我有三个实时运行的 jboss 服务器,它们从一个 http 池提供给我的组织外部。
问题是关于 jboss jmx-console 安全问题。众所周知,jboss 安全漏洞是作为代码 CVE-2010-0738 发布的。但是,即使我从 web.xml 中删除了 http-method GET 和 POST 行,问题仍然存在。
任何帮助,将不胜感激。
非常感谢。
问问题
1652 次
1 回答
0
您不能将服务器绑定到外部地址并禁止仅从本地地址访问 jmx-console。
jboss-4.2.3 默认禁用 jmx-console 的安全性,因此您必须激活它。你需要做三个步骤。
- 取消 jmx-console/WEB-INF/web.xml 中最后一部分 web.xml 的注释(带有 security-constraint、login-config 和 security-role 的部分)
- 取消注释 jboss-web.xml 中的一行(行)
- 在 server/
<profile>/conf/props/jmx-console-users.properties中更改密码
现在您只能使用 jmx-console-users.properties 中设置的用户和密码以及 jmx-console-roles.properties 中的角色 JBossAdmin 访问 jmx-console
并且不要忘记删除已经提到的部分:
<http-method>GET</http-method>
<http-method>POST</http-method>
您也可以完全禁用 jmx-console,只需从部署目录中删除整个 jmx-console。
于 2013-01-03T15:03:48.347 回答