weblogic安全设置
1. 用户名密码安全设置
1.1. 操作系统用户weblogic安全
要求:密码长度应8位以上,并符合密码复杂度要求(要求密码组成至少存在数字、字母(大,小写)和特殊字符)
1.2. weblogic后台用户名密码策略
要求:不使用默认用户名/密码:weblogic/weblogic(weblogic1234)
密码长度应8位以上,并符合密码复杂度要求(要求密码组成至少存在数字、字母(大,小写)和特殊字符),修改完成后,保存。
点击安全领域>myrealm>用户和组>提供程序>口令验证>
SystemPasswordValidator>提供程序特定,
1.3. 帐号锁定策略
要求:密码重试次数5次,锁定时间30分钟(默认配置即可)
点击安全领域>myrealm>配置> 用户封锁。
表
关于同志近三年现实表现材料材料类招标技术评分表图表与交易pdf视力表打印pdf用图表说话 pdf
1. 配置用户封锁
设置
描述
默认值
Lockout Enabled
该设置表明是否启用封锁功能。如果使用另一种可选的Authentication Provider(它使用自己独有的保护用户帐户的机制),需要禁用这项功能。
true
Lockout Threshold
该设置决定了在封锁用户之前,允许登录尝试失败的最大次数。
5
Lockout Reset Duration
假定Lockout Threshold是5,而Lockout Reset Duration是3分钟。如果一个用户在3分钟之内进行了5次失败的登录尝试,该用户帐户将被封锁。如果这5次失败的尝试并非发生在3分钟之内,那么该帐户仍然保持活动。
5分钟
Lockout Duration
该设置决定了被封锁之后,用户无法访问其帐号的持续时间(以分钟为单位)。
30分钟
Lockout Cache Size
该设置指定用于保存无效登录尝试的缓存大小。
5
Lockout GC Threshold
该设置决定了内存中保存的无效登录尝试的最大值。当无效登录记录的数目超过了这个值,WebLogic的垃圾收集器就会删除所有到期的记录——此时相关的用户已经被封锁。
400
2. 审计日志
2.1. 开启访问日志,按时间滚动,并保留60天
1点击环境>服务器>Adminservers>日志记录
2点击环境>服务器>Adminservers>HTTP>日志记录
3点击base_domain >日志记录
3. Weblogic header设置
正确设置weblogic header可以防止扫描软件猜解weblogic的版本信息,进而进行下一步攻击。
3.1. 禁用Send Server Header(默认禁用)
点击环境>服务器>Adminservers>协议 >http
检查是否勾选Send Server header
3.2. 禁用X-Powered-By Header
1点击base_domain>web应用程序
2点击lock&edit修改X-Powered-By Header为“将不发送X-Powered-By Header ”
4. 限制应用服务器Socket数量
1点击环境>服务器>Adminservers>配置>优化
修改“最大打开套接字数”,使其不为默认的“-1”
5. 修改默认路径及端口
5.1默认端口
点击环境>服务器>Adminservers>配置>一般信息
5.1默认后台路径
点击base_domain>配置>一般信息