1.资源需求
中间件介质 server923_generic.jar
JDK介质 jrockit-jdk1.5.0_24-R28.1.0-4.0.1-linux-x64.bin
2.实施步骤
2.1主机信息核查
运行top/topas、vmstat、df、fdisk 、lvs/lsvg等命令,核查主机信息;
需配置LVM磁盘分区,需独立lv逻辑卷组安装中间件
2.2中间件安装
上传安装介质:
通过sftp或挂载磁盘的方式,上传安装介质到主机应用目录中;
新增中间件用户:
#创建相关目录,用户,组
groupadd oracle
groupadd oinstall
#weblogic用户主目录:建议创建/weblogic目录,大小最小8G;/tmp目录最少2G
useradd -g oinstall -G oracle -m weblogic
passwd weblogic
安装JDK,并配置环境变量(以下操作在weblogic用户下完成)
由于上传的jdk文件没有执行权限,所以要赋予他执行权限;
#chmod 755jrockit-jdk1.5.0_24-R28.1.0-4.0.1-linux-x64.bin
运行安装jdk到/weblogic目录
#./jrockit-jdk1.5.0_24-R28.1.0-4.0.1-linux-x64.bin
配置JDK环境变量
#cd /home/weblogic
#ls -la
#vi .bash_profile
加入以下设置
export JAVA_HOME=/weblogic/jrockit-jdk1.5.0_24-R28.1.0-4.0.1
export PATH=$JAVA_HOME/bin:$PATH
export CLASSPATH=.:$JAVA_HOME/lib/tools.jar:$JAVA_HOME/lib/dt.jar:$CLASSPATH
配置安装weblogic(以下操作在weblogic用户下完成)
#通过java –jar命令运行weblogic安装包,并根据提示继续安装
java –jarserver923_generic.jar
2.3中间件域配置
通过执行config.sh,按需求从上到下配置管理员账户、域模式、JDK模式、高级配置直至安装完成:
#通过config.sh建域,根据提示继续安装
./config.sh
下图为例子:
2.4中间件安全加固
对weblogic进行安全加固实施,并保证每项实施完成,如下:
2.4.1 设备管理
应配置管理控制台,提高系统远程管理安全。
基线技术要求
|
基线标准点(参数)
|
说明
|
管理控制台(可选)
|
重命名控制台文件夹(console)
|
将控制台console重命名,禁止默认方式访问
|
2.4.2 用户账号与口令安全
应配置用户账号与口令安全策略,提高系统账户与口令安全。
基线技术要求
|
基线标准点(参数)
|
说明
|
口令策略
|
口令长度最小8个字符
|
加强口令设置
|
账号策略
|
a)Lockout Threshold(5)
b)Lockout Duration(3)
c)Lockout Reset
Duration(3)
|
失败尝试次数5次
帐号锁定时间3分钟 失败尝试时间3分钟 |
2.4.3 日志与审计
应对系统的日志进行安全控制与管理,保护日志的安全与有效性。
基线技术要求
|
基线标准点(参数)
|
说明
|
weblogin日志记录
|
定义日志名称及存储位置
|
记录相关日志
|
HTTP日志记录
|
定义日志名称及存储位置
|
记录相关日志
|
日志保存要求
|
2个月
|
日志必须保存2个月
|
2.4.4 安全防护
应通过对Weblogic系统配置参数调整,提高系统安全。
基线技术要求
|
基线标准点(参数)
|
说明
|
安装优化(可选)
|
删除Configuration Wizard
|
防止已知攻击
|
删除WebLogic Builder
|
防止已知攻击
| |
删除jCOM
|
防止已知攻击
| |
删除示例域
|
防止已知攻击
| |
数据传输安全
|
SSL密码
|
在服务器console管理中浏览器与服务器传输信息配置SSL
|
服务端口
|
修改默认端口
|
默认服务端口TCP7001修改为其它端口
|
SSL保护
|
启用主机名校验
|
通过禁用”Hostname Verification Ignored”保护SSL中间人攻击
|
Banner信息
|
禁止发送服务标识
|
通过禁用配置文件“Send Server Header”,防止信息泄漏
|
2.4.5 其它内容
应限制服务器的Socket数量。
基线技术要求
|
基线标准点(参数)
|
说明
|
服务器Socket数量
|
Maximum Open Sockets=1000
|
限制应用服务器Socket数量
|
3.回退步骤
针对所有新增部署接入项,进行回退;并对用户信息进行rm –rf处理,其他中间件介质和目录,直接清理即可。