JBoss jmx-console和web-console安全设置

最新推荐文章于 2024-09-22 18:15:09 发布
最新推荐文章于 2024-09-22 18:15:09 发布
阅读量1.3w 收藏 1
点赞数
分类专栏: JBoss 文章标签: jboss 服务器 jmx application security access

五一放假的时候给2Bizbox ERP国外新客户部署了两台服务器,忙到很晚才睡觉,搞定了心里舒服了,睡的也香,但是假期结束来了客户说服务器被hack了,结果服务器re-image,所有工作白做了。多的不扯了,被hack,主要原因是JBoss的jmx-console和web-console导致的, 所以这里说下JBoss相关的安全设置吧。

JBoss jmx-console和web-console的安全设置
介绍
如果在网上公布了自己的JBoss服务器(用选项-b 0.0.0.0启动服务器或者在.../jboss/server/default/deploy/web-deployer/server.xml
改变第一个发生变量jboss.bind.address 为 0.0.0.0), 你也自动的公开了JBoss web-console (http://localhost:8080/web-console)
和 jmx-console (http://localhost:8080/jmx-console) 的管理平台,并且没有用户名和密码。
网上的任何人都可以通过这个途径,停止你的服务器,清空服务器上的应用,而且可以部署自己的应用上去。

jmx-console的安全设置
1) 在.../jboss/server/default/deploy/jmx-console.war/WEB-INF/jboss-web.xml 里,取消下面代码注释
      

<security-domain>java:/jaas/jmx-console</security-domain>


2) 在.../jboss/server/default/deploy/jmx-console.war/WEB-INF/web.xml里取消下面代码注释

<security-constraint>     
  <web-resource-collection>       
   <web-resource-name>HtmlAdaptor</web-resource-name>       
   <description>An example security config that only allows users with the         
    role JBossAdmin to access the HTML JMX console web application       
   </description>       
   <url-pattern>/*</url-pattern>       
   <http-method>GET</http-method>       
   <http-method>POST</http-method>     
  </web-resource-collection>    
  <auth-constraint>       
   <role-name>JBossAdmin</role-name>     
  </auth-constraint>   
 </security-constraint>

 

3) 在.../jboss/server/default/conf/props/jmx-console-users.properties文件里,增加/编辑行:
 admin=a_password_you_like
 . 要分配一个用户到JBossAdmin组里,在jmx-console-roles.properties.properties(相同目录下)文件里添加"username=JBossAdmin"
 . jmx-console-users.properties文件里有一个admin/admin的用户,为了安全起见,要么删除这个用户,要么改变这个pw更安全


web-console的安全设置
1)在.../jboss/server/default/deploy/management/console-mgr.sar/web-console.war/WEB-INF/jboss-web.xml取消下面代码注释

<security-domain>java:/jaas/web-console</security-domain>

 

2)在.../jboss/server/default/deploy/management/console-mgr.sar/web-console.war/WEB-INF/web.xml取消下面代码注释

<security-constraint>   
 <web-resource-collection>   
  <web-resource-name>HtmlAdaptor</web-resource-name>   
  <description>An example security config that only allows users with the   
  role JBossAdmin to access the HTML JMX console web application  
  </description>   
  <url-pattern>/*</url-pattern>  
  <http-method>GET</http-method>   
  <http-method>POST</http-method>   
 </web-resource-collection>   
 <auth-constraint>   
  <role-name>JBossAdmin</role-name>   
 </auth-constraint>   
</security-constraint>

 

3)在.../jboss/server/default/deploy/management/console-mgr.sar/web-console.war/WEB-INF/classes/web-console-users.properties 文件里,
增加/编辑行
 admin=a_password_you_like
 . 要分配一个用户到JBossAdmin组里,在web-console-roles.properties.properties(相同目录下)文件里添加"username=JBossAdmin"
 . web-console-users.properties文件里有一个admin/admin的用户,为了安全起见,要么删除这个用户,要么改变这个pw更安全

说明:
-两个 jboss-jmx-plugin用JMX控制台(跟maven-cargo-plugin一样)
-不需要web-console, 因此应该是不可用的(通过删除或是注释web-console-users.properties中的user/password行)

 

本文参考http://code.google.com/p/jboss-jmx-maven-plugin/wiki/Security

更多信息可以查看https://community.jboss.org/wiki/JBossASTuningSliming

奥迪圈圈
关注
专栏目录
JBoss安全设置
JZik的博客
01-24 373
JBoss安全设置 实验步骤: 1,安装JDK 1.7.x 将tar包拖入虚拟机home中,ls查看 [root@localhost ~]# ls 解包 [root@localhost ~]# tar zxvf jdk-7u80-linux-x64.tar.gz 3,[root@localhost ~]# mv jdk1.7.0_80 /usr/local/jdk1.7.0 4,编辑 [root@localhost ~]# vim /etc/profile 5,另开一个终端要先输入以下命令 [roo
Jbossjmx-consoleweb-console配置
weixin_33724046的博客
11-19 214
JBoss安装成功后,一般可以通过http://localhost:port来访问.Jmx ConsoleJboss Web Console 里面可以修改和删除应用的参数,如果不加安全设置,将会带来严重安全后果。 默认登录jmx-console的账号信息是:admin/admin,因此我们应该修改这个账号信息。 一、JMX安全配置 1: 找到%JBOSS...
JBOSS安全配置
hd_dream的专栏
06-11 147
一、JMX安全配置 1: 找到%JBOSS_HOME%/server/default/deploy/jmx-console.war/WEB-INF/jboss-web.xml文件,去掉对下面这段xml文本的注释。 [code="xml"] java:/jaas/jmx-console [/code] 2: 与jboss-web.xml同级目录下还有一个文件web.xml,找...
Jboss ⾼版本JMX Console未授权
最新发布
2301_81881972的博客
09-22 292
JMX Console默认存在未授权访问,直接点击JBoss主⻚中的 JMX Console 链接进⼊JMX Console⻚⾯, 通过部署war包 , getshell。在JMX Console⻚⾯点击jboss.system链接,在Jboss.system⻚⾯中点击service=MainDeployer,如下。因为使⽤环境不存在该漏洞所以需要输⼊账户密码:admin vulhub。Jboss6.x以下。
jboss安全配置参考
煜铭2011
11-07 3664
0x01 账号口令 1   jmx-console      默认情况访问 http://ip:port/jmx-console 需要输入用户名和密码。设置用户名密码限制账号,并进行加密存储。jboss 6.0 之前的版本 JMX 控制台的配置文件位置为:server/$config/deploy/jmx-console.war/WEB-INF/,jboss 6.0 及以上、7.0 以前的版本
jbossweb-console 登录的用户名和密码设置
gdfsbingfeng的专栏
01-24 1879
jbossweb-console 登录的用户名和密码设置 jbossweb-console 登录的用户名和密码设置   E:\tools\jboss-5.1.0.GA\jboss-5.1.0.GA\server\default\deploy\management\console-mgr.sar\web-console.war\WEB-INF web-co
删除JBOSS eap4.3下的jmx-consoleweb-console、ws-console、status服务
04-01
NULL 博文链接:https://iffiffj.iteye.com/blog/1404148
Jboss控制台jmx-console安全设置
04-22
Jboss控制台jmx-console安全设置
JBOSS4设置控制台jmx-console登录密码
09-27
接下来,需要编辑`jmx-console-users.properties`和`jmx-console-roles.properties`两个文件,它们通常位于`{jboss_home}\server\default\conf\props`目录下。 - `jmx-console-users.properties`用于定义用户及其...
jbaoo4.2.3-jmx-console未授权访问.docx
04-10
jbaoo4.2.3-jmx-console未授权访问
Jboss3/4的jmx/web console 配置
counterm的专栏
04-08 1491
<br />一. 下载与安装JBoss <br /><br />在本文中,我们下载的JBoss版本为:4.2.1.GA。<br /><br />下载地址:<br /><br />http://sourceforge.net/project/showfiles.php?group_id=22866&package_id=16942&release_id=523619<br /><br />在如上的下载页中下载JBoss-4.2.1.GA.zip文件。<br /><br />下载完成后,
JBoss jmx-console中的秘密
weixin_34402090的博客
05-28 303
JBoss jmx-console中的秘密 https://wenku.baidu.com/view/fe196f047cd184254b35351d.html
JBoss jmx-consoleweb-console安全设置
Elender的专栏
11-29 1000
JBoss jmx-consoleweb-console安全设置 介绍 如果在网上公布了自己的JBoss服务器(用选项-b 0.0.0.0启动服务器或者在.../jboss/server/default/deploy/web-deployer/server.xml 改变第一个发生变量jboss.bind.address 为 0.0.0.0), 你也自动的公开了JBoss web-cons
Jboss Jmx-ConsoleJboss web-console安全设置
qq_35657210的博客
04-04 316
1、介绍      如果你暴露你的JBoss服务器通过网络(如通过启动服务器使用选项B 0.0.0.0或者通过改变jboss.bind.address首次出现0.0.0.0在.../jboss/server/default/deploy/web-deployer/server.xml)你自动也暴露了Jboss web控制台(http://localhost:8080/jmx-console)因为管...
[原创]K8 Jboss jmx-console getshell exploit
K8哥哥
04-13 519
[原创]K8 Jboss jmx-console getshell exploit https://www.cnblogs.com/k8gege/p/10645858.html   0x00 前言 今天内网遇到几台Jboss,使用MSF确实是有点烦,要打几条命令设置一堆参数,我一个粘贴搞定的 为什么非要使用手动打好几条命令,让外行人看起来牛逼吗?大家都知道黑客电影打字快并不是高手 那些水...
jboss--JMX Console未授权访问
hovcfuti的博客
10-13 741
然后找到jboss.deployment(jboss 自带的部署功能)中的flavor=URL,type=DeploymentScanner点进去(通过 url 的方式远程部署)此漏洞主要是由于JBoss中/jmx-console/HtmlAdaptor路径对外开放,并且没有任何身份验证机制,导致攻击者可以进⼊到jmx控制台,并在其中执⾏任何功能。若需登录,可以尝试爆破弱口令登录。返回JMX Console里面,刷新找到jboss.web.deployment,如果出现上传的war,则部署成功。
JBoss JMXInvokerServlet 反序列化漏洞(CVE-2015-7501和CVE-2017-12149)
来到了学渣的博客
08-29 5324
JBoss在 /invoker/JMXInvokerServlet 请求中读取了用户传入的对象,然后我们可以利用 Apache Commons Collections 中的 Gadget 执行任意代码。 CVE-2017-12149适用JBoss版本:5.x / 6.x 踩坑提醒:生成的ser文件最好在linux系统操作,windows会出现各种错误,甚至shell反弹不回来。 步骤: 发现漏洞指纹→反弹shell进行编码→用ysoserial把编码好的反弹shell生ser文件→启动监听→用curl或
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值