*本文原創作者:shewey,本文屬FreeBuf原創獎勵計劃,未經許可禁止轉載1����、引言
前段時間Java的反序列化漏洞吵得沸沸揚揚,因工作原因需要對weblogic進行安全配置,網上關于weblogic的安全配置的內容都不是很全面,可能是因為weblogic已經比較成熟了吧�����。本文就總結一下在整個過程中遇到的一些坑,并給出正確的姿勢���。
2���、密碼復雜度及更改周期策略
默認在安裝時,weblogic要求密碼至少為8位,但是沒有限制密碼復雜度����。因此需要在安裝時手工設置復雜的密碼,weblogic11g時設置如下的密碼:“We8_Q7%*5@1@Oracle”�����。
WLST(Weblogic Scripting Tool)weblogic腳本工具,如果你不想在console操作修改Weblogic的相關配置,可以試試用WLST��?�?梢杂盟鼇肀O視和管理Weblogic Server實例以及域����。
Weblogic9.2版本中”C:beaweblogic92commonbinwlst.cmd”為WLST腳本工具�����。
Weblogic11g版本中在如下位置:
如果已經采用了默認的weblogic弱口令,則需要對密碼進行修改,具體修改步驟如下:
1)登陸console管理控制臺,修改密碼����。
選擇“ base_domain”->“Environment” -> “ Security Realms” ->”Users and Groups” ->“Passwords”,然后修改密碼�����。
2)重啟weblogicbase_domain域服務
當你重啟weblogic后就會發現,weblogic報錯����。錯誤信息主要是因為boot.properties的文件中的密碼與新設置的密碼不一致導致的,所以在這里我們把這個配置文件重設一下就可以了����。
具體路徑:C:beauser_projectsdomainsbase_domainserversAdminServersecurityboot.properties將文件里的username和password改為我們的新密碼,在這里不要擔心明文會造成不安全因素,在下次重啟時,就會自動被weblogic用3DES加密的�����。
3)更改boot.properties**用戶名和密碼**
修改密碼�����。
4)重啟weblogicbase_domain域服務后正常訪問����。
3���、啟用管理端口
登錄控制臺后點擊“Domain Structure”,在“Settings for base_domain”配置頁面的選擇選項卡“Configuration”->” General”��。
EnableAdministration Port:管理端口
啟用安全管理控制臺端口和URL路徑的步驟:
1)登錄weblogic管理控制臺
在管理控制臺中勾選管理端口,點擊激活更改���。
2)重啟服務
嘗試通過https://localhost:9002/console訪問weblogic管理控制臺��。
4��、日志安全配置
Weblogic日志主要分為SERVER運行日志�、HTTP訪問日志�����、DOMAIN運行日志�����。其中SERVER運行日志��、HTTP訪問日志可以通過Weblogic后臺圖形化界面進行配置�。
SERVER運行日志:WebLogic SERVER在啟動或運行過程中有錯誤發生,錯誤信息會顯示在屏幕上,并且會記錄在一個LOG文件中,該文件默認名為AdminServer.log�����。
該文件也記錄WebLogic的啟動及關閉等其他運行信息���??稍贕eneral屬性頁中設置該文件的路徑及名字,錯誤的輸出的等級等�。
每條日志消息都具有關聯的嚴重程度級別�����。日志消息的級別大致說明其重要級別或緊急級別���。WebLogic Server 具有從 TRACE 到 EMERGENCY 的預定義嚴重程度,在將日志請求調度給記錄器時,會將對應嚴重程度轉換為日志級別�。
日志級別對象可以指定下列按照最小影響到最大影響的順序排列的任意值:
TRACE���、DEBUG�����、INFO����、NOTICE��、WARNING�����、ERROR����、CRITICAL�����、ALERT����、EMERGENCY可以在記錄器和處理程序上設置日志嚴重程度級別��。在記錄器上進行設置時,任何處理程序都不會收到記錄器已拒絕的事件���。
例如,如果在記錄器上將日志級別設置為 NOTICE,則任何處理程序都不會收到 INFO 級別的事件�。在處理程序上設置日志級別時,僅會對處理程序應用限制,而不會對其他程序應用限制�。
例如,為文件處理程序關閉 DEBUG 意味著不會將任何 DEBUG 消息寫入日志文件,但會將 DEBUG 消息將寫入標準輸出�����。
HTTP訪問日志:在WebLogic中可以對用HTTP,HTTPS協議訪問的服務器上的文件都做記錄,該LOG文件默認的名字為Access.log,內容如下,該文件具體記錄在某個時間,某個IP地址的客戶端訪問了服務器上的那個文件����。
DOMAIN運行日志:記錄一個DOMIAN的運行情況,一個DOMAIN中的各個WebLogic SERVER可以把它們的一些運行信息(比如:很嚴重的錯誤)發送給一個DOMAIN的Administratior SERVER上,Administratior SERVER把這些信息些到DOMAIN 日志中���。
默認名為:domain_name.log
1)登錄控制臺后查看“Domain Structure”->“Environment”->“Servers”選項,選擇”AdminServer(admin)”,點擊“Logging”選項卡,對General和http進行設置,具體設置如下所示:
1)登錄控制臺后查看“DomainStructure”->” Configuration”->“logging”選項,對domain進行設置,具體設置如下所示:
5���、最小化安裝
1)禁止采用默認weblogic作為管理員用戶名,建議采用不易被猜測的用戶名,如“root_domain”等��。2)禁止采用示例應用
6��、管理控制臺訪問地址限制以及關閉管理控制臺
登錄控制臺后點擊“Domain Structure”,在“Settings for base_domain”配置頁面的選擇選項卡“Configuration”->” General”,點擊Advanced按鈕,查看配置情況:
當然除了上述方法還可以通過修改配置文件關閉管理控制臺�����。
1)選擇domain->configuration->General選項卡,點擊Advanced option更改如下參數:
2)去掉被選中的“ConsoleEnabled”選項,然后保存,并激活配置;
默認開啟狀態下的config.xml配置文件如上所示��。
關閉管理控制臺的config.xml配置參數,如上圖所示���。
3)重啟服務后,再次訪問管理控制臺,出現“Error 404–Not Found”�����。
一旦關閉管理控制臺后如何進行開啟呢?
| 1����、修改config.xml配置文件:
true admin console-ext || — || 2�、重新啟動domain服務 |
7���、重建weblogic用戶名及密碼
忘記了weblogic server的管理員密碼,可以通過如下的方式來重置weblogic的密碼�����。
1)為了保證操作安全,備份%DOMAIN_HOME%/security(C:beauser_projectsdomainsbase_domainsecurity)主域目錄的如下文件夾的所有文件,如DefaultAuthenticatorInit.ldift��。
2)進入%DOMAIN_HOME%/security目錄,執行下列命令:
| 運行java -cp/usr/local/bea/weblogic92/server/lib/weblogic.jar weblogic.security.utils.AdminAccount <新用戶名> <新密碼> .注意最后有個“ .”,一個空格和一個點:執行完后在當前目錄會生成一個新的DefaultAuthenticatorInit.ldift文件,然后替換原來的/security/DefaultAuthenticatorInit.ldift文件�。 || — |
重建DefaultAuthenticatorInit.ldift文件,如上圖所示,并且文件生成如下圖所示:
3)進入管理服務器的security目錄��。
cd %DOMAIN_HOME%/servers/AdminServer����。將其中的data目錄重命名,如:data_old,或者備份到別的地方��。
4)進入../AdminServer/security 目錄刪除boot.properties�。
重新新建:boot.properties,增加如下內容:
username=adminuserpassword=weblogic
重建boot.properties密碼文件
5)完成后會發現,管理控制臺密碼被修改且用戶名已經被替換成adminuser�。
8�、總結
上述僅僅是考慮了單機模式weblogic的安全配置方式,不足之處還望大家多多指點�。
*本文原創作者:shewey,本文屬FreeBuf原創獎勵計劃,未經許可禁止轉載
