【中间件加固】————7、Jboss安全加固规范
1. 適用情況
適用于使用Jboss進行部署的Web網站。
適用版本:5.x版本的Jboss服務器
2. 技能要求
熟悉Jboss安裝配置,能夠Jboss進行部署,并能針對站點使用Jboss進行安全加固。
3. 前置條件
根據站點開放端口,進程ID,確認站點采用Nginx進行部署;
找到Jboss安裝目錄,針對具體站點對配置文件進行修改;
在執行過程中若有任何疑問或建議,應及時反饋。
4. 詳細操作
4.1 日志配置
Jboss 5.x版本日志配置:
1、打開%JBOSS_HOME%\server\default\deployers\jbossweb.deployer\server.xml文件,在<HOST>標簽中,將Access logger以下內容的注釋標記取消,取消后的內容如下:
2、重啟Jboss服務,網站訪問日志生成在JBOSS_HOME%\server\default\log目錄下。
Jboss7日志配置:
1、在默認的情況下,JBoss7是沒有開啟access_log的,如果要開啟這項功能,就需要修改$JBOSS_HOME\standalone\configuration\standalone.xml這個文件,備份配置文件,相關的修改內容如下所示:
<virtual-server name="default-host" enable-welcome-root="true"><alias name="localhost"/><alias name="example.com"/><access-log pattern="%t %a %m %U %s %D" prefix="access_log." rotate="true"><directory path="." relative-to="jboss.server.log.dir"/></access-log></virtual-server>重啟即可看到${jbossHome}\standalone\log\目錄下生成access_log
4.2 錯誤頁面重定向
1、找到%JBOSS_HOME%\server\default\deployers\jbossweb.deployer\conf\web.xml文件,對該文件內容進行編輯:
???<welcome-file-list><welcome-file>index.html</welcome-file><welcome-file>index.htm</welcome-file><welcome-file>index.jsp</welcome-file></welcome-file-list>2、重新啟動 Jboss 服務
4.3 最佳操作實踐
4.3.1?????關閉jmx-console
1、找到%JBOSS_HOME%/server/default/deploy/jmx-console.war/WEB-INF/jboss-web.xml文件,去掉對下面這段xml文本的注釋。修改后的該文件內容為:
2、與jboss-web.xml同級目錄下還有一個文件web.xml,,查找到<security-constraint/>節點,去掉它的注釋,修改后該部分內容為:
3、在%Jboss_HOME%\server\default\conf\props\jmx-console-users.properties,該文件定義的格式為:用戶名=密碼,在該文件中,默認定義了一個用戶名為admin,密碼也為admin的用戶,建議設置強口令密碼。
在同目錄下jmx-console-roles.properties,該文件定義的格式為:用戶名=角色,多個角色以“,”隔開,該文件默認為admin用戶定義了JBossAdmin和HttpInvoker這兩個角色。
可以找到這兩個文件,修改用戶名和密碼。
4、配置完成,通過訪問: http://localhost:8088/jmx-console/ ,輸入jmx-console-roles.properties文件中定義的用戶名和密碼,訪問jmx-console的頁面。
4.3.2?????關閉web-console
1、找到%JBOSS_HOME%/server/default/deploy/management/console-mgr.sar/web-console.war/WEB-INF/jboss-web.xml文件,去掉<security-domain>節點的注釋,修改后的文件內容為:
2、與jboss-web.xml同級目錄下還有一個文件web.xml,查找到<security-constraint/>節點,去掉它的注釋,修改后該部分內容為:
3、打開%Jboss_HOME%\server\default\deploy\management\console-mgr.sar\web-console.war\WEB-INF\classes\web-console-users.properties,設置用戶名、密碼。
要分配一個用戶到JBossAdmin組里,在同目錄下的web-console-roles.properties.properties文件里添加"username=JBossAdmin"
兩個文件默認是admin/admin的用戶,為了安全起見,建議更換一個強口令密碼。
4.3.3?????關閉status統計信息
1、 打開%JBOSS_HOME%\server\default\deploy\ROOT.war\WEB-INF\web.xml,將以下部分注釋掉:
?
2、重新啟動 Jboss 服務
4.3.4?????刪除默認文件
如果不需要使用后臺頁面,找到jboss部署目錄,將 %JBOSS_HOME%\server\default\deploy\ROOT.war文件夾下的所有文件備份到其它位置后刪除文件夾下的所有文件。
4.3.5?????禁止目錄列出
1、找到%JBOSS_HOME%\server\default\deployers\jbossweb.deployer\conf\web.xml文件,對該文件內容進行編輯:
?
把 true 改成 false
2、重新啟動 Jboss 服務
4.3.6?????定時登出
1、找到%JBOSS_HOME%\server\default\deployers\jbossweb.deployer\server.xml文件,修改為1800秒,30分鐘自動登出:
<Connector protocol="HTTP/1.1" port="8080" address="${jboss.bind.0.0.0.0}" connectionTimeout="1800" redirectPort="8443" />2、重新啟動 Jboss 服務
4.4????風險操作項
4.4.1?????Jboss降權
建議配置 linux 系統:
(1) 創建 jboss 組:groupadd Jboss
(2) 創建 jboss 用戶并加入 jboss 組:useradd Jboss –g Jboss
(3) 以 Jboss 身份啟動服務
Windows 系統:
(1) 新建一個 Jboss 用戶
(2) 設置 Jboss 用戶對 Jboss_home 的相關權限
(3) 在服務管理器 (service.msc) 中找到 Jboss 服務,右鍵選擇屬性,設置登 錄身份為 Jboss 用戶
4.4.2?????更改默認端口
1、打開%JBOSS_HOME%\server\default\deployers\jbossweb.deployer\server.xml文件,備份配置文件,改默認端口到8100:
<Connector port="8100" address="${jboss.bind.address}"
maxThreads="250" strategy="ms" maxHttpHeaderSize="8192"
emptySessionPath="true"
enableLookups="false" redirectPort="8443" acceptCount="100"
connectionTimeout="1800"
disableUploadTimeout="true" URIEncoding="utf-8"/>
2、重新啟動 Jboss 服務
?
轉自:https://blog.csdn.net/qq_23936389/article/details/86150493
總結
以上是生活随笔為你收集整理的【中间件加固】————7、Jboss安全加固规范的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 【中间件加固】————4、IIS7.0
- 下一篇: 【中间件安全】WebSphere安全加固