Weblogic安全配置规范
Weblogic安全配置规范
1.概述
1.1. 目的
本规范明确了Weblogic应用服务器安全配置方面的基本要求。为了提高Weblogic应用服务器的安全性而提出的。
1.2. 范围
本规范适用于XXXX使用的Weblogic应用服务器。
2.强化Weblogic主机
2.1. 强化操作系统网络服务
【说明】在安装Weblogic前加固底层的操作系统。
2.2. 使用可以防止非授权访问的文件系统
【说明】确保Weblogic主机的文件系统可以防止非授权访问,例如Windows 的NTFS。
2.3. 限制Weblogic主机上的用户数量
【说明】理想状况下,主机上的帐号应为2个管理员权限的帐号,1个运行Weblogic的帐号。
2.4. 帐号和密码
【说明】避免使用明显可以猜测到的帐号如”system”,”admin”或者”administrator”。口令至少8位,并满足复杂度要求。
2.5. 访问Weblogic资源的帐号的唯一性
【说明】在操作系统上建立一个专门用于Weblogic的帐号。
【具体配置】
该帐号只能操作以下三个目录:
BEA主目录。该目录是BEA多个产品的共享目录。
Weblogic安装目录。该目录包括了所有的安装程序。
域目录。该目录包括了设置文件、安全文件、日志文件和J2EE应用等。
赋予该帐号对以上三个目录读写执行权限。
2.6. 使用特殊帐号Run Weblogic Server Windows服务
【说明】在Windows平台,可以以Windows服务的方式运行Weblogic Server 实例。这样会导致每次启动Windows自动执行Weblogic Server。而且不要以Windows administrator权限运行Weblogic Server。
【具体配置】
如何以一个特殊非管理员帐号运行Weblogic Server请参考以下:
http://e-
https://www.360docs.net/doc/d711173786.html,/wls/docs70/adminguide/startstop.html#Setting_Up_a_Weblogic_S
erver_as_a_Windows_Service
验证以一个特殊非管理员帐号运行Weblogic Server请参考以下:
http://e-
https://www.360docs.net/doc/d711173786.html,/wls/docs70/adminguide/startstop.html#VerifyUserAccountForWin
Service
2.7. 不在生产机上开发
【说明】在开发环境中开发相应的代码,经过测试后将代码转移到生产机上。
此举是为了防止开发过程中的Bug影响生产环境。
【具体配置】
验证DocumentRoot包括以下设置:
Order allow,deny Allow from all
Options None
AllowOverride None
2.8. 不在生产机上安装开发和sample软件
【说明】将开发工具从生产机上移除可以防止该工具被入侵者利用,一定程度地访问生产系统。
2.9. 启动安全审计
【说明】如果Weblogic运行的操作系统支持对文件和目录访问的安全审计,建议使用日志跟踪对文件和目录的拒绝访问。
【具体配置】
使用ModSecurity Core Rules限制请求的方式:
modsecurity_crs_30_http_policy.conf 文件包括以下的规则,
# allow request methods
#
# TODO Most applications only use GET, HEAD, and POST request # methods,
if so uncomment the line below. Otherwise you are advised
# to edit the line before uncommenting it.
#
SecRule REQUEST_METHOD "!^((?:(?:POS|GE)T|OPTIONS|HEAD))$" \
"phase:1,log,auditlog,status:501,msg:'Method is not allowed by policy',
severity:'2',,id:'960032',"
2.10. 应用最新的BEA补丁,考虑实施官方最新的安全建议
【说明】如题
【具体配置】
注册BEA Advisories & Notifications(https://www.360docs.net/doc/d711173786.html,/advisories)以
便收到最新的安全建议信息。
从https://www.360docs.net/doc/d711173786.html,/downloads.可以下载Service Pack
3.强化网络连接
3.1. 使用防火墙或Weblogic Server connection filters
【说明】建议使用防火墙限制Weblogic Server域外到域的连接;使用Connection Filters限制Weblogic Server域内的连接。更多信息可参考http://e-
https://www.360docs.net/doc/d711173786.html,/wls/docs70/secmanage/domain.html#connection_filter
3.2. 使用管理端口来承载管理的流量
【说明】建议使用域范围内的管理端口 Administration Port来限制同一Weblogic Server域内的server instances间的流量都经过同一端口。当不使用管理端口时,管理流量会以明文形式在网上传输。管理端口另一个好处是当遭受到拒绝服务攻击时,仍然可以通过该端口管理Weblogic Server。
配合Connection Filters使用,可以指定Weblogic Server只接受来自某一IP段的管理请求,并所有连接只通过一个端口。
使用管理端口可以保证客户端与管理控制台以加密的方式连接。
更多信息可以参考
https://www.360docs.net/doc/d711173786.html,/wls/docs70/ConsoleHelp/domain.html#enabling
3.3. 使用管理通道
【说明】建议启用管理通道Administration Channel以确保服务器间的管理流量的安全性。没有管理通道,一些关键的管理信息会以明文传输。更多的信息可以参考https://www.360docs.net/doc/d711173786.html,/wls/docs70/admin_domain/network.html
4.强化Weblogic安全服务
4.1. 部署符合生产环境的Security Provider
【说明】Weblogic Security Service使用了一个可插拔的安全架构,在这个架构下可以部署多个secuirty provider。缺省条件下,Weblogic Server包括其自身的
security providers,该provider已经提供了完整的安全解决方案。
【具体配置】
确保恰当地部署了security providers.
可以通过以下位置验证:
A dministration Console under the Security → Realms → RealmName→
Providers folder.
其它信息可以参考:https://www.360docs.net/doc/d711173786.html,/wls/docs70/secmanage/realm.html
4.2. 使用SSL
【说明】为保证数据传输安全,建议使用SSL和HTTPS替代HTTP。Weblogic Server包括一系列的开发用的Private Keys,数字证书和truseted certificate
authorities。每一个下载Weblogic Server的用户都拥有对这些证书的Private Keys。
禁止使用展示用的identity & trust.
设置SSL可以参考https://www.360docs.net/doc/d711173786.html,/wls/docs70/secmanage/ssl.html
4.3. 使用主机名验证
【说明】使用主机名验证以避免中间人攻击。缺省下,Weblogic SSL验证发起连接的主机是否经过授权,但实施SSL前主机名验证可能已经被禁止了。
【具体配置】
确保使用了Hostname Verifier
可以通过以下位置设置:
?Administration Console on theServer s→ServerName → Connections → SSL
tab.
4.4. 防止拒绝服务
【说明】限制请求的大小和时间以防止拒绝服务攻击。Weblogic Server可以限制消息的大小和消息到达的最大时间。
?可以通过以下位置设置:Administration Console on the Servers →
ServerName →Connections → Protocols tab.
4.5. 设置帐号锁定和登录时间
【说明】限制请求的大小和时间以防止拒绝服务攻击。Weblogic Server可以限制消息的大小和消息到达的最大时间。
?可以通过以下位置设置:Administration Console on the Security → Realms
→RealmName → User Lockouts tab.
4.6. 开启安全审计
【说明】如果开启了Weblogic Security Service提供的Auditing Provider,日志会存在以下位置:DomainName\DefaultAuditRecorder.log
?可以通过以下位置设置:Administration Console on the Security → Realms
→ RealmName → Providers → Auditors page.
更多信息可以参考:
https://www.360docs.net/doc/d711173786.html,/wls/docs70/ConsoleHelp/security_7x.html#auditprovider
4.7. 限制发送主机名和版本号
【说明】缺省条件下,当Weblogic Server响应HTTP请求时,在其HTTP响应的包头中包括服务器的名称和Weblogic版本号,这会导致服务器信息的泄漏。
可以通过以下位置设置:
disable the Send Server Header Enabled attribute in the Administration Console.
The attribute is located on the Server →ServerName → Connections → HTTP tab.
4.8. 默认安全角色
【说明】确保正确地将用户和组分配给默认的Weblogic Server Security
roles. 缺省下,Weblogic是基于一系列的缺省安全角色和安全策略来保护资
源。更多信息可以参考:http://e-
https://www.360docs.net/doc/d711173786.html,/wls/docs70/adminguide/secsysadm.html
weblogic管理服务配置方法
Weblogci管理服务配置方法 (第三稿)
目录 1概述 (3) 1.1本文预期读者: (3) 1.2本文作用: (3) 1.3名词解释: (3) 2基本测试环境 (4) 3管理服务与被管服务基本配置 (4) 3.1中间件安装 (4) 3.2配置管理服务器 (4) 3.3配置计算机 (4) 3.4配置NodeManager (5) 3.5配置本机受管服务 (6) 3.6配置远程受管服务 (6) 3.7配置“远程启动”选项卡 (6) 3.7.1设置类路径 (6) 3.7.2Java虚拟机内存设置 (7) 3.8受管服务的启动和停止 (7) 3.8.1控制台启动停止服务 (7) 3.8.2Weblogic脚本启动受管理服务 (8) 4久其CI部署相关配置 (8) 4.1配置连接池 (8) 4.2配置数据源 (8) 4.3发布应用程序 (8) 5其他 (8) 5.1多台计算机安装weblogic注意事项 (8) 5.2配置NodeManager常见问题 (9) 5.3设置远程启动选项卡常见问题 (10) 6后记 (10)
1概述 1.1本文预期读者: 本文读者必须有一定weblogic使用经验,对weblogic管理体系有一定了解。熟练掌握weblogic单domain配置方式。文中只对安装使用管理服务需要用到的特殊设置步骤进行说明。本文省略的地方请参考公司文档《久其CI3.0安装配置手册—Weblogic》。 1.2本文作用: 场景一: 对于某些IT内控比较严格的项目,项目组无法获得用户服务器密码。如果有需要重新启动中间件服务时项目组会非常被动。此时可以使用管理服务器来启动和停止受管理服务器上的应用服务。 场景二 在硬件资源比较充足的情况下我们可以在多台服务器上启动中间件来支撑我们的应用。此时使用管理服务可以统一部署升级应用,控制、监控各个服务的运行情况。场景三: 在单服务器32位操作系统环境下java内存最大只能使用2G。为了充分利用服务器资源我们可以启动多个服务支撑应用。多个服务如果都在单独的域中将给我们的应用部署升级,管理监控各个服务带来不便。此时我们可以使用管理服务对所有的服务进行统一管理。 场景四: 本文对weblogic管理服务进行了简单讲解,可作为学习weblogic集群的参考资料。 1.3名词解释: 域:英文名domain。“域”是指一组彼此相关的 WebLogic Server 资源,这些资源作为一个单元来管理。一个域包括一个或多个 WebLogic Server,另外还可能包括一个或多个WebLogic Server 群集。域是独立的管理单元。如果将应用程序部署在某个域中,则此应用
weblogic服务器优化配置详解
第一章概要 WebLogic 配置文件(config.xml)包含了大量很直观的与性能有关的参数,能通过配置环境与应用程序得到很好的优化。基于系统的需要调整这些参数不仅能改善单个点的性能,而且能提高整个应用程序性能的可衡量性。 试着采用下列WebLogic配置方法,或许能使你的系统达到最佳状态: 一修改运行队列线程数的值。在WebLogic 中队列元素的线程数等于同时占用运行队列的应用程序的数目。当任务加入一个WebLogic 实例,它就被放到执行队列中,然后分配给任务一个线程来运行。线程消耗资源,因此要小心处理这个属性——增加不需要的值,会降低性能。 二,如果可能,使用自带的性能包(NativeIOEnabled=true)。 三,使用特定的应用程序执行队列。 四,使用JDBC连接池时,修改下列属性: 驱动名称:使用小的驱动或者jDriver。 初始容量:设为与最大容量相同的值。 最大容量:其值至少应与线程数相同。 五,把连接池的大小设为与执行队列的线程数相同。 六,设置缓冲。 七,为Servlet和JSP使用多个执行队列。 八,改变JSP默认的Java编译器,javac 比jikes或sj要慢。 第二章优化WebLogic 提要: 为WebLogic启动设置Java参数。 设置与性能有关的配置参数。 调整开发与产品模式默认值。 使用WebLogic“自有的IO”性能包。 优化默认执行队列线程。 优化连接缓存。 如何提高JDBC连接池的性能。 设置Java编译器。 使用WebLogic集群提高性能。 监视WebLogic域。 一、为WebLogic启动设置Java参数 只要启动WebLogic,就必须指定Java参数,简单来说,通过WebLogic.Server 域的命令行就可以完成,不过,由于这样启动的过程冗长并且易于出错,BEA 公
Weblogic 11g 部署web应用程序详细图解
Weblogic 11g 部署web应用程序详细图解 ----浪花滚滚 1. 手动部署 A.创建web工程。 B.将web工程导出war格式。 导出的包: C.启动weblogic服务。 服务启动成功: D.打开服务配置页面并登陆。
E.登陆成功后,点击左侧菜单栏的部署 F.点右边的安装按钮 G.点上传文件 F.选择刚才导出的war包,将其上传,下一步。 G.选择上传好的文件,下一步。
H.选择“讲次部署安装为应用程序”,下一步。 I.可以在这里为工程取个别名,也可以用默认。其他都选择默认,下一步。 J.完成。 H.再点左侧菜单栏的部署,显示部署的应用程序的状态。 J.地址栏输入工程的地址:http://localhost:7001/工程文件名(或者刚才改过的别名),发现网页正常运行,部署成功!
2. weblogic和myeclips集成的配置部署 A.点击myeclips工具栏的按钮的黑色小三角,在弹出窗口的左侧选择Configure Server →Servers→WebLogic→Weblogic 10.x B.选择Enable
C.配置WebLogic的路径及其登录用户名和密码 D.左侧点击JDK 右边点ADD按钮 点Directory… 选择weblogic安装目录下的JDK包。 注意:weblogic的版本和JDK的版本是严格匹配的,一定要选择正确的版本号。 并且需要使用跟安装weblogic时选择的同一个JDK。 E.点左侧的Launch,右边选择Run mode
F. 配置完成! G.部署工程 点myeclips上方工具栏的按钮, 选择要部署的工程 点ADD后Server选择WebLogic10.x 点finashi,ok后,部署完成。 H.点的黑色小箭头后选择WebLogic 10.x→Start启动服务。 I.服务启动成功。 J.当工程有重名时,会发生冲突,部署失败。
weblogic中config.xml文件的配置
Weblogic中间件安装配置指南 (Weblogic 8.1 for Linux) 北京久其软件股份有限公司 2009年3月 1概述 Weblogic的安装配置总共包括五个部分: 1. 安装前准备 3. Weblogic8.1中间件产品的安装 4. 创建Weblogic实例 5. 配置实例 说明:本文档的WebLogic的安装是在linux环境下的,在Unix环境下的安装和Linux环境的安装差别不大。 2安装前准备 1.确定一个安装目录,建议该目录下至少有1个G的空间,可以使用df来查看 磁盘空间的使用情况,df命令后可加参数:如-k,使用KBytes 显示结果;-m,使用MBytes 显示结果。如下图: 2.创建一个用户组帐号,命令如下:groupadd groupname比如创建一个组名叫 bea的用户组:groupadd bea。 3.创建一个weblogic用户帐号,命令如下:useradd –g groupnameusername 说明:groupname代表用户的所属用户组的名称。 比如:useradd–g bea weblogic 。 3安装Weblogic8.1 特别说明:如果直接在Linux服务器上安装的话,可以启动Weblogic的图像安装界面,在图形安装界面安装较为简单,如果是通过一些Linux客户端文档工具安装俺么就不会启动图形界面,只能在文字界面下安装,而且要一定的英文阅读能力,请见附录部分。 安装步骤: 1. 将weblogic安装程序放到到一个临时目录。 2. 以root用户赋予.bin文件weblogic用户可执行权限,执行:chmod a+x filename.bin 3. 以刚刚创建的weblogic用户登陆,执行:su - weblogic 4. 找到weblogic8.1的安装文件,执行./ platform813_hpux32.bin,开始解压,如下 图所示: 5. 解压缩完以后,进入到Weblogic安装向导界面,如图所示: Weblogic10.3_Windows优化设置 优化说明 一、Weblogic服务程序设置 1、设置JDK内存 修改weblogic\user_projects\domain\bin下的seDomainEnv.cmd文件: 修改前: If”%JAVA_VENDOR%”=”Sun”( Set WLS_MEM_ARGS_64BIT=-Xms256m –Xmx512m Set WLS_MEM_ARGS_32BIT=-Xms256m –Xmx512m )else( Set WLS_MEM_ARGS_64BIT=-Xms512m –Xmx512m Set WLS_MEM_ARGS_64BIT=-Xms512m –Xmx512m ) Set MEM_PERM_SIZE_32BIT=-XX:PermSize=48m Set MEM_MAX_PERM_SIZE_32BIT=-XX:MaxPermSize=128m 修改后: If”%JAVA_VENDOR%”=”Sun”( Set WLS_MEM_ARGS_64BIT=-Xms512m –Xmx1024m Set WLS_MEM_ARGS_32BIT=- Xms512m –Xmx1024m )else( Set WLS_MEM_ARGS_64BIT=-Xms1024m –Xmx1024m Set WLS_MEM_ARGS_64BIT=-Xms1024m –Xmx1024m ) Set MEM_PERM_SIZE_32BIT=-XX:PermSize=128m Set MEM_MAX_PERM_SIZE_32BIT=-XX:MaxPermSize=256m 说明:红色字体为修改的内容,具体修改值根据实际内存确定 ●-Xmx3550m:设置JVM最大堆内存为3550M。 ●-Xms3550m:设置JVM初始堆内存为3550M。此值可以设置于-Xm相同,以 避免每次JVM动态分配内存所浪费的时间。 ●-XX:PermSize=256M:设置堆内存持久代初始值为256。(貌似是Eclipse等IDE 的初始化参数) ●-XX:MaxPermSize=512M:设置持久代最大值为512M 32位操作JDK内存系统:最大可这种1.5G,如果设置过大,会导致服务无法启动 64位操作JDK内存系统:最大设置为物理内存的60-80% 2、设置线程数: 修改weblogic\user_projects\domains\base_domain\bin下的setDomainEnv.cmd中在JAVA_OPTIONS中添加如下: Set JAVA_OPTIONS=%JAVA_OPTIONS% -Dweblogic.threadpool.MinPoolSize=2000 Set JAVA_OPTIONS=%JAVA_OPTIONS% -Dweblogic.threadpool.MaxPoolSize=4000 说明: JDK5.0以后每个线程栈大小为1M,但是操作系统对一个进程内的线程数还是 WebLogic部署(图解) WebLogic Server提供了三种方法来用于部署J2EE程序: ☆自动部署:WebLogic Server将定期扫描 2.打开WebLogic Server控制台: Tools→WebLogic Server→WebLogic Console,如下图: 进入到控制台登陆页面,然后登陆:(账号和密码都为weblogic) 点击“Sign In”按钮,进入到: 二.WebLogic归档文件的部署: 1.Weblogic自动部署 例如:在Weblogic中创建名称为Deploy_Test的应用程序,执行后,则在控制台中的应用程序部署中可以看到创建的应用程序已经部署,这是本地自动部署,WebLogic Server将定期扫描 64位weblogic11g安装部署以及常见问题解决方案 目录 (一) 安装 (1) 在Windows 64位操作系统安装Weblogic的注意事项 (3) (二) 部署运行 (3) 1. 包引入错误 (3) 2.乱码现象 (3) 3.mime-typeType配置问题 (4) 4.应用不存在 (4) 5.ClassNotFoundException: org.hibernate.hql.ast.HqlToken (4) 6.weblogic部署war包action不能访问问题解决方法[There is no Action mapped for namespace / and action name] (5) https://www.360docs.net/doc/d711173786.html,ng.StackOverflowError (5) (一)安装 我们在64位的服务器上为提高性能要安装64位的weblogic。经常在网上看到有人问,weblogic有64位的么?weblogic需要破解么? weblogic有专门的64位版本,这里安装的是weblogic11g,也就是10.3.6版本,12c的版本安装应该类似。weblogic从bea被oracle收购后,不需要破解,就只有授权。什么意思呢?就是说从oracle官网上下载的weblogic就是全功能版本,不管是集群还是其他,功能没有任何限制。但是如果要用于商业环境,必须要向oracle 买license,当然可以偷偷的用,那就是盗版,侵权,有一天oracle可以告的破产……。 1、下载64位weblogic,打下这个地址: https://www.360docs.net/doc/d711173786.html,/technetwork/middleware/ias/downloads/wls-main-097127.html,在这里可以看到除了mac os X操作系统外,其他系统的64位都是同一个版本,wls1036_generic.jar。如下图,weblogic的下载需要注册一个oracle官网的帐号。 Weblogic在windows下安装及部署项目教程 1.Weblogic10.3.6版本下载地址: https://www.360docs.net/doc/d711173786.html,/technetwork/cn/middleware/ias/downloads/wls-main-091116-zhs.html 或在\\192.168.60.244\Tool\测试环境工具上取 2.安装 1)安装目录:D:\Oracle\Middleware 2)选择安装类型为自定义,选择自己需要安装的组件,其他都是默认直接下一步,直 到安装完成。 3.创建域 1)创建新的weblogic域 2)其他默认,点“下一步”,到下图这个界面设置用户名和密码。例如:用户名:weblogic 密码:weblogic1 3)选择服务器启动模式和JDK 4)选择可选配置 5)配置管理服务器 6)后面步骤直接“下一步”,知道创建完成。创建完成,运行 D:\oracle\Middleware\user_projects\domains\easyStore_domain\bin\startWeblogic.c md,用浏览器打开http://192.168.60.244:7001/console可直接登录管理服务器。 4.配置受管服务器 1)登录界面,使用自己设置的用户名密码登录 2)新建受管服务器 3)设置服务器名称、服务器监听地址、服务器端口,名称和端口均不与其他服务器重 复。然后点击“下一步”,完成。 5.配置数据源 1)点击“新建”,选择“一般数据源” 2)设置JDBC数据源名称,以及数据库类型,点击“下一步” 3)设置数据库驱动程序,选择如下图所示 4)设置JDBC数据源详细信息,实际的数据库名称、数据库用户名、主机地址等。 详细设置 WebLogic Cluster 下列部分包含了配置 WebLogic Server 群集的准则和说明: ?开始之前 ?群集实现过程 开始之前 本部分简要讲述了设置 WebLogic Server 群集的前提任务和信息。 获取群集许可 群集的 WebLogic Server 实例的安装必须具有有效的群集许可。如果您没有群集许可,则请与 BEA 销售代表联系。 了解配置过程 如果您大致了解群集配置过程以及如何完成配置任务,则本部分中的信息对您最有帮助。 有关 WebLogic Server 中的可用配置工具以及它们所支持任务的信息,请参阅了解群集配置。 确定群集架构 确定什么样的群集架构最能满足您的需求。主要的架构决策包括: ?应该将所有应用程序层组合在一个群集内,还是应该将应用程序层分隔在不同的群集内? ?如何在群集中的服务器实例之间平衡负载?您将: o使用基本WebLogic Server 负载平衡, o实现第三方负载平衡器,还是 o将应用程序的Web 层部署在一个或多个次级HTTP 服务器上并向其代理请求? ?是否应该定义带有一个或多个防火墙的Web 应用程序非军事化区(De-Militarized Zone,简称DMZ)? 要获得这些决策的指导,请参阅群集体系结构和群集中的负载平衡。 您所选择的架构将对群集的设置方式产生影响。群集架构可能还需要您安装或配置其他资源,如负载平衡器、HTTP 服务器和代理插件。 考虑网络和安全拓扑结构 安全要求构成了设计合适的安全拓扑结构的基础。有关提供各种应用程序安全级别的几种其他架构的讨论,请参阅群集体系结构的安全选项。 注意:某些网络拓扑结构可能会干扰多播通信。如果您要在W AN 中部署群集,请参阅如果群集跨越W AN 中的多个子网。 注意:请尽量不要跨越防火墙在群集中部署服务器实例。有关穿越防火墙建立多播流量隧道的结果的讨论,请参阅防火墙可能会中断多播通信。 为群集安装选择计算机 确定计划在其中安装 WebLogic Server 的一个或多个计算机(在本部分中通篇称这样的计算机为“主机”)并确保它们具有所需的资源。WebLogic Server 允许您在单独的、非多宿主计算机上设置群集。这种新功能对于演示环境或开发环境非常有用。 注意:不要在具有动态分配的IP 地址的计算机上安装WebLogic Server。 多CPU 计算机上的WebLogic Server 实例 BEA WebLogic Server 对于可驻留于群集中的服务器实例数没有内置的限制。一些大型的多处理器服务器(如 Sun Microsystems, Inc. Sun Enterprise 10000)可以承载非常大的群集或者多个群集。 大多数情况下,按照每两个 CPU 一个 WebLogic Server 实例的方式进行部署,WebLogic Server 群集的可伸缩性最好。但是,您应该使用计划的所有容量对带有目标 Web 应用程序的真正部署进行测试,以确定服务器实例的最佳数量和分布。有关详细信息,请参阅“WebLogic Server 性能及调整”中的“在多 CPU 计算机上运行多个服务器实例时要注意的性能事项”。 检查主机计算机的套接口读取器实现 为了获得最佳的套接口性能,请对 WebLogic Server 主机计算机进行配置,使其使用面向您的操作系统的本地套接口读取器,而不要使用纯 Java 实现。要了解原因,以及有关配置本地套接口的说明或优化纯 Java 套接口通信的说明,请参阅使用 IP 套接口的端到端通信。 创建weblogic新域与配置Oracle连接池 一、创建一个新域 1.1.选择创建域服务器 以服务器192.168.165.14为例,用户crm01登录,进入目录:/weblogic/92/weblogic92/common/bin 使用ls命令查看bin目录下的文件,如图1.1.1所示: 图1.1.1 1.2 创建域命令 使用./congfig运行命令,如图1.2.1所示: 图1.2.1 该界面显示的1为创建一个新域,2为扩展一个已经存在的weblogic域 1.3.域资源配置 在命令行中选择输入“1”或者直接输入“Next”后点击回车进入Domain Source选择界面,如图:1.3.1 图 1.3.1 图示1为选择weblogic平台组件,2为选择已经存在的模板。 在提示符处输入“1”或者输入“Next”按回车进入Application Template选择界面,如图1.3.2所示: 图1.3.2 同样在提示符处输入“Next”进入用户配置,包括weblogic控制台登录用户名,密码,描述。如图1.3.3所示: 图1.3.3 图示1为修改用户名 图示2为修改用户密码 图示3为确认修改密码 图示4为修改描述 成功修改提交后显示如图1.3.4所示: 图1.3.4 修改完成后在提示符输入“Next”进入域模式配置Domain Mode Configuration 1.4 域模式配 域模式配置是对新建的域选择一个域的模式,模式如图1.4.1所示 图1.4.1 图示1为扩展模式,2为生产模式,默认选择1,输入Next进入下个配置项。 1.5 JDK的配置 JDK配置是选择服务器上装好的JDK版本和目录进行择,举例机器上为2,故选择2后回车,进入下个配置,如图1.5.1所示 图1.5.1 1.6 确认配置 该页面提示和选择的是是否需要修改已经配置好的模板,默认为否,如图1.6.1所示 Weblogic 集群配置手册 使用Domain Configuration Wizard进行配置 创建新的Domain 输入命令“./config.sh”,单击“下一步”按钮,如果没有配置环境路径,可进入/../weblogic/Oracle/Middleware/wlserver_10.3/common/bin/安装目录执行。 选择安装域源 选择安装“WebLogic Server”,单击“下一步”按钮 指定域名和位置 输入域名,单击“下一步”按钮。 配置管理员用户名和密码 输入Weblogic管理员管理服务器(AdminServer)的用户名和密码,在此以“sxscms”作用登录管理服务器的用户名,密码welcome1,单击“下一步”按钮 配置域启动模式和JDK 选择“生产模式”和“JRockt SDK”后,单击“下一步”按钮 选择可选配置 选择“管理服务器”和“受管服务器,集群和计算机”,单击“下一步”按钮。 配置管理服务器 根据集群配置前的规划,输入Administrator Server的名称,监听地址,监听端口,如果需要SSL支持的话可以在“SSL enabled”后面的复选取框上打勾,配置SSL监听端口,单击“下一步”按钮。 配置受管理服务器(代理服务器实际上也是一个受管理服务 器) 根据集群配置规划输入Managed Server的名称,监听地址,监听端口,如果需要SSL 支持的话,可以在“SSL enabled”复选框上打勾,配置SSL监听端口。可以配置多个Managed Server。单击“下一步”按钮 优化设置 Weblogic服务程序设置: 1、设置JDK内存: 修改weblogic\user_projects\domains\base_domain\bin下的setDomainEnv.cmd文件:修改前: if "%JAVA_VENDOR%"=="Sun" ( set WLS_MEM_ARGS_64BIT=-Xms256m -Xmx512m set WLS_MEM_ARGS_32BIT=-Xms256m -Xmx512m ) else ( set WLS_MEM_ARGS_64BIT=-Xms512m -Xmx512m set WLS_MEM_ARGS_32BIT=-Xms512m -Xmx512m ) set MEM_PERM_SIZE_32BIT=-XX:PermSize=48m set MEM_MAX_PERM_SIZE_32BIT=-XX:MaxPermSize=128m 修改后: if "%JAVA_VENDOR%"=="Sun" ( set WLS_MEM_ARGS_64BIT=-Xms512m –Xmx1024m set WLS_MEM_ARGS_32BIT=-Xms512m –Xmx1024m ) else ( set WLS_MEM_ARGS_64BIT=-Xms1024m –Xmx1024m set WLS_MEM_ARGS_32BIT=-Xms1024m –Xmx1024m ) set MEM_PERM_SIZE_32BIT=-XX:PermSize=128m set MEM_MAX_PERM_SIZE_32BIT=-XX:MaxPermSize=256m 说明:红色字体为修改的内容,具体修改值根据实际物理内存确定 ?-Xmx3550m:设置JVM最大堆内存为3550M。 Shanghai Baosight Software Co.,Ltd. √ Weblogic安装配置以及应用部署 编制毛瑜明 审核 批准 上海宝信软件股份有限公司 2009年8月3日 √ 文档控制 修改历史: 日期 作者或修改人 版本号 版本描述(修改记录) 2009-8-12 毛瑜明 V1.0 没有前期版本 分发记录: 拷贝号 姓名 部门 √ 目 录 1. Weblogic 的安装 ............................................................................................. 4 1.1. 安装前的准备 . (4) 1.1.1. 软件环境 ..................................................................................... 4 1.2. 安装weblogic9.2.1.0 ............................................................................ 4 1.3. 创建域(domain ) ............................................................................... 6 1.4. 部署应用 (10) 1.4.1. 启动和关闭weblogic ................................................................ 10 1.4.2. 创建server ............................................................................... 10 1.4.3. 部署应用 .. (13) Weblogic 配置使用数据源与使用方法 我用的Weblogic10,其他可能有点不同,不过应该差不多 启动weblogic10,登录 选择JDBC->Data Sources ,如图1 图1 进入界面后,先点击左上角的Lock&Edit按钮,如图2 图2点击后就可以进行编辑和配置了。 点击右边页面的“New”如图3 图3点击NEW 后,出现新建数据源界面如图4 图4 变量解释: Name: 图4中第一个红框,随便起的名,在服务器用的数据源名,随便起,自己能认出来就行。 JNDI Name: 同志们,注意了,这个名字很重要,是在客户端要调用的JNDI名。Database Type:数据库类型,我用的MySql,我选MySql,其他数据库也是一样的,用什么就选什么。 Database Driver:数据库驱动,地球人都知道 写完了点“Next”中文的话就是“下一步”,如图5, 图5直接点下一步如图6 图6 参数解释: Database Name: 数据库名 Host Name:数据库地址,我是本地所以是127.0.0.1 Port:数据库端口,mysql默认端口是3306,其他数据库各有不同Database User Name:数据库用户名 Password/Confirm Password :数据库密码' 配置好了点 next 然后点击上面的Test Configeration 如图7 图7 PS:测试成功通过就点Finish,测试要是没通过自己找原因,有的时候会是驱动的问题,如果是找不到驱动错误的话,就自己把驱动放到weblogic 里去,在weblogic8.1中就有可能出现这种问题,数据库驱动放在"你电脑weblogic安装的位置 \bea\wlserver_10.0\server\lib" Finish 如图 8 图8 其中MysqlTest 是刚才新建的数据源这时候还没有Targets,还不能用,点击MysqlTest,也就是刚才创建的数据源,出现图9页面 图10 点击第二个选项卡,即Targets ,出现如图11 weblogic安全策略配置 1. 用户名密码安全设置 1.1. 操作系统用户weblogic安全 要求:密码长度应8位以上,并符合密码复杂度要求修改密码 passwd weblogic /bea目录目录属性应为0755 1.2. 用户名密码策略 要求:不使用默认用户名/密码:weblogic/weblogic 密码长度应8位以上,并符合密码复杂度要求 1.3. 帐号锁定策略 要求:密码重试次数5次,锁定时间30分钟 点击security realms 点击myrealm > Users lockout 1.4. 启动boot.properties文件 weblogic启动时会读取用户名和密码,不应在启动脚本里设置用户名和密码如WLS_USER=weblogic, WLS_PW=xxx;而应在域目录下设置boot.properties文件,设置username=weblogic,password=XXX。Weblogic启动后会自动加密码 boot.properties文件。 1.5. 修改weblogic密码 1登录weblogic控制台,点击security realms 2点击myrealm > Users and Groups 3点击weblogic>passwords 4点击lock&edit,修改密码 5点save,会提示你密码修改成功 6停止所有weblogic进程 7修改域目录下boot.properties文件 8删掉boot.properties缓存文件 缓存文件在域目录/server下各个server下/security下 9启动weblogic,用新密码登录测试。 2. 审计日志 2.1. 开启访问日志,并保留60天 1点Environment>servers,对应各servers 2点进各server>logging>http 3点lock&edit>”rotation type”:by time;>勾选limit number of retained files>;files to retain:60 4点save 5点activate changes,会提示设置生效,但需重启weblogic。 6如有其它server则按上面步骤设置 7重启weblogic 2.2. 访问日志查看方法 访问日志存放在域目录下/servers/各server/logs/access.log* 3. Weblogic header设置 正确设置weblogic header可以防止扫描软件猜解weblogic的版本信息,进而进行下一步攻击。 3.1. 禁用Send Server Header(默认禁用) 点击Environment>servers>AdminServer>protocols>http 检查是否勾选 weblogic集群配置方法 案例所属系统 应用服务器weblogic1,weblogic2 案例现象 应用服务器,主机8G内存,目前使用情况: 主机weblogic1 为了提高内存使用率,准备在两台主机上各新增一个域,并配置集群,然后部署应用。 案例平台环境 查看主机信息 [weblogic@weblogic1 ~]$ uname -a Linux weblogic1 2.6.18-128.el5 #1 SMP Wed Dec 17 11:41:38 EST 2008 x86_64 x86_64 x86_64 GNU/Linux [weblogic@weblogic2 bin]$ uname -a Linux weblogic2 2.6.18-128.el5 #1 SMP Wed Dec 17 11:41:38 EST 2008 x86_64 x86_64 x86_64 GNU/Linux 查看weblogic版本信息 [weblogic@weblogic1 ~]$ cat /home/weblogic/bea/logs/log.txt Nov 24, 2010 9:15:28 PM -- install "WebLogic Platform" 9.2.3.0 at /home/weblogic/bea/weblogic92 release 9.2.3.0 [Added] |_____WebLogic Server [Added] | |_____Server [Added] | |_____Server Examples [Added] |_____Workshop for WebLogic Platform [Added] |_____Workshop [Added] |_____Workshop Examples [Added] [weblogic@weblogic2 logs]$ cat /home/weblogic/bea/logs/log.txt Nov 24, 2010 2:56:10 PM -- install "WebLogic Platform" 9.2.3.0 at /home/weblogic/bea/weblogic92 release 9.2.3.0 [Added] |_____WebLogic Server [Added] | |_____Server [Added] | |_____Server Examples [Added] |_____Workshop for WebLogic Platform [Added] |_____Workshop [Added] |_____Workshop Examples [Added] 查看JDK信息 [weblogic@weblogic1 logs]$ echo $JA V A_HOME /usr/local/jdk1.5.0_21 [weblogic@weblogic2 logs]$ echo $JA V A_HOME /usr/local/jdk1.5.0_21 查看ip地址信息 [root@weblogic1 ~]# ifconfig eth0 eth0 Link encap:Ethernet HWaddr 00:50:56:B9:00:01 inet addr:172.22.0.12 Bcast:172.22.0.255 Mask:255.255.255.0 inet6 addr: fe80::250:56ff:feb9:1/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:598544 errors:0 dropped:0 overruns:0 frame:0 TX packets:1863036 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:52714000 (50.2 MiB) TX bytes:2139395347 (1.9 GiB) Base address:0x2000 Memory:d8840000-d8860000 [root@weblogic2 ~]# ifconfig eth0 eth0 Link encap:Ethernet HWaddr 00:0C:29:CD:80:D2 inet addr:172.22.0.13 Bcast:172.22.0.255 Mask:255.255.255.0 inet6 addr: fe80::20c:29ff:fecd:80d2/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:348063 errors:0 dropped:0 overruns:0 frame:0中间件安装配置手册-Weblogic for Linux
Weblogic10.3_Windows优化设置
WebLogic部署(图解)
64位weblogic windos安装部署以及常见问题解决
weblogic在windows下安装及部署项目教程
详细设置weblogic Cluster
创建weblogic新域(带图说明)
手册:Weblogic 集群配置
weblogic优化设置调优参数及监控指标
weblogic安装配置以及部署
weblogic-数据源配置与使用方法
Weblogic安全策略配置
weblogic集群配置方法-具体实施步骤1