博客丢在一边很久没管了,昨日有个表哥加我QQ…唤醒了我自己还有博客,前几日某省之旅写下此文。
客户主机:RedHat 6.9
中间件:12.1.2.0.0
需求:因漏扫扫描扫出存在weblogic漏洞,需升级。
本人没做过安全加固,随手写下本文以此记录!
前提条件
1.在安装非强制性补丁之前,检查是否存在bug。
2.检查OPatch版本是否为13.1或更高版本。
3.验证OUI。
OPatch需要访问有效的OUI才能安装补丁。
使用以下命令验证OUI:
opatch lsinventory -jdk $ JAVA_HOME(在Windows%JAVA_HOME%中)
如果命令出错,请联系Oracle支持部门。
4.确认可执行文件出现在系统路径中。
升级补丁过程将使用unzip和opatch可执行文件。
设置ORACLE_HOME环境后,在继续之前确认这两个存在:
“which opatch”
“which unzip”
如果这些可执行文件没有显示在路径中,请在继续之前纠正问题。
5.选择用于存储解压缩补丁的目录。
预安装说明:
停止weblogic进程
cd /路径/weblogic/domain/bin
./stopManagedWebLogic.sh
./stopWebLogic.sh
正文
访问
/路径/weblogic/Oracle/Middleware/Oracle_Home/OPatch/opatch
执行
./opatch lsinventory -jdk $JAVA_HOME
查看补丁号 —(未打补丁)
安装过程
1、开始打补丁&下载补丁包
因内网环境,需要远程另一台主机下载补丁包(也可以选择在线下载)
补丁包放在/tmp/jiagu/目录下。
命令:
scp root@内网ip :/远程路径/jiagu/p22505331_121200_Generic.zip /tmp/jiagu/
输入服务器密码:xxx
2、将补丁包拷贝到/home/weblogic目录下
格式:cp 源文件 目标文件(夹)
命令:
cp p22505331_121200_Generic.zip /home/weblogic/
3、进入到weblogic文件夹,给予补丁包weblogic用户权限。
命令:
cd /home/weblogic
chown将指定文件的拥有者改为指定的用户或组
-R 处理指定目录以及其子目录下的所有文件
weblogic 用户名
pxx.zip 文件
命令:
chown -R weblogic p22505331_121200_Generic.zip
4、切换到webloigc用户,新建jiagu文件夹。
命令:
mkdir jiagu
5、将补丁pxx.zip解压到/jiagu目录下
命令:
unzip -d /home/weblogic/jiagu/ /home/weblogic/p22505331_121200_Generic.zip
6、进入补丁解压后的目录,即22505331目录
命令:cd jiagu/22505331/
7、执行安装补丁命令
命令:
/home/weblogic/Oracle/Middleware/Oracle_Home/OPatch/opatch napply -jdk $JAVA_HOME
8、运行OPatch以验证修补程序
命令1:
/home/weblogic/Oracle/Middleware/Oracle_Home/OPatch/opatch lsinventory -jdk $JAVA_HOME
命令2:
/home/weblogic/Oracle/Middleware/Oracle_Home/OPatch/opatch lspatches
至此安装结束!
那么有小伙伴就问了,如果存在其它补丁和有没有其它方式防止漏洞呢?
休息两分钟,跟随我进行延伸阅读时刻。。。
延伸阅读一:
包含其它补丁
下图所示patch为27057030,将这个补丁卸载,然后打新高版本补丁。
执行命令
./opatch rollback -id 27057030 -jAVA $JDK_HOME
将其27057030补丁卸载
选择y
出现Opatch succeeded 说明卸载成功,然后继续如上步骤安装补丁。
延伸阅读二:
限制对T3协议的访问
针对官网已停止补丁更新的weblogic版本,加固通过限制t3和t3s协议的访问限制来进行加固。
加固步骤:
1.登录管理控制台
2.点击域——>安全——>筛选器,在连接筛选器框填入
weblogic.security.net.ConnectionFilterImpl
在连接筛选器规则框填入
127.0.0.1 allow t3,
集群节点IP1 allow t3,
集群节点IP2 allow t3,
集群节点IP3 allow t3,
集群节点IP4 allow t3,
0.0.0.0/0 deny t3
127.0.0.1 allow t3s,
集群节点IP1 allow t3s,
集群节点IP2 allow t3s,
集群节点IP3 allow t3s,
集群节点IP4 allow t3s,
0.0.0.0/0 deny t3s
3.保存并激活更新使配置生效。