供程序⽣成的主题不包含⽤户所属组的委托⼈。应使⽤ weblogic.curity.SubjectUtils.isUrInGroup() ⽅法来确定⽤户是否属于某个组。当使⽤由领域适配器⾝份验证提供程序⽣成的主题时,将⽆法迭代⽤户所属的组的整个集合。

本文发布于:2023-06-18 00:56:16,感谢您对本站的认可!

本文链接:https://www.wtabcd.cn/fanwen/fan/90/148774.html

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系,我们将在24小时内删除。

标签:连接   选项   配置   服务器   筛选   帐户   验证   访问
相关文章
留言与评论(共有 0 条评论)
   
验证码:
Copyright ©2019-2022 Comsenz Inc.Powered by © 专利检索| 网站地图