weblogic安全配置步骤详解

1、引言

前段时间Java的反序列化漏洞吵得沸沸扬扬,因工作原因需要对weblogic进行安全配置,网上关于weblogic的安全配置的内容都不是很全面,可能是因为weblogic已经比较成熟了吧。本文就总结一下在整个过程中遇到的一些坑,并给出正确的姿势。

2、密码复杂度及更改周期策略

默认在安装时,weblogic要求密码至少为8位,但是没有限制密码复杂度。因此需要在安装时手工设置复杂的密码,weblogic11g时设置如下的密码:“We8_Q7%*5@1@Oracle”。

WLST(Weblogic Scripting Tool)weblogic脚本工具,如果你不想在console操作修改Weblogic的相关配置,可以试试用WLST。可以用它来监视和管理Weblogic Server实例以及域。

Weblogic9.2版本中”C:\bea\weblogic92\common\bin\wlst.cmd”为WLST脚本工具。

Weblogic11g版本中在如下位置:

如果已经采用了默认的weblogic弱口令,则需要对密码进行修改,具体修改步骤如下:

1)登陆console管理控制台,修改密码。

选择“ base_domain”->“Environment” -> “ Security Realms” ->”Users and Groups” ->“Passwords”,然后修改密码。

2)重启weblogicbase_domain域服务

当你重启weblogic后就会发现,weblogic报错。错误信息主要是因为boot.properties的文件中的密码与新设置的密码不一致导致的,所以在这里我们把这个配置文件重设一下就可以了。具体路径:C:\bea\user_projects\domains\base_domain\servers\AdminServer\security\boot.properties将文件里的username和password改为我们的新密码,在这里不要担心明文会造成不安全因素,在下次重启时,就会自动被weblogic用3DES加密的。

3)更改boot.properties**用户名和密码**

修改密码。

4)重启weblogicbase_domain域服务后正常访问。

3、启用管理端口

登录控制台后点击“Domain Structure”,在“Settings for base_domain”配置页面的选择选项卡“Configuration”->” General”。

EnableAdministration Port:管理端口

启用安全管理控制台端口和URL路径的步骤:

1)登录weblogic管理控制台

在管理控制台中勾选管理端口,点击激活更改。

2)重启服务

尝试通过https://localhost:9002/console访问weblogic管理控制台。

4、日志安全配置

Weblogic日志主要分为SERVER运行日志、HTTP访问日志、DOMAIN运行日志。其中SERVER运行日志、HTTP访问日志可以通过Weblogic后台图形化界面进行配置。

SERVER运行日志:WebLogic SERVER在启动或运行过程中有错误发生,错误信息会显示在屏幕上,并且会记录在一个LOG文件中,该文件默认名为AdminServer.log。该文件也记录WebLogic的启动及关闭等其他运行信息。可在General属性页中设置该文件的路径及名字,错误的输出的等级等。

每条日志消息都具有关联的严重程度级别。日志消息的级别大致说明其重要级别或紧急级别。WebLogic Server 具有从 TRACE 到 EMERGENCY 的预定义严重程度,在将日志请求调度给记录器时,会将对应严重程度转换为日志级别。日志级别对象可以指定下列按照最小影响到最大影响的顺序排列的任意值:

TRACE、DEBUG、INFO、NOTICE、WARNING、ERROR、CRITICAL、ALERT、EMERGENCY可以在记录器和处理程序上设置日志严重程度级别。在记录器上进行设置时,任何处理程序都不会收到记录器已拒绝的事件。例如,如果在记录器上将日志级别设置为 NOTICE,则任何处理程序都不会收到 INFO 级别的事件。在处理程序上设置日志级别时,仅会对处理程序应用限制,而不会对其他程序应用限制。例如,为文件处理程序关闭 DEBUG 意味着不会将任何 DEBUG 消息写入日志文件,但会将 DEBUG 消息将写入标准输出。

HTTP访问日志:在WebLogic中可以对用HTTP,HTTPS协议访问的服务器上的文件都做记录,该LOG文件默认的名字为Access.log,内容如下,该文件具体记录在某个时间,某个IP地址的客户端访问了服务器上的那个文件。

DOMAIN运行日志:记录一个DOMIAN的运行情况,一个DOMAIN中的各个WebLogic SERVER可以把它们的一些运行信息(比如:很严重的错误)发送给一个DOMAIN的Administratior SERVER上,Administratior SERVER把这些信息些到DOMAIN 日志中。默认名为:domain_name.log

1)登录控制台后查看“Domain Structure”->“Environment”->“Servers”选项,选择”AdminServer(admin)”,点击“Logging”选项卡,对General和http进行设置,具体设置如下所示:

1)登录控制台后查看“DomainStructure”->” Configuration”->“logging”选项,对domain进行设置,具体设置如下所示:

5、最小化安装

 代码如下 复制代码

1)禁止采用默认weblogic作为管理员用户名,建议采用不易被猜测的用户名,如“root_domain”等。

2)禁止采用示例应用

6、管理控制台访问地址限制以及关闭管理控制台

登录控制台后点击“Domain Structure”,在“Settings for base_domain”配置页面的选择选项卡“Configuration”->” General”,点击Advanced按钮,查看配置情况:

当然除了上述方法还可以通过修改配置文件关闭管理控制台。

1)选择domain->configuration->General选项卡,点击Advanced option更改如下参数:

2)去掉被选中的“ConsoleEnabled”选项,然后保存,并激活配置;

默认开启状态下的config.xml配置文件如上所示。

关闭管理控制台的config.xml配置参数,如上图所示。

3)重启服务后,再次访问管理控制台,出现“Error 404–Not Found”。

一旦关闭管理控制台后如何进行开启呢?

| 1、修改config.xml配置文件:

true admin console-ext || — || 2、重新启动domain服务 |

7、重建weblogic用户名及密码

忘记了weblogic server的管理员密码,可以通过如下的方式来重置weblogic的密码。

1)为了保证操作安全,备份%DOMAIN_HOME%/security(C:\bea\user_projects\domains\base_domain\security)主域目录的如下文件夹的所有文件,如DefaultAuthenticatorInit.ldift。

2)进入%DOMAIN_HOME%/security目录,执行下列命令:

| 运行java -cp/usr/local/bea/weblogic92/server/lib/weblogic.jar weblogic.security.utils.AdminAccount <新用户名> <新密码> .注意最后有个“ .”,一个空格和一个点:执行完后在当前目录会生成一个新的DefaultAuthenticatorInit.ldift文件,然后替换原来的/security/DefaultAuthenticatorInit.ldift文件。 || — |

重建DefaultAuthenticatorInit.ldift文件,如上图所示,并且文件生成如下图所示:

3)进入管理服务器的security目录。

cd %DOMAIN_HOME%/servers/AdminServer。将其中的data目录重命名,如:data_old,或者备份到别的地方。

4)进入../AdminServer/security 目录删除boot.properties。

重新新建:boot.properties,增加如下内容:

username=adminuserpassword=weblogic

重建boot.properties密码文件

5)完成后会发现,管理控制台密码被修改且用户名已经被替换成adminuser。

3、总结

上述仅仅是考虑了单机模式weblogic的安全配置方式,不足之处还望大家多多指点。

以上是小编为您精心准备的的内容,在的博客、问答、公众号、人物、课程等栏目也有的相关内容,欢迎继续使用右上角搜索按钮进行搜索日志
, 密码
, 文件
, 安全
, 程序
配置
weblogic.xml配置详解、weblogic wtc配置详解、weblogic配置图文详解、weblogic配置详解、vm虚拟机配置步骤详解,以便于您获取更多的相关知识。

时间: 2024-11-08 21:16:02

weblogic安全配置步骤详解的相关文章

php5.3.10的安装配置步骤详解

在linux中php安装配置与windows中有不小的区别了,在linux中几乎都是代码形式了,下面我们一起来看看php5.3.10的安装配置步骤详解,希望下文可帮助到各位. 下面以最新的php-5.3.10为例进行安装. wget http://cn.php.net/distributions/php-5.3.10.tar.gz tar -zxvf php-5.3.10.tar.gz cd php-5.3.10 ./configure --prefix=/usr/local/php --wit

mysql免安装版配置步骤详解

 这篇文章主要介绍了mysql免安装版配置步骤详解,提供了二个网友的安装方法,大家可以参考使用 1.准备工作   下载mysql的最新免安装版本mysql-noinstall-5.1.53-win32.zip,解压缩到相关目录,如:d: mysql-noinstall-5.1.53-win32.这个就是mysql的根目录了.   2.配置   在根目录下有几个文件如下:   my-small.ini (这是针对一个小内存(〈= 64MB)的系统,MySQL 只会被时不时地用一下,很重要的是 my

centos6中gitolite安装配置步骤详解

git服务端的管理工具用过2个,一个gitlab,一个是gitolite, 1,gitlab功能强大,有web管理界面,反正是各种方便吧,请参考:linux gitlab nginx 安装 配置 详解,但是gitlab安装比较麻烦 2,gitolite,安装非常简单,功能也比较简单,基本需要能满足,创建仓库,分配权限,总体来说还不错. 如果频繁的创建仓库,以及人员变更,用gitlab比较合适的,反之gitolite比较合适. 一,安装GIT # yum install perl openssh

nginx反向代理缓存配置步骤详解

这里给出示例,并详解. http { [...] [...]   proxy_cache_path  /data/nginx/cache/one  levels=1:2   keys_zone=one:10m max_size=10g; proxy_cache_key  "$host$request_uri";   server {     server_name www.centos.bz centos.bz;     root /home/www.centos.bz/web;   

Win2003下IIS+PHP+MySQL+Zend配置步骤详解第1/2页_php技巧

一.软件的获取 1.php首先去http://www.php.net/downloads.php下载最新的PHP 5.2.0版本. 2.MySQL可以在http://dev.mysql.com/downloads/mysql/5.0.html#downloads下载到最新的5.0.xx版本. 3.Zend Optimizer可以去http://www.zend.com/free_download/optimizer下载最新的3.X.X版本. 4.phpmyadmin可以到http://www1.

centos下Nginx安装配置步骤详解

nginx可以使用各平台的默认包来安装,本文是介绍使用源码编译安装,包括具体的编译参数信息. 正式开始前,编译环境gcc g++ 开发库之类的需要提前装好,这里默认你已经装好. ububtu平台编译环境可以使用以下指令 apt-get install build-essential apt-get install libtool centos平台编译环境使用如下指令 安装make: yum -y install gcc automake autoconf libtool make 安装g++:

阿里云ECS php运行环境lnmp环境配置步骤详解

正式版的ECS购买时配置的是公共镜像CentOs6.5 64位,要搭建的是LNMP运行环境.使用的是官网下载的一键安装包linux_setup_1.4.1.zip进行安装: 安装rzsz(可以直接通过x-shell界面选择本地windows系统上传文件) # yum install -y lrzsz 上传linux_setup_1.4.1.zip并解压. 进行安装(可参照压缩包中的pdf文档). # chmod –R 777 sh-1.4.1 # cd sh-1.4.1 # ./install.

linux VPS服务器安全配置步骤详解

在开通了 Linux 系统的 VPS 或服务器后,我们有必要做一些基本的安全设置. 大概有如下几个方面: 1. 禁止root帐号ssh,使用自定义帐号ssh: 这样一来,黑客要先猜到帐号,然后才能猜解密码: 2. 禁止帐号登录,使用pubkey登录: 3. 作ip ACL,只允许几个特定的IP访问: 4. ssh端口迁移,将默认22端口改为其他端口: 5. 启动尽量少的服务:如无必要,不起服务. 配置开始 一.关闭 SSH 密码登陆 首先,你需要有自己的 SSH Key,如果你使用 Window

MongoDB远程访问配置步骤详解_MongoDB

本文介绍的内容是关于MongoDB远程访问配置,下面话不多说,直接来看看详细的步骤. 1.首先修改mongodb的配置文件 让其监听所有外网ip 编辑文件: /etc/mongodb.conf 修改后的内容如下: bind_ip = 0.0.0.0 port = 27017 auth=true 2. /etc/init.d/mongodb restart 3.连接 #本地连接 /usr/local/mongodb/bin/mongo #远程连接 /usr/local/mongodb/bin/mo