1 检查是否设置最大最小连接数

管理控制台中Servers/${weblogic_name}$的MaxOpenSockCount值设置最大连接数

找到配置文件在以下节点添加

domain/server/max-open-sock-count

期望值：254

2 检查是否设置认证失败次数超过6次锁定账号

1. 管理控制台中SecurityConfiguration/${weblogic_domain}$/Realms/${default_realm}$
/UserLockoutManager/UserLockoutManager的LockoutEnabled值设置true

2. 管理控制台中SecurityConfiguration/${weblogic_domain}$/Realms/${default_realm}$
/UserLockoutManager/UserLockoutManager的LockoutThreshold值设置5

3. 管理控制台中SecurityConfiguration/${weblogic_domain}$/Realms/${default_realm}$
/UserLockoutManager/UserLockoutManager的LockoutDuration值设置30

检查是否启用Lockout

/domain/security-configuration/realm/user-lockout-manager/lockout-enabled

期望值：true

检查锁定阈值

/domain/security-configuration/realm/user-lockout-manager/lockout-threshold

期望值：5

检查锁定持续时间

/domain/security-configuration/realm/user-lockout-manager/lockout-duration

期望值：30

3 检查是否合理设置 Keystore 和 SSL

1. 管理控制台中Servers/${weblogic_name}$的KeyStores值设置

2. 管理控制台中Servers/${weblogic_name}$/SSL/${weblogic_name}$的IdentityAndTrustLocations值设置 KeyStores

3. 管理控制台中Servers/${weblogic_name}$/SSL/${weblogic_name}$的
SSLRejectionLoggingEnabled值设置 true

Keystore配置：

/domain/server/key-stores

期望值：DemoIdentityAndDemoTrust

Ssl配置：

/domain/server/ssl/identity-and-trust-locations

期望值：KeyStores

检查SSLRejection Logging设置：
/domain/server/ssl/ssl-rejection-logging-enabled

期望值：true

4 检查是否开启主机名认证

管理控制台中Servers/${weblogic_name}$/SSL/${weblogic_name}$的
HostnameVerificationIgnored值设置 false

/domain/server/ssl/hostname-verification-ignored

期望值：false

5 检查运行模式是否为生产模式

管理控制台中serverConfig的ProductionModeEnabled值设置true

/domain/production-mode-enabled

期望值：true

6 检查WebLogic是否以非root用户运行

设置WebLogic运行用户不为root

7 检查是否配置默认出错页面

配置<Application HOME>/WEB-INF/web.xml文件中是否设置error-page节点；示例：<erro-page><exception-type>*</exception-type><location>error.html</location></erro-page>\n<erro-page><exception-type>*</exception-type><location>error.html</location></erro-page>

8 检查是否安装更新WebLogic最新补丁

该检查项不会作为合规性判断

9 检查是否开启日志功能

管理控制台中Servers/${weblogic_name}$/WebServer/${weblogic_name}$/WebServerLog/${weblogic_name}$的LoggingEnabled值设置 true

/domain/server/web-server/web-server-log/logging-enabled

期望值：true

10 检查口令长度是否至少为8位

管理控制台中SecurityConfiguration/${weblogic_domain}$/Realms/${default_realm}$
/AuthenticationProviders/DefaultAuthenticator的MinimumPasswordLength值设置大于等于8

//realm/password-validator[name='SystemPasswordValidator']/min-password-length

期望值：8

11 检查Sockets最大打开数量

管理控制台中Servers/${weblogic_name}$的MaxOpenSockCount值设置大于0 例：254

/ab:domain/ab:server/ab:max-open-sock-count

期望值：254

12 检查是否启用HTTP加密协议

管理控制台中Servers/${weblogic_name}$/SSL/${weblogic_name}$的Enabled值设置 true

/ab:domain/ab:server/ab:ssl/ab:enabled

期望值：true

13 检查是否删除sample程序

删除weblogic应用目录下是否存在sample文件或目录

14 检查是否设置session 超时时间

设置应用程序web.xml中定义的session超时时间，示例：15

session-timeout

期望值：15

15 检查是否禁用 Send Server header

管理控制台中Servers/${weblogic_name}$/WebServer/${weblogic_name}$的SendServerHeaderEnabled值设置 false

/ab:domain/ab:server/ab:web-server/ab:send-server-header-enabled

期望值：false