记录一次Weblogic 12.1.2.0升级过程

  • 内容
  • 相关

博客丢在一边很久没管了,昨日有个表哥加我QQ...唤醒了我自己还有博客,前几日某省之旅写下此文。


客户主机:RedHat 6.9 

中间件:12.1.2.0.0

需求:因漏扫扫描扫出存在weblogic漏洞,需升级。

本人没做过安全加固,随手写下本文以此记录!

Image



前提条件

1.在安装非强制性补丁之前,检查是否存在bug。

2.检查OPatch版本是否为13.1或更高版本。

3.验证OUI。

   OPatch需要访问有效的OUI才能安装补丁。

   使用以下命令验证OUI:

opatch lsinventory -jdk $ JAVA_HOME(在Windows%JAVA_HOME%中)

如果命令出错,请联系Oracle支持部门。

4.确认可执行文件出现在系统路径中。

升级补丁过程将使用unzip和opatch可执行文件。

设置ORACLE_HOME环境后,在继续之前确认这两个存在:

"which opatch"

"which unzip"

如果这些可执行文件没有显示在路径中,请在继续之前纠正问题。

5.选择用于存储解压缩补丁的目录。

预安装说明:

停止weblogic进程

cd /路径/weblogic/domain/bin

./stopManagedWebLogic.sh

./stopWebLogic.sh

正文

访问

/路径/weblogic/Oracle/Middleware/Oracle_Home/OPatch/opatch

执行

./opatch lsinventory -jdk $JAVA_HOME

查看补丁号 ---(未打补丁)

Image

安装过程

1、开始打补丁&下载补丁包

因内网环境,需要远程另一台主机下载补丁包(也可以选择在线下载)

补丁包放在/tmp/jiagu/目录下。

命令:

scp [email protected]内网ip :/远程路径/jiagu/p22505331_121200_Generic.zip /tmp/jiagu/

输入服务器密码:xxx

2、将补丁包拷贝到/home/weblogic目录下

格式:cp 源文件 目标文件(夹)

命令:

cp p22505331_121200_Generic.zip /home/weblogic/

3、进入到weblogic文件夹,给予补丁包weblogic用户权限。

命令:

cd /home/weblogic

chown将指定文件的拥有者改为指定的用户或组

-R 处理指定目录以及其子目录下的所有文件

weblogic 用户名

pxx.zip 文件

命令:

chown -R weblogic p22505331_121200_Generic.zip

4、切换到webloigc用户,新建jiagu文件夹。

命令:

mkdir jiagu

5、将补丁pxx.zip解压到/jiagu目录下

命令:

unzip -d /home/weblogic/jiagu/ /home/weblogic/p22505331_121200_Generic.zip

Image

Image

6、进入补丁解压后的目录,即22505331目录

命令:

cd  jiagu/22505331/

7、执行安装补丁命令

命令:

/home/weblogic/Oracle/Middleware/Oracle_Home/OPatch/opatch napply -jdk $JAVA_HOME

Image

Image

8、运行OPatch以验证修补程序

命令1:

/home/weblogic/Oracle/Middleware/Oracle_Home/OPatch/opatch lsinventory -jdk $JAVA_HOME 

Image

Image

命令2:

/home/weblogic/Oracle/Middleware/Oracle_Home/OPatch/opatch lspatches

Image

至此安装结束!

Image

那么有小伙伴就问了,如果存在其它补丁和有没有其它方式防止漏洞呢?

休息两分钟,跟随我进行延伸阅读时刻。。。

Image

延伸阅读一:

包含其它补丁

下图所示patch为27057030,将这个补丁卸载,然后打新高版本补丁。

Image

执行命令

./opatch rollback -id 27057030 -jAVA $JDK_HOME

将其27057030补丁卸载

Image

选择y

Image

出现Opatch succeeded 说明卸载成功,然后继续如上步骤安装补丁。

延伸阅读二:

限制对T3协议的访问

针对官网已停止补丁更新的weblogic版本,加固通过限制t3和t3s协议的访问限制来进行加固。

加固步骤:

1.登录管理控制台

2.点击域——>安全——>筛选器,在连接筛选器框填入

weblogic.security.net.ConnectionFilterImpl

在连接筛选器规则框填入

127.0.0.1 * * allow t3,

集群节点IP1 * * allow t3,

集群节点IP2 * * allow t3,

集群节点IP3 * * allow t3,

集群节点IP4 * * allow t3,

0.0.0.0/0 * * deny t3

127.0.0.1 * * allow t3s,

集群节点IP1 * * allow t3s,

集群节点IP2 * * allow t3s,

集群节点IP3 * * allow t3s,

集群节点IP4 * * allow t3s,

0.0.0.0/0 * * deny t3s

3.保存并激活更新使配置生效。

Image


Image

本文标签:

版权声明:若无特殊注明,本文皆为《舜哥哥吖》原创,转载请保留文章出处。

本文链接:记录一次Weblogic 12.1.2.0升级过程 - http://www.shungg.cn/post/231

发表评论

电子邮件地址不会被公开。 必填项已用*标注