JBoss jmx-console和web-console安全设置

最新推荐文章于 2024-08-06 22:22:16 发布
最新推荐文章于 2024-08-06 22:22:16 发布
阅读量1.3w 收藏 1
点赞数
分类专栏: JBoss 文章标签: jboss 服务器 jmx application security access

五一放假的时候给2Bizbox ERP国外新客户部署了两台服务器,忙到很晚才睡觉,搞定了心里舒服了,睡的也香,但是假期结束来了客户说服务器被hack了,结果服务器re-image,所有工作白做了。多的不扯了,被hack,主要原因是JBoss的jmx-console和web-console导致的, 所以这里说下JBoss相关的安全设置吧。

JBoss jmx-console和web-console的安全设置
介绍
如果在网上公布了自己的JBoss服务器(用选项-b 0.0.0.0启动服务器或者在.../jboss/server/default/deploy/web-deployer/server.xml
改变第一个发生变量jboss.bind.address 为 0.0.0.0), 你也自动的公开了JBoss web-console (http://localhost:8080/web-console)
和 jmx-console (http://localhost:8080/jmx-console) 的管理平台,并且没有用户名和密码。
网上的任何人都可以通过这个途径,停止你的服务器,清空服务器上的应用,而且可以部署自己的应用上去。

jmx-console的安全设置
1) 在.../jboss/server/default/deploy/jmx-console.war/WEB-INF/jboss-web.xml 里,取消下面代码注释
      

<security-domain>java:/jaas/jmx-console</security-domain>


2) 在.../jboss/server/default/deploy/jmx-console.war/WEB-INF/web.xml里取消下面代码注释

<security-constraint>     
  <web-resource-collection>       
   <web-resource-name>HtmlAdaptor</web-resource-name>       
   <description>An example security config that only allows users with the         
    role JBossAdmin to access the HTML JMX console web application       
   </description>       
   <url-pattern>/*</url-pattern>       
   <http-method>GET</http-method>       
   <http-method>POST</http-method>     
  </web-resource-collection>    
  <auth-constraint>       
   <role-name>JBossAdmin</role-name>     
  </auth-constraint>   
 </security-constraint>

 

3) 在.../jboss/server/default/conf/props/jmx-console-users.properties文件里,增加/编辑行:
 admin=a_password_you_like
 . 要分配一个用户到JBossAdmin组里,在jmx-console-roles.properties.properties(相同目录下)文件里添加"username=JBossAdmin"
 . jmx-console-users.properties文件里有一个admin/admin的用户,为了安全起见,要么删除这个用户,要么改变这个pw更安全


web-console的安全设置
1)在.../jboss/server/default/deploy/management/console-mgr.sar/web-console.war/WEB-INF/jboss-web.xml取消下面代码注释

<security-domain>java:/jaas/web-console</security-domain>

 

2)在.../jboss/server/default/deploy/management/console-mgr.sar/web-console.war/WEB-INF/web.xml取消下面代码注释

<security-constraint>   
 <web-resource-collection>   
  <web-resource-name>HtmlAdaptor</web-resource-name>   
  <description>An example security config that only allows users with the   
  role JBossAdmin to access the HTML JMX console web application  
  </description>   
  <url-pattern>/*</url-pattern>  
  <http-method>GET</http-method>   
  <http-method>POST</http-method>   
 </web-resource-collection>   
 <auth-constraint>   
  <role-name>JBossAdmin</role-name>   
 </auth-constraint>   
</security-constraint>

 

3)在.../jboss/server/default/deploy/management/console-mgr.sar/web-console.war/WEB-INF/classes/web-console-users.properties 文件里,
增加/编辑行
 admin=a_password_you_like
 . 要分配一个用户到JBossAdmin组里,在web-console-roles.properties.properties(相同目录下)文件里添加"username=JBossAdmin"
 . web-console-users.properties文件里有一个admin/admin的用户,为了安全起见,要么删除这个用户,要么改变这个pw更安全

说明:
-两个 jboss-jmx-plugin用JMX控制台(跟maven-cargo-plugin一样)
-不需要web-console, 因此应该是不可用的(通过删除或是注释web-console-users.properties中的user/password行)

 

本文参考http://code.google.com/p/jboss-jmx-maven-plugin/wiki/Security

更多信息可以查看https://community.jboss.org/wiki/JBossASTuningSliming

奥迪圈圈
关注
专栏目录
JBoss安全设置
JZik的博客
01-24 352
JBoss安全设置 实验步骤: 1,安装JDK 1.7.x 将tar包拖入虚拟机home中,ls查看 [root@localhost ~]# ls 解包 [root@localhost ~]# tar zxvf jdk-7u80-linux-x64.tar.gz 3,[root@localhost ~]# mv jdk1.7.0_80 /usr/local/jdk1.7.0 4,编辑 [root@localhost ~]# vim /etc/profile 5,另开一个终端要先输入以下命令 [roo
[原创]K8 Jboss jmx-console getshell exploit
K8哥哥
04-13 511
[原创]K8 Jboss jmx-console getshell exploit https://www.cnblogs.com/k8gege/p/10645858.html   0x00 前言 今天内网遇到几台Jboss,使用MSF确实是有点烦,要打几条命令设置一堆参数,我一个粘贴搞定的 为什么非要使用手动打好几条命令,让外行人看起来牛逼吗?大家都知道黑客电影打字快并不是高手 那些水...
Jbossjmx-consoleweb-console配置
weixin_33724046的博客
11-19 204
JBoss安装成功后,一般可以通过http://localhost:port来访问.Jmx ConsoleJboss Web Console 里面可以修改和删除应用的参数,如果不加安全设置,将会带来严重安全后果。 默认登录jmx-console的账号信息是:admin/admin,因此我们应该修改这个账号信息。 一、JMX安全配置 1: 找到%JBOSS...
JBOSS安全配置
hd_dream的专栏
06-11 133
一、JMX安全配置 1: 找到%JBOSS_HOME%/server/default/deploy/jmx-console.war/WEB-INF/jboss-web.xml文件,去掉对下面这段xml文本的注释。 [code="xml"] java:/jaas/jmx-console [/code] 2: 与jboss-web.xml同级目录下还有一个文件web.xml,找...
Jboss】常见漏洞复现
最新发布
m0_59151303的博客
08-06 1131
JBoss是一个基于J2EE的开发源代码的应用服务器JBoss代码遵循LGPL许可,可以在任何商业应用中免费使用。JBoss是一个管理EJB的容器和服务器,支持EJB1.1、EJB 2.0和EJB3的规范。但JBoss核心服务不包括支持servlet/JSP的WEB容器,一般与Tomcat或Jetty绑定使用。在J2EE应用服务器领域,JBoss是发展最为迅速应用服务器。由于JBoss遵循商业友好的LGPL授权分发,并且由开源社区开发,这使得JBoss广为流行。
jboss安全配置参考
煜铭2011
11-07 3637
0x01 账号口令 1   jmx-console      默认情况访问 http://ip:port/jmx-console 需要输入用户名和密码。设置用户名密码限制账号,并进行加密存储。jboss 6.0 之前的版本 JMX 控制台的配置文件位置为:server/$config/deploy/jmx-console.war/WEB-INF/,jboss 6.0 及以上、7.0 以前的版本
jbossweb-console 登录的用户名和密码设置
gdfsbingfeng的专栏
01-24 1862
jbossweb-console 登录的用户名和密码设置 jbossweb-console 登录的用户名和密码设置   E:\tools\jboss-5.1.0.GA\jboss-5.1.0.GA\server\default\deploy\management\console-mgr.sar\web-console.war\WEB-INF web-co
删除JBOSS eap4.3下的jmx-consoleweb-console、ws-console、status服务
04-01
NULL 博文链接:https://iffiffj.iteye.com/blog/1404148
Jboss控制台jmx-console安全设置
04-22
Jboss控制台jmx-console安全设置
JBOSS4设置控制台jmx-console登录密码
09-27
接下来,需要编辑`jmx-console-users.properties`和`jmx-console-roles.properties`两个文件,它们通常位于`{jboss_home}\server\default\conf\props`目录下。 - `jmx-console-users.properties`用于定义用户及其...
jboss-eap-4.3webconsole无法登录的解决方案
04-04
- 打开`C:\jboss-eap-4.3\jboss-as\server\production\deploy\management\console-mgr.sar\web-console.war\WEB-INF\jboss-web.xml`文件,检查是否存在如下配置: ```xml <security-domain>ManagementRealm...
Jboss3/4的jmx/web console 配置
counterm的专栏
04-08 1479
<br />一. 下载与安装JBoss <br /><br />在本文中,我们下载的JBoss版本为:4.2.1.GA。<br /><br />下载地址:<br /><br />http://sourceforge.net/project/showfiles.php?group_id=22866&package_id=16942&release_id=523619<br /><br />在如上的下载页中下载JBoss-4.2.1.GA.zip文件。<br /><br />下载完成后,
JBoss jmx-console中的秘密
weixin_34402090的博客
05-28 296
JBoss jmx-console中的秘密 https://wenku.baidu.com/view/fe196f047cd184254b35351d.html
JBoss jmx-consoleweb-console安全设置
Elender的专栏
11-29 987
JBoss jmx-consoleweb-console安全设置 介绍 如果在网上公布了自己的JBoss服务器(用选项-b 0.0.0.0启动服务器或者在.../jboss/server/default/deploy/web-deployer/server.xml 改变第一个发生变量jboss.bind.address 为 0.0.0.0), 你也自动的公开了JBoss web-cons
Jboss弱口令Getshell
HAKUNAMATATATTA的博客
12-09 1421
JBoss Administration Console存在默认账号密码admin/vulhub,如果Administration Console可以登录,就可以在后台部署war包getshell。
JBoss安全jmx-console控制台未授权访问漏洞
Keep learing, and stay fast
11-02 4520
近期工作用到了jmx-console,顺便整理下JbossJmx-console密码访问相关的知识与配置。 MBean就是一种规范的JavaBean,通过集成和实现一套标准的Bean接口,这种叫MBean,Mbean注册到MBeanServer中。之后将被MBeanServer中注册过的Adapter(比如渲染为HTML的HtmlAdapter)渲染为直观的页面将MBean的属性和方法展示给用户。 MBean -> MBeanServer ...
jboss--JMX Console未授权访问
hovcfuti的博客
10-13 687
然后找到jboss.deployment(jboss 自带的部署功能)中的flavor=URL,type=DeploymentScanner点进去(通过 url 的方式远程部署)此漏洞主要是由于JBoss中/jmx-console/HtmlAdaptor路径对外开放,并且没有任何身份验证机制,导致攻击者可以进⼊到jmx控制台,并在其中执⾏任何功能。若需登录,可以尝试爆破弱口令登录。返回JMX Console里面,刷新找到jboss.web.deployment,如果出现上传的war,则部署成功。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值