Bakgrund:
- http://isc.sans.edu/diary.html?storyid=11860
- https://access.redhat.com/kb/docs/DOC-30741
- http://community.jboss.org/blogs/mjc/2011/10/20/statement-regarding-security-threat-to-jboss-application-server
För att stänga av jmx-console och web-console helt och hållet så tar man bort dom war-filerna och startar om JBoss.
idp# mv /opt/jboss/server/default/deploy/jmx-console.war ~ idp# mv /opt/jboss/server/default/deploy/management/console-mgr.sar/web-console.war ~
Om man av någon anledning ska köra dessa tjänster så ska man se till att dom är uppsäkrade med autentisering
Editera följande filer:
- /opt/jboss/server/default/deploy/jmx-console.war/WEB-INF/web.xml
- /opt/jboss/server/default/deploy/management/console-mgr.sar/web-console.war/WEB-INF/web.xml
Ta bort kommenteringen på förljande element och editera:
<security-constraint>
<web-resource-collection>
<web-resource-name>HtmlAdaptor</web-resource-name>
<description>An example security config that only allows users with the
role JBossAdmin to access the HTML JMX console web application
</description>
<url-pattern>/*</url-pattern>
<http-method>GET</http-method> <-- (TA BORT DENNA för att även skydda PUT/DELETE etc..)
<http-method>POST</http-method> <-- (TA BORT DENNA för att även skydda PUT/DELETE etc..)
</web-resource-collection>
<auth-constraint>
<role-name>JBossAdmin</role-name>
</auth-constraint>
</security-constraint>