博客丢在一边很久没管了,昨日有个表哥加我QQ...唤醒了我自己还有博客,前几日某省之旅写下此文。

客户主机:RedHat 6.9

中间件:12.1.2.0.0

需求:因漏扫扫描扫出存在weblogic漏洞,需升级。

本人没做过安全加固,随手写下本文以此记录!

前提条件

1.在安装非强制性补丁之前,检查是否存在bug。

2.检查OPatch版本是否为13.1或更高版本。

3.验证OUI。

OPatch需要访问有效的OUI才能安装补丁。

使用以下命令验证OUI:

opatch lsinventory -jdk $ JAVA_HOME(在Windows%JAVA_HOME%中)

如果命令出错,请联系Oracle支持部门。

4.确认可执行文件出现在系统路径中。

升级补丁过程将使用unzip和opatch可执行文件。

设置ORACLE_HOME环境后,在继续之前确认这两个存在:

"which opatch"

"which unzip"

如果这些可执行文件没有显示在路径中,请在继续之前纠正问题。

5.选择用于存储解压缩补丁的目录。

预安装说明:
停止weblogic进程

cd /路径/weblogic/domain/bin

./stopManagedWebLogic.sh

./stopWebLogic.sh

正文

访问

/路径/weblogic/Oracle/Middleware/Oracle_Home/OPatch/opatch
执行

./opatch lsinventory -jdk $JAVA_HOME
查看补丁号 ---(未打补丁)

安装过程

1、开始打补丁&下载补丁包

因内网环境,需要远程另一台主机下载补丁包(也可以选择在线下载)

补丁包放在/tmp/jiagu/目录下。

命令:

scp root@内网ip :/远程路径/jiagu/p22505331_121200_Generic.zip /tmp/jiagu/

输入服务器密码:xxx

2、将补丁包拷贝到/home/weblogic目录下

格式:cp 源文件 目标文件(夹)

命令:

cp p22505331_121200_Generic.zip /home/weblogic/

3、进入到weblogic文件夹,给予补丁包weblogic用户权限。

命令:

cd /home/weblogic

chown将指定文件的拥有者改为指定的用户或组

-R 处理指定目录以及其子目录下的所有文件

weblogic 用户名

pxx.zip 文件

命令:

chown -R weblogic p22505331_121200_Generic.zip

4、切换到webloigc用户,新建jiagu文件夹。

命令:

mkdir jiagu

5、将补丁pxx.zip解压到/jiagu目录下

命令:

unzip -d /home/weblogic/jiagu/ /home/weblogic/p22505331_121200_Generic.zip


6、进入补丁解压后的目录,即22505331目录

命令:
cd jiagu/22505331/

7、执行安装补丁命令

命令:

/home/weblogic/Oracle/Middleware/Oracle_Home/OPatch/opatch napply -jdk $JAVA_HOME

8、运行OPatch以验证修补程序

命令1:

/home/weblogic/Oracle/Middleware/Oracle_Home/OPatch/opatch lsinventory -jdk $JAVA_HOME 

命令2:

/home/weblogic/Oracle/Middleware/Oracle_Home/OPatch/opatch lspatches

至此安装结束!

那么有小伙伴就问了,如果存在其它补丁和有没有其它方式防止漏洞呢?

休息两分钟,跟随我进行延伸阅读时刻。。。

延伸阅读一:
包含其它补丁
下图所示patch为27057030,将这个补丁卸载,然后打新高版本补丁。

执行命令

./opatch rollback -id 27057030 -jAVA $JDK_HOME
将其27057030补丁卸载

选择y

出现Opatch succeeded 说明卸载成功,然后继续如上步骤安装补丁。

延伸阅读二:
限制对T3协议的访问
针对官网已停止补丁更新的weblogic版本,加固通过限制t3和t3s协议的访问限制来进行加固。

加固步骤:
1.登录管理控制台
2.点击域——>安全——>筛选器,在连接筛选器框填入
weblogic.security.net.ConnectionFilterImpl

在连接筛选器规则框填入

127.0.0.1 allow t3,

集群节点IP1 allow t3,

集群节点IP2 allow t3,

集群节点IP3 allow t3,

集群节点IP4 allow t3,

0.0.0.0/0 deny t3

127.0.0.1 allow t3s,

集群节点IP1 allow t3s,

集群节点IP2 allow t3s,

集群节点IP3 allow t3s,

集群节点IP4 allow t3s,

0.0.0.0/0 deny t3s

3.保存并激活更新使配置生效。

最后修改:2021 年 03 月 09 日
如果觉得我的文章对你有用,请随意赞赏