JMX-Console控制台安全配置

最新推荐文章于 2023-10-13 00:56:33 发布
最新推荐文章于 2023-10-13 00:56:33 发布
阅读量3.6k 收藏 2
点赞数
分类专栏: JBOSS JMX 文章标签: jboss authentication jmx server application security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gl74gs48/article/details/7718129
版权
JBOSS 同时被 2 个专栏收录
1 篇文章 0 订阅
订阅专栏
JMX
1 篇文章 0 订阅
订阅专栏

默认情况下任何用户直接通过http://hostname:8080/jmx-consoleURL地址就可以浏览JBOSS的部署管理信息,不需要任何用户名和密码就可以进入此页面,很方便,但真正使用起来是有安全隐患,下面针对此问题对JBoss启用安全配置,使得访问JMX-Console必须使用用户名和密码才可能访问。本文适用于JBOSS 5.1.0及以上版本,具体差异见下文,共文四个步骤。

一、JBoss6.0以上,编辑JBOSS_HOME\common\deploy\jmx-console.war\WEB-INF目录下的web.xml去掉<security-constraint>节点的注释,如下:

   <security-constraint>
     <web-resource-collection>
       <web-resource-name>HtmlAdaptor</web-resource-name>
       <description>An example security config that only allows users with the
         role JBossAdmin to access the HTML JMX console web application
       </description>
       <url-pattern>/*</url-pattern>
     </web-resource-collection>
     <auth-constraint>
       <role-name>JBossAdmin</role-name>
     </auth-constraint>
   </security-constraint>

JBoss5.1.0,编辑JBOSS_HOME\server\default\deploy\jmx-console.war\WEB-INF目录下的web.xml,去掉<security-constraint>节点的注释,同上。

二、编辑第一步同一目录下,即JBOSS_HOME\common\deploy\jmx-console.war\WEB-INF中的jboss-web.xml去掉<security-domain>节点的注释,如下:

<security-domain>java:/jaas/jmx-console</security-domain>

Boss5.1.0,编辑JBOSS_HOME\server\default\deploy\jmx-console.war\WEB-INF目录下的的jboss-web.xml去掉<security-domain>节点的注释。

三、查看JBOSS_HOME\server\default\conf目录下login-config.xml,是否存在节点(默认配置,应该无须修改)

  <application-policy name="jmx-console">
    <authentication>
      <login-module code="org.jboss.security.auth.spi.UsersRolesLoginModule"
        flag="required">
        <module-option name="usersProperties">props/jmx-console-users.properties</module-option>
        <module-option name="rolesProperties">props/jmx-console-roles.properties</module-option>
      </login-module>
    </authentication>
  </application-policy>

注意:name="jmx-console"必须与上一步骤中的<security-domain>节点匹配java:/jaas/jmx-console,此步骤JBOSS5.1.0JBOSS6.0.0相同。

一、由上一步骤可以看出用户名和密码的配置文件在props目录下的jmx-console-users.propertiesjmx-console-roles.properties文件中,配置用户名和密码,

# A sample users.properties file for use with the UsersRolesLoginModule

admin=admin

测试成功。

另外:本人使用JMXConnector采用编程方式访问JMX,默认没有启用安全管理,因而同样存在安全问题。修改JBOSS_HOME/server/ default /deploy/jmx-jboss-beans,去掉节点

<property name="securityDomain">jmx-console</property>注释,即可起用JMXConnector的远程安全。

阿甘1976
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Jboss控制台jmx-console安全设置
04-22
Jboss控制台jmx-console安全设置
JMX Console 未授权访问漏洞
懂进攻知防守
07-23 4808
Jboss的webUI界面http//ipport/jmx-console未授权访问(或默认密码admin/admin),可导致JBoss的部署管理的信息泄露,攻击者也可以直接上传木马获取webshell。
jboss--JMX Console未授权访问
最新发布
hovcfuti的博客
10-13 592
然后找到jboss.deployment(jboss 自带的部署功能)中的flavor=URL,type=DeploymentScanner点进去(通过 url 的方式远程部署)此漏洞主要是由于JBoss中/jmx-console/HtmlAdaptor路径对外开放,并且没有任何身份验证机制,导致攻击者可以进⼊到jmx控制台,并在其中执⾏任何功能。若需登录,可以尝试爆破弱口令登录。返回JMX Console里面,刷新找到jboss.web.deployment,如果出现上传的war,则部署成功。
JBoss安全jmx-console控制台未授权访问漏洞
Keep learing, and stay fast
11-02 4309
近期工作用到了jmx-console,顺便整理下JbossJmx-console密码访问相关的知识与配置。 MBean就是一种规范的JavaBean,通过集成和实现一套标准的Bean接口,这种叫MBean,Mbean注册到MBeanServer中。之后将被MBeanServer中注册过的Adapter(比如渲染为HTML的HtmlAdapter)渲染为直观的页面将MBean的属性和方法展示给用户。 MBean -> MBeanServer ...
JMX Console 安全设置
lucy06的专栏
03-24 674
一、JMX安全配置 STEP 1:     找到%JBOSS_HOME%/server/default/deploy/jmx-console.war/WEB-INF/jboss-web.xml文件,根据说明,去掉注释。 jboss-web>      java:/jaas/jmx-console   jboss-web>   STEP 2:     与jboss-web.xml同级目录下还有一
Jbossjmx-console中查看内存和线程状态
weixin_34319374的博客
05-28 463
步骤: 1.假设jboss运行在 192.168.1.100:8080 地址和端口上。 2. 浏览器中访问http://192.168.1.100:8080/,然后选择jmx-console 3.选择jboss.system。   选择type=serverinfo.        查看内存情况:           1.调用 listMemoryPools。显示 code cache , ed...
JBOSS4设置控制台jmx-console登录密码
09-27
JBOSS4设置控制台jmx-console登录密码
JMX Console Tools-开源
05-03
4. **jmx_console.sh**:可能是启动JMX控制台的脚本,用户可以通过这个脚本来启动JMX Console Tools的应用,以连接并管理远程或本地的Java应用。 5. **CHANGELOG.TXT**:变更日志文件,记录了项目的版本更新和改进...
jboss安全配置.doc
10-08
2. **设置JMX-Console控制台密码**: JMX(Java Management Extensions)控制台JBoss管理的一个重要组件,允许管理员监控和管理服务器的各个方面。为了防止未经授权的访问,需要对JMX-Console设置密码。首先,...
JBOSS服务器安全配置基线[借鉴].pdf
10-19
JBOSS 服务器安全配置基线 JBOSS 服务器是 Java 企业版(Enterprise Java)应用服务器市场的领导者之一,同时也是许多企业的关键信息系统的基础组件。然而,随着 JBOSS 服务器的广泛应用,安全问题也日益严重。如果...
Jboss Jmx-ConsoleJboss web-console安全设置
u014548782的专栏
04-21 5293
1、介绍       如果你暴露你的JBoss服务器通过网络(如通过启动服务器使用选项B 0.0.0.0)
jmx-console登录
iteye_20535的博客
10-31 698
参考:http://xiaoboss.iteye.com/blog/1113464 Jmx-console登录用户名密码设置: 默认情况下不需要用户名密码,但是存在安全隐患。 Jboss用户名密码设置步骤如下: 1. %JBOSS_HOME%/server/default/deploy/jmx-console.war/WEB-INF/jboss-web.xml中去掉java:/jaas...
JBoss jmx-console和web-console安全设置
热门推荐
龙俊生的专栏
05-14 1万+
五一放假的时候给2Bizbox ERP国外新客户部署了两台服务器,忙到很晚才睡觉,搞定了心里舒服了,睡的也香,但是假期结束来了客户说服务器被hack了,结果服务器re-image,所有工作白做了。多的不扯了,被hack,主要原因是JBossjmx-console和web-console导致的, 所以这里说下JBoss相关的安全设置吧。 JBoss jmx-console和web-console
Jbossjmx-console与web-console配置
weixin_33724046的博客
11-19 195
JBoss安装成功后,一般可以通过http://localhost:port来访问.Jmx ConsoleJboss Web Console 里面可以修改和删除应用的参数,如果不加强安全设置,将会带来严重安全后果。 默认登录jmx-console的账号信息是:admin/admin,因此我们应该修改这个账号信息。 一、JMX安全配置 1: 找到%JBOSS...
命令行访问jmx-console
weixin_33739523的博客
11-27 403
2019独角兽企业重金招聘Python工程师标准>>> ...
jboss控制台jmx-console 登录的用户名和密码设置
蓝缘
11-02 1万+
默认情况访问 http://localhost:8080/jmx-console 就可以浏览jboss的部署管理的一些信息,不需要输入用户名和密码,使用起来有点安全隐患。下面我们针对此问题对jboss进行配置,使得访问jmx- console也必须要知道用户名和密码才可进去访问。步骤如下: i)路径:/server/default/deploy/jmx-console.wa
jmx-console配置
brainwkernighan的专栏
11-23 490
<br /> <br /> <br /> <br />i) server/default/deploy/jmx-console.war/web-inf:jboss-web.xml;web.xml<br />前者设置web应用的安全性域,后者设置登录的角色<br />ii)server/defualt/conf/login-conf.xml该文件存放一些与安全有关系的设置<br />从上面的xml中可以查看到配置用户名密码和权限的文件,默认为admin=admin
控制台常见安全问题
weixin_40973237的博客
01-31 332
控制台安全测试简介
16. http://www.exmaple.com/jmx-console/是Tomcat的默认控制台URL ( 1.5分) A.对 B.错
06-13
正确答案是 A.对。在 Tomcat 中,JMX(Java Management Extensions)是一种管理和监控 Tomcat 服务器的标准方式。Tomcat 默认提供了一个 JMX 控制台,可以通过 URL http://www.example.com/jmx-console/ 访问。在控制台中,可以查看 Tomcat 的运行状态、配置信息、线程状态等,并进行一些管理操作,例如启动/停止应用程序、重新加载应用程序等。但是,由于该控制台存在一些安全风险,例如未授权访问、远程代码执行等,因此建议在生产环境中禁用控制台或者配置安全措施加以保护。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值