1 检查是否设置最大最小连接数
管理控制台中Servers/${weblogic_name}$的MaxOpenSockCount值设置最大连接数
找到配置文件在以下节点添加
domain/server/max-open-sock-count
期望值:254
2 检查是否设置认证失败次数超过6次锁定账号
1. 管理控制台中SecurityConfiguration/${weblogic_domain}$/Realms/${default_realm}$/UserLockoutManager/UserLockoutManager的LockoutEnabled值设置true
2. 管理控制台中SecurityConfiguration/${weblogic_domain}$/Realms/${default_realm}$/UserLockoutManager/UserLockoutManager的LockoutThreshold值设置5
3. 管理控制台中SecurityConfiguration/${weblogic_domain}$/Realms/${default_realm}$/UserLockoutManager/UserLockoutManager的LockoutDuration值设置30
检查是否启用Lockout
/domain/security-configuration/realm/user-lockout-manager/lockout-enabled
期望值:true
检查锁定阈值
/domain/security-configuration/realm/user-lockout-manager/lockout-threshold
期望值:5
检查锁定持续时间
/domain/security-configuration/realm/user-lockout-manager/lockout-duration
期望值:30
3 检查是否合理设置 Keystore 和 SSL
1. 管理控制台中Servers/${weblogic_name}$的KeyStores值设置
2. 管理控制台中Servers/${weblogic_name}$/SSL/${weblogic_name}$的IdentityAndTrustLocations值设置 KeyStores
3. 管理控制台中Servers/${weblogic_name}$/SSL/${weblogic_name}$的SSLRejectionLoggingEnabled值设置 true
Keystore配置:
/domain/server/key-stores
期望值:DemoIdentityAndDemoTrust
Ssl配置:
/domain/server/ssl/identity-and-trust-locations
期望值:KeyStores
检查SSLRejection Logging设置:/domain/server/ssl/ssl-rejection-logging-enabled
期望值:true
4 检查是否开启主机名认证
管理控制台中Servers/${weblogic_name}$/SSL/${weblogic_name}$的HostnameVerificationIgnored值设置 false
/domain/server/ssl/hostname-verification-ignored
期望值:false
5 检查运行模式是否为生产模式
管理控制台中serverConfig的ProductionModeEnabled值设置true
/domain/production-mode-enabled
期望值:true
6 检查WebLogic是否以非root用户运行
设置WebLogic运行用户不为root
7 检查是否配置默认出错页面
配置/WEB-INF/web.xml文件中是否设置error-page节点;示例:*error.html*error.html
8 检查是否安装更新WebLogic最新补丁
该检查项不会作为合规性判断
9 检查是否开启日志功能
管理控制台中Servers/${weblogic_name}$/WebServer/${weblogic_name}$/WebServerLog/${weblogic_name}$的LoggingEnabled值设置 true
/domain/server/web-server/web-server-log/logging-enabled
期望值:true
10 检查口令长度是否至少为8位
管理控制台中SecurityConfiguration/${weblogic_domain}$/Realms/${default_realm}$/AuthenticationProviders/DefaultAuthenticator的MinimumPasswordLength值设置大于等于8
//realm/password-validator[name='SystemPasswordValidator']/min-password-length
期望值:8
11 检查Sockets最大打开数量
管理控制台中Servers/${weblogic_name}$的MaxOpenSockCount值设置大于0 例:254
/ab:domain/ab:server/ab:max-open-sock-count
期望值:254
12 检查是否启用HTTP加密协议
管理控制台中Servers/${weblogic_name}$/SSL/${weblogic_name}$的Enabled值设置 true
/ab:domain/ab:server/ab:ssl/ab:enabled
期望值:true
13 检查是否删除sample程序
删除weblogic应用目录下是否存在sample文件或目录
14 检查是否设置session 超时时间
设置应用程序web.xml中定义的session超时时间,示例:15
session-timeout
期望值:15
15 检查是否禁用 Send Server header
管理控制台中Servers/${weblogic_name}$/WebServer/${weblogic_name}$的SendServerHeaderEnabled值设置 false
/ab:domain/ab:server/ab:web-server/ab:send-server-header-enabled
期望值:false