JBoss jmx-console和web-console的安全设置

最新推荐文章于 2023-10-13 00:56:33 发布
最新推荐文章于 2023-10-13 00:56:33 发布
阅读量973 收藏
点赞数
分类专栏: java

JBoss jmx-console和web-console的安全设置
介绍
如果在网上公布了自己的JBoss服务器(用选项-b 0.0.0.0启动服务器或者在.../jboss/server/default/deploy/web-deployer/server.xml
改变第一个发生变量jboss.bind.address 为 0.0.0.0), 你也自动的公开了JBoss web-console (http://localhost:8080/web-console)
和 jmx-console (http://localhost:8080/jmx-console) 的管理平台,并且没有用户名和密码。
网上的任何人都可以通过这个途径,停止你的服务器,清空服务器上的应用,而且可以部署自己的应用上去。

jmx-console的安全设置
1) 在.../jboss/server/default/deploy/jmx-console.war/WEB-INF/jboss-web.xml 里,取消下面代码注释
     

[html]  view plain copy
  1. <security-domain>java:/jaas/jmx-console</security-domain>  


2) 在.../jboss/server/default/deploy/jmx-console.war/WEB-INF/web.xml里取消下面代码注释

[html]  view plain copy
  1. <security-constraint>       
  2.   <web-resource-collection>         
  3.    <web-resource-name>HtmlAdaptor</web-resource-name>         
  4.    <description>An example security config that only allows users with the           
  5.     role JBossAdmin to access the HTML JMX console web application         
  6.    </description>         
  7.    <url-pattern>/*</url-pattern>         
  8.    <http-method>GET</http-method>         
  9.    <http-method>POST</http-method>       
  10.   </web-resource-collection>      
  11.   <auth-constraint>         
  12.    <role-name>JBossAdmin</role-name>       
  13.   </auth-constraint>     
  14.  </security-constraint>  

 

3) 在.../jboss/server/default/conf/props/jmx-console-users.properties文件里,增加/编辑行:
 admin=a_password_you_like 
 . 要分配一个用户到JBossAdmin组里,在jmx-console-roles.properties.properties(相同目录下)文件里添加"username=JBossAdmin"
 . jmx-console-users.properties文件里有一个admin/admin的用户,为了安全起见,要么删除这个用户,要么改变这个pw更安全


web-console的安全设置
1)在.../jboss/server/default/deploy/management/console-mgr.sar/web-console.war/WEB-INF/jboss-web.xml取消下面代码注释

[html]  view plain copy
  1. <security-domain>java:/jaas/web-console</security-domain>  

 

2)在.../jboss/server/default/deploy/management/console-mgr.sar/web-console.war/WEB-INF/web.xml取消下面代码注释

[html]  view plain copy
  1. <security-constraint>     
  2.  <web-resource-collection>     
  3.   <web-resource-name>HtmlAdaptor</web-resource-name>     
  4.   <description>An example security config that only allows users with the     
  5.   role JBossAdmin to access the HTML JMX console web application    
  6.   </description>     
  7.   <url-pattern>/*</url-pattern>    
  8.   <http-method>GET</http-method>     
  9.   <http-method>POST</http-method>     
  10.  </web-resource-collection>     
  11.  <auth-constraint>     
  12.   <role-name>JBossAdmin</role-name>     
  13.  </auth-constraint>     
  14. </security-constraint>  

 

3)在.../jboss/server/default/deploy/management/console-mgr.sar/web-console.war/WEB-INF/classes/web-console-users.properties 文件里,
增加/编辑行
 admin=a_password_you_like 
 . 要分配一个用户到JBossAdmin组里,在web-console-roles.properties.properties(相同目录下)文件里添加"username=JBossAdmin"
 . web-console-users.properties文件里有一个admin/admin的用户,为了安全起见,要么删除这个用户,要么改变这个pw更安全

说明:
-两个 jboss-jmx-plugin用JMX控制台(跟maven-cargo-plugin一样)
-不需要web-console, 因此应该是不可用的(通过删除或是注释web-console-users.properties中的user/password行)

Elender
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Jboss控制台jmx-console安全设置
04-22
Jboss控制台jmx-console安全设置
删除JBOSS eap4.3下的jmx-consoleweb-console、ws-console、status服务
04-01
NULL 博文链接:https://iffiffj.iteye.com/blog/1404148
jboss中控制台jmx-console 登录的用户名和密码设置
weixin_33932129的博客
11-22 192
默认情况访问 http://localhost:8080/jmx-console 就可以浏览jboss的部署管理的一些信息,不需要输入用户名和密码,使用起来有点安全隐患。下面我们针对此问题对jboss进行配置,使得访问jmx- console也必须要知道用户名和密码才可进去访问。步骤如下:  i)路径:/server/default/deploy/jmx-console.war/WEB-INF/j...
JBOSS中控制台JMX-CONSOLE 登录的用户名和密码设置
tanguang_honesty的专栏
05-23 3551
默认情况访问 http://localhost:8080/jmx-console 就可以浏览jboss的部署管理的一些信息,不需要输入用户名和密码,使用起来有点安全隐患。下面我们针对此问题对jboss进行配置,使得访问jmx- console也必须要知道用户名和密码才可进去访问。步骤如下:  i) 找到JBoss安装目录/server/default/deploy/jmx-console.w
JBoss安全jmx-console控制台未授权访问漏洞
Keep learing, and stay fast
11-02 4302
近期工作用到了jmx-console,顺便整理下JbossJmx-console密码访问相关的知识与配置。 MBean就是一种规范的JavaBean,通过集成和实现一套标准的Bean接口,这种叫MBean,Mbean注册到MBeanServer中。之后将被MBeanServer中注册过的Adapter(比如渲染为HTML的HtmlAdapter)渲染为直观的页面将MBean的属性和方法展示给用户。 MBean -> MBeanServer ...
可恶!jboss-eap-4.3 webconsole无法登录
hunterli0408的博客
02-04 309
最近项目需要使用jboss-eap-4.3,因此下载了一个安装试试。 安装完运行run.bat启动,然后登陆http://localhost:8080/web-console/,弹出登录对话框,奇怪的是,无论输入什么用户名和密码,admin=admin也好,空也好,都进不去。登录http://localhost:8080/jmx-console/也是如此。气煞人也!!! 最后整了大半天,终于解...
JBOSS4设置控制台jmx-console登录密码
09-27
JBOSS4设置控制台jmx-console登录密码
jboss-eap-4.3webconsole无法登录的解决方案
04-04
最近项目需要使用jboss-eap-4.3,因此下载了一个安装试试。 安装完运行run.bat启动,然后登陆http://localhost:8080/web-console/,弹出登录对话框,奇怪的是,无论输入什么用户名和密码,admin=admin也好,空也好...
JBOSS安全配置• JMX ConsoleJBoss Web Console
12-05
JBOSS安全配置• JMX ConsoleJBoss Web Console
jbossweb-console 登录的用户名和密码设置
首先是一种心情 然后是一种生活方式
02-01 215
E:\tools\jboss-5.1.0.GA\jboss-5.1.0.GA\server\default\deploy\management\console-mgr.sar\web-console.war\WEB-INF web-console 登录的用户名和密码设置 默认情况下,用户访问JBossweb-console时,不需要输入用户名和密码,为了安全起见,我们通过修改...
JBoss jmx-consoleweb-console安全设置
龙俊生的专栏
05-14 1万+
五一放假的时候给2Bizbox ERP国外新客户部署了两台服务器,忙到很晚才睡觉,搞定了心里舒服了,睡的也香,但是假期结束来了客户说服务器被hack了,结果服务器re-image,所有工作白做了。多的不扯了,被hack,主要原因是JBossjmx-consoleweb-console导致的, 所以这里说下JBoss相关的安全设置吧。 JBoss jmx-consoleweb-console
jboss 安全设置(二)
lisonghua的专栏
07-03 890
 1、 关闭jmx-console: 删除 /export/home/jboss-4.0.3SP1/server/default/deploy下目录jmx-console.war、management 2、 关闭web-console: 删除 /export/home/jboss-4.0.3SP1/server/default/deploy/jbossweb-tomcat55.sar下目录ROOT
jboss安全基本配置,禁用jmxweb console、status
tiger-hu
11-14 1711
  1.改jmxweb-console密码/opt/jboss-4.2.3.GA/server/node1/conf/propsjbossws-users.properties jmx-console-users.properties2.取消统计status:/opt/jboss-4.2.3.GA/server/node1/deploy/jboss-web.deployer/ROOT.war/...
jboss--JMX Console未授权访问
最新发布
hovcfuti的博客
10-13 592
然后找到jboss.deployment(jboss 自带的部署功能)中的flavor=URL,type=DeploymentScanner点进去(通过 url 的方式远程部署)此漏洞主要是由于JBoss中/jmx-console/HtmlAdaptor路径对外开放,并且没有任何身份验证机制,导致攻击者可以进⼊到jmx控制台,并在其中执⾏任何功能。若需登录,可以尝试爆破弱口令登录。返回JMX Console里面,刷新找到jboss.web.deployment,如果出现上传的war,则部署成功。
【中间件安全Jboss安全加固规范
12-24 3187
【中间件安全Jboss安全加固规范 1. 适用情况 适用于使用Jboss进行部署的Web网站。 适用版本:5.x版本的Jboss服务器 2. 技能要求 熟悉Jboss安装配置,能够Jboss进行部署,并能针对站点使用Jboss进行安全加固。 3. 前置条件 根据站点开放端口,进程ID,确认站点采用Nginx进行部署; 找到Jboss安装目录,针对具体站点对配置文件进行修改; 在...
利用JBoss漏洞拿webshell方法
热门推荐
fengling132的专栏
08-15 1万+
JBoss是一个大型应用平台,普通用户很难接触到。越是难以接触到的东西越觉得高深,借用北京公交司机李素丽的一句话“用力只能干出称职,用心才能干出优秀”,在安全上也是如此,虽然JBoss平台很难掌握,但是只要找到Jboss的罩门,一样轻松渗透,本文就如何针对Jboss的一个漏洞来获取其Webshell,由于是研究,因此仅仅点到为止。   一、信息收集与整理 1.使用漏洞特征进行搜索
Metasploit jboss deployment file repository exploit
cnbird's blog
05-24 1212
MC pushed out a new exploit today (jboss_deploymentfilerrepository) so while it lists 4.x as vuln, actually several other versions are vulnerable as well including 6.0.0M1 and 5.1.0 :-)msf exp
JBoss jmx-console中的秘密
weixin_34402090的博客
05-28 292
JBoss jmx-console中的秘密 https://wenku.baidu.com/view/fe196f047cd184254b35351d.html
JBoss7-配置管理员手册
08-09
同时,JBoss7还增强了对Web服务的支持,提供了更好的SOAP和WSDL解析和生成功能。 第4章《JBoss7 配置指南---1.4. jboss7 特性》着重介绍了JBoss7自身的新特性和改进。其中提到了域模式、管理API、运维工具、高可用...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值