jboss信息安全

错误0:34:20,942 ERROR [UsersRolesLoginModule] Failed to load users/passwords/role files 
java.io.IOException: No properties file: users.properties or defaults: defaultUsers.properties found 

JBoss安装成功后,一般可以通过http://localhost:port来访问.Jmx Console和Jboss Web Console 里面可以修改和删除应用的参数,如果不加强安全设置,将会带来严重安全后果。 
默认登录jmx-console的账号信息是:admin/admin,因此我们应该修改这个账号信息。

一、JMX安全配置 
1: 找到%JBOSS_HOME%/server/default/deploy/jmx-console.war/WEB-INF/jboss-web.xml文件,去掉对下面这段xml文本的注释。

Xml代码

Java代码  

  1. <jboss-web>
  2. <security-domain>java:/jaas/jmx-console</security-domain>
  3. </jboss-web>

2: 与jboss-web.xml同级目录下还有一个文件web.xml,找到下面这段xml文本,取消注释。

Xml代码

Java代码  

  1. <security-constraint>
  2. <web-resource-collection>
  3. <web-resource-name>HtmlAdaptor</web-resource-name>
  4. <description>An example security config that only allows users with the
  5. role JBossAdmin to access the HTML JMX console web application
  6. </description>
  7. <url-pattern>/*</url-pattern>
  8. <http-method>GET</http-method>
  9. <http-method>POST</http-method>
  10. </web-resource-collection>
  11. <auth-constraint>
  12. <role-name>JBossAdmin</role-name>
  13. </auth-constraint>
  14. </security-constraint>

注意:<role-name>JBossAdmin</role-name> 
引用了一个已定义的角色名:JBossAdmin(这个角色名称是在该文件下的<security-role><role-name>JBossAdmin</role-name></security-role>节点中定义的), 
jmx-console-roles.properties文件中的角色名称必须与其一致, 
如:duqiang=JBossAdmin,HttpInvoker;定义了一个duqiang用户,其属于JBossAdmin角色

3: 在第一步中的jmx-console安全域和第二步中的运行角色JBossAdmin与用户名和密码都是在login-config.xml中配置, 
我们在%JBOSS_HOME%/server/default/conf/login-config.xml文件可以看到以下配置,

Xml代码

Java代码  

  1. <!--此处应与jboss-web.xml文件中的<security-domain>java:/jaas/jmx-console</security-domain> 一致 -->
  2. <application-policy name = "jmx-console">
  3. <authentication>
  4. <login-module code="org.jboss.security.auth.spi.UsersRolesLoginModule"
  5. flag = "required">
  6. <module-option name="usersProperties">props/jmx-console-users.properties</module-option>
  7. <module-option name="rolesProperties">props/jmx-console-roles.properties</module-option>
  8. </login-module>
  9. </authentication>
  10. </application-policy>

文件props/jmx-console-users.properties中定义了用户名、密码;文件props/jmx-console-roles.properties中定义了用户所属角色 
注: 
jmx-console-users.properties 格式是:用户名=密码明文 
jmx-console-roles.properties 格式是:用户名=角色1,角色2,角色3

可以找到这两个文件,修改用户名和密码。

二、WEB-CONSOLE的安全配置 
1: 
找到%JBOSS_HOME%/server/default/deploy/ management/console-mgr.sar/web-console.war/WEB-INF/jboss-web.xml文件,去掉对以下xml文本的注释。

Xml代码    
<jboss-web> 
<depends>jboss.admin:service=PluginManager</depends> 
</jboss-web> 
2: 
与jboss-web.xml同级目录下还有一个文件web.xml,找到下面这段xml文本,取消注释。

Xml代码

Java代码  

  1. <security-constraint>
  2. <web-resource-collection>
  3. <web-resource-name>HtmlAdaptor</web-resource-name>
  4. <description>An example security config that only allows users with the
  5. role JBossAdmin to access the HTML JMX console web application
  6. </description>
  7. <url-pattern>/*</url-pattern>
  8. <http-method>GET</http-method>
  9. <http-method>POST</http-method>
  10. </web-resource-collection>
  11. <auth-constraint>
  12. <role-name>JBossAdmin</role-name>
  13. </auth-constraint>
  14. </security-constraint>

3:在 %JBOSS_HOME%/server/default/deploy/management/console-mgr.sar/web-console.war/WEB-INF/classes目录下找到web-console-users.properties,web-console-roles.properties文件 
分别把他们重命名成users.properties与roles.properties。 
4:在% JBOSS_HOME%/server/default/conf/login-config.xml文件可以看到以下配置: 
Xml代码

Java代码  

  1. <application-policy name = "web-console">
  2. <authentication>
  3. <login-module code="org.jboss.security.auth.spi.UsersRolesLoginModule"
  4. flag = "required">
  5. <module-option name="usersProperties">web-console-users.properties</module-option>
  6. <module-option name="rolesProperties">web-console-roles.properties</module-option>
  7. </login-module>
  8. </authentication>
  9. </application-policy>

修改该配置为:

Java代码  

  1. <application-policy name = "web-console">
  2. <authentication>
  3. <login-module code="org.jboss.security.auth.spi.UsersRolesLoginModule"
  4. flag = "required">
  5. <module-option name="usersProperties">users.properties</module-option>
  6. <module-option name="rolesProperties">roles.properties</module-option>
  7. </login-module>
  8. </authentication>
  9. </application-policy>  <!--  主要在login-config.xml同级目录新建了这两个文件,users.properties roles.properties,设置好用户名密码问题解决 -->

你可以修改users.properties其中的用户名和密码,格式和上面的两个properties文件中的一样。

启动服务输入http://localhost:8080/jmx-console 和http://localhost:8080/web-console测试安全机制,安是否和你自己修改后的账号信息一致。 
也可以启动服务输入http://localhost:8080/ 
然后分别点击JMX Console以及Jboss Web Console测试安全机制。

注意:如果在配置web-console时,不对web-console-users.properties与web-console-roles.properties文件重命名和修改login-config.xml文件中的<module-option name="usersProperties">users.properties</module-option> 
<module-option name="rolesProperties">roles.properties</module-option> 节点内容时,控制台会抛出异常信息。如下:

Java代码  

    1. Failed to load users/passwords/role files
    2. java.io.IOException: No properties file: users.properties or defaults: defaultUsers.properties
时间: 2024-10-11 05:11:06

jboss信息安全的相关文章

Jboss启动报错——DailyRollingFileAppender无法转换异常

问题:Jboss在启动时,报错java.lang.ClassCastException: org.jboss.logging.appender.DailyRollingFileAppender. 解决办法:D:/jboss-4.0.5.GA/server/default/deploy/jbossweb-tomcat55.sar/META-INF/jboss-service.xml文件,修改Java2ClassLoadingCompliance和UseJBossWebLoader为true,即:

浅说信息安全

浅说信息安全 一.      前言 目前,信息安全事件频频发生,支付宝.携程先后中招,更有恐怖的,波兰航空的地面操作系统都被黑了.信息安全问题已经越来越严重,毫不夸张滴说,信息安全的威力绝不下于核武器,可以轻而易举地摧毁一个国家.试想一下,哪一天我们到银行发现里面的钱没了.飞机起飞不了.火车发不了班了.电网无法供电了.通信中断了等等,我们的生活会变成怎样?因此,信息安全已经是一个事关国家生死存亡的必争之地. 二.      什么是信息安全 然而,什么是信息安全?信息安全包含了哪些内容?如何做到信

JBoss配置连接池

什么是数据库连接池? 配置连接池为的是解决效率问题.因为每创建一个连接都是很耗时的,有了连接池,就可以提前放一些连接进去.以后我们再用连接就去连接池里面取而不是每次都创建.但是我们知道连接池是有上限的,如果只允许我们放10个,那么当这10个连接都被占用的时候,下一个用户再来请求连接将不能得到,只好等待,如果等的时间太长了就会抛出timeout的异常.使用完连接后要释放,否则会一直占着资源,当连接全部被占用而得不到释放时,就会出现错误... JBoss实现了J2EE的13个规范包括JNDI,JND

Eclipse环境下JBoss调试,解决引用的工程不被部署的问题

其实算是一个很小的经验,在eclipse环境下进行jboss的部署,因为要定义某公共包的问题,将代码down下来做了个工程,部署时发现jboss提示:class not found! 从jboss部署目录中没有发现该类,在lib中也没有发现对应的jar包,考虑是编译时正确但运行时错误,原因就是没有部署. 后台经过同事指点,得知需要修改project的Deployment Assembly,需要将引用的工程通过jar的形式引入到jboss中.如图示: 重新部署,debug启动即可. Eclipse

使用百度指数了解信息安全与python

1 近七天在百度搜索信息安全与python的关键字的对比 2 关于对信息安全的相关搜索数据 3  3   关于python的相关搜索数据 4  信息安全搜索数据的条状图 5   python数据搜索关键字的条状图 6 信息安全在广东省的搜索指数分布

河南省信息安全对抗大赛赛后总结

这篇总结仅以我个人参加2017年的比赛的感悟和观点所写,不知道适用不适用下年,不管怎么样吧,也算是给下届的学生一个经验吧,希望下届的成绩比我们的更加优异. 一,            比赛的用到的环境 比赛时长是12个小时,大致分为三个阶段,第一阶段就是60道选择题(每人20道),第二阶段就9道关卡题(就是ctf题,每人三道),第三阶段就是对抗阶段,私有高地和公有高地都是网站,只不过私有的相对于公有的容易一些,而且公有的是没人守护的,私有的有人防护(必须攻下自己的私有阵地才能进行防护). 上外网

Eclipse中集成jboss

由于网址无法复制正确,只能截图,大家百度搜索以下字段"Eclipse中安装新版JBOSS的三种方法"就行

[信息安全] 1.密码工具箱 - 基础部分

0. 何谓安全? 对于信息安全性的重要性,我想大家都不会否认.那么具体来说应该具有哪些特性才能称之为安全呢?举个简单的例子:我给你发送一条消息“借给我100元”,当你收到这条消息并且处理后你的账户里面会少出来100块,我的账户会多出来100块.在这个过程中,你是消息接收方,我是消息发送方. 作为通信双方的你我都不希望让其他人能读懂这条消息,这是信息的机密性,即消息在传递过程中不被其他人解读. 作为通信双方的你我都不希望消息内容变成"借老子1000块!"(操,借钱还这么牛逼,100块都不

信息安全领域有哪些非常棒的资源?

干货大放送!Github最全渗透测试资源! 在线资源: 渗透测试资源:Metasploit Unleashed 链接地址 - 免费攻防安全metasploita课程PTES 链接地址 - 渗透测试执行标准OWASP 链接地址 - 开源Web应用安全项目 Shellcode开发:Shellcode Tutorials 链接地址 - 如何写shellcode的指导Shellcode Examples 链接地址 - Shellcode数据库 社会工程学资源:社工库框架 链接地址 - 社工所需信息资源