Não é recomendável deixar consoles abertas sem requerer autenticação. Para configurar uma senha de acesso ao
jmx-console do JBoss, siga os seguintes passos.
No arquivo:
%JBOSS_HOME%\server\INSTÂNCIA\deploy\jmx-console.war\WEB-INF\jboss-web.xml
Descomentar a linha:
<security-domain>java:/jaas/jmx-console</security-domain>
No arquivo:
%JBOSS_HOME%\server\INSTÂNCIA\deploy\jmx-console.war\WEB-INF\web.xml
Descomentar conteúdo entre as tags:
<security-constraint> </security-constraint>
Configurar login e senha nos respectivos arquivos:
%JBOSS_HOME%\server\INSTÂNCIA\conf\props\jmx-console-roles.properties
%JBOSS_HOME%\server\INSTÂNCIA\conf\props\jmx-console-users.properties
Pronto, seu jmx-console já deve estar solicitando um usuário e senha para ser acessado.
[1] Comentário enviado por
paulojeronimo em 27/04/2010 - 00:17h:
Além do jmx-console, um hardening do JBoss deve envolver diversas outras configurações de segurança. Há algum tempo atrás eu escrevi um post em meu blog entitulado "Hackeando o JBoss AS" (veja em
http://bit.ly/DzqBk ). Nele é possível encontrar diversas dicas sobre algumas configurações de segurança devem ser realizadas neste servidor.
[2] Comentário enviado por
ceth em 28/04/2010 - 10:16h:
Sim, certamente tem outras configurações que podem ser feitas, inclusive, pretendo publicar mais algumas dicas relacionados a segurança do JBoss.
Quanto ao seu artigo Paulo, eu já havia lido, muito bom por sinal, parabéns!
[]s,
ceth
Procurando vulnerabilidades em scripts PHP (com exemplos)
Versão para impressora
Indicar para um amigo
Enviar dica