JBOSS服务器安全配置基线

JBoss的安全设置1）jmx-console登录的用户名和密码设置默认情况访问 http://localhost:8080/jmx-console 就可以浏览jboss的部署管理的一些信息，不需要输入用户名和密码，使用起来有点安全隐患。

下面我们针对此问题对jboss进行配置，使得访问jmx-console也必须要知道用户名和密码才可进去访问。

步骤如下：i) 找到JBoss安装目录/server/default/deploy/jmx-console.war/WEB-INF/jboss-web.xml文件，去掉<security-domain>java:/jaas/jmx-console</security-domain>的注释。

修改后的该文件内容为：<jboss-web><!-- Uncomment the security-domain to enable security. You willneed to edit the htmladaptor login configuration to setup thelogin modules used to authentication users.--><security-domain>java:/jaas/jmx-console</security-domain></jboss-web>ii）修改与i）中的jboss-web.xml同级目录下的web.xml文件，查找到<security-constraint/>节点，去掉它的注释，修改后该部分内容为：<!-- A security constraint that restricts access to the HTML JMXconsoleto users with the role JBossAdmin. Edit the roles to what youwant anduncomment the WEB-INF/jboss-web.xml/security-domainelement to enablesecured access to the HTML JMX console.--><security-constraint><web-resource-collection><web-resource-name>HtmlAdaptor</web-resource-name><description>An example security config that only allows userswith therole JBossAdmin to access the HTML JMX console webapplication</description><url-pattern>/*</url-pattern><http-method>GET</http-method><http-method>POST</http-method></web-resource-collection><auth-constraint><role-name>JBossAdmin</role-name></auth-constraint></security-constraint>在此处可以看出，为登录配置了角色JBossAdmin。

Jboss应用服务器教程JBoss应用服务器是一种基于Java的开源应用服务器，它提供了构建、部署和管理Java应用程序的平台。

本教程将介绍JBoss应用服务器的基本知识和使用方法，帮助读者快速掌握JBoss的开发和管理技巧。

第一章：JBoss应用服务器简介1.1 什么是JBoss应用服务器JBoss应用服务器是一种基于JavaEE规范的开源应用服务器，它提供了一系列的容器和部署工具，用于开发、部署和管理Java应用程序。

JBoss应用服务器具有高性能、可扩展性和可靠性等特点，被广泛应用于企业级Java开发。

1.2 JBoss应用服务器的特点- 支持JavaEE规范：JBoss应用服务器完全支持JavaEE规范，包括EJB、Servlet、JSP等。

- 高性能：JBoss应用服务器使用了高效的线程池和连接池等技术，能够提供卓越的性能。

- 可扩展性：JBoss应用服务器的架构设计具有良好的可扩展性，可以根据需求添加新的模块或扩展现有功能。

- 安全性：JBoss应用服务器提供了丰富的安全机制，包括身份认证、权限控制等，保护应用程序的安全。

- 高可用性：JBoss应用服务器支持集群部署和负载均衡，提供了高可用性和容错能力。

1.3 JBoss应用服务器的版本目前最新的JBoss应用服务器版本是JBoss EAP（JBoss企业应用平台），它是JBoss应用服务器的商业版本，提供了更多的功能和支持。

此外，JBoss社区还提供了免费的开源版本，如JBoss AS、WildFly等。

第二章：JBoss应用服务器的安装与配置2.1 下载JBoss应用服务器在官方网站上下载适合您系统的JBoss应用服务器安装包，并解压到您的机器上。

2.2 配置JBoss应用服务器- 设置JAVA_HOME：将JAVA_HOME环境变量指向您的JDK安装路径。

- 配置JBoss服务器：根据您的需求修改JBoss的配置文件，如端口号、数据库连接等。

1.1跟我学JBoss应用服务器下的J2EE应用开发——JBoss应用服务器的配置和管理详解（第1部分）1、JBoss概述（1）网站JBoss是一个运行EJB的J2EE应用服务器。

它是开放源代码的项目，遵循最新的J2EE 规范。

从JBoss项目开始至今，它已经从一个EJB容器发展成为一个基于J2EE的一个Web 操作系统（operating system for web），它体现了J2EE规范中最新的技术。

有关JBoss的详细信息请参阅其主页。

JBoss AOP的作者Bill Burke-----Bill Burke是JBoss公司首席架构师，JBoss AOP项目的领导者，JBoss EJB3.0的领导者之一（另一个是是Gavin King，GK负责Entity Bean，其他部分是Bill Burke负责），EJB 3.0 专家组成员。

（2）JBoss的配置和使用没有提供图形向导界面刚开始使用JBoss进行EJB开发时，由于可供参考的资源不是很多，所以有一个比较困难的起步阶段。

JBoss的配置和使用没有提供图形向导界面，所以开发部署EJB相对比较复杂。

（3）免费的开源的稳定的J2EE服务器JBoss+Tomcat已经成为一个免费的开源的稳定的J2EE服务器，虽然在JBoss中部署J2EE 没有商用J2EE服务器那么方便，基本都是通过手工编写XML配置文件，但是这样可以让我们更容易理解J2EE的来龙去脉。

（4）JAS套件JAS套件包括JBossServer EJB v2.0 Container 和server, JBossMQ JMS 1.0 implemetation, JBossNS JNDI implemetation,JBossCMP advanced O/R mapper和JDBC data object storage implemetation以及JAAS-based JBossSX security frameeork。

1.设置jmx-console控制台密码因为即使用防火墙将8080端口屏蔽，别有用心的用户也可以通过http://your_domain/jmx-console进行访问，修改如下JBOSS_HOME/server/default/deploy/jmx-console.war/WEB-INF/web.xml 取消 <security-constraint>这段注释jboss-web.xml 取消<security-domain> 这段注释JBOSS_HOME/server/default/conf/propsjmx-console-users.properties 修改 admin=admin 设置用户名=设置密码jmx-console-roles.properties 修改 admin 改为上面设置的用户名2.设置web-console的控制台密码JBOSS_HOME/server/default/deploy/management/console-mgr.sar/web-console.war/WEB-INF/web.xml 取消 <security-constraint>这段注释jboss-web.xml 取消<security-domain> 这段注释JBOSS_HOME/server/default/deploy/management/console-mgr.sar/web-console.war/WEB-INF//classweb-console-roles.properties 修改 admin 改为上面设置的用户名web-console-users.properties 修改 admin=admin 设置用户名=设置密码将以上两个文件拷贝到 JBOSS_HOME/server/default/conf/props修改JBOSS_HOME/server/default/conf/login-config.xml找到<application-policy name = "web-console">，修改后如下：1.<application-policy name = "web-console">2.<authentication>3.<login-module code="ersRolesLoginModule"4.flag = "required">5.<module-option name="usersProperties">props/web-console-users.properties</module-option>6.<module-option name="rolesProperties">props/web-console-roles.properties</module-option>7.</login-module>8.</authentication>9.</application-policy>3.删除jmx-console和web-console有时为了进一步提高JBOSS的安全性，需要把jmx-console和web-console控制台删除，以绝后患，具体做法就是删除下面的目录和文件：JBOSS_HOME/server/default/deploy/jmx-console.war 是个目录JBOSS_HOME/server/default/deploy/jbossws.sar/jbossws-context.war 是个目录JBOSS_HOME/server/default/deploy/management/console-mgr.sar/web-console.war 是个目录JBOSS_HOME/server/default/deploy/jboss-web.deployer/ROOT.war 是个目录JBOSS_HOME/server/default/deploy/jboss-web.deployer/context.xml 是个文件测试一下http://XXXX/jmx-console/http://XXXX/web-console 这里注意端口使用实际的，访问不到页面就成功了4.修改JBOSS_HOME/server/default/conf/jboss-service.xml将<attribute name="ScanEnabled">true</attribute> 将true改为false,false：表示禁用。

关于JBOSS服务器性能配置说明一、服务器性能配置：1.运行堆扩容设置：找到JBOSS 4.0+安装目录，以<JBOSS>为例；找到<JBOSS>\bin\run.conf文件，搜索并找到这行(一般是在第43行)：JA V A_OPTS="-server –Xms128m –Xmx512m …将以上内容修改成：JA V A_OPTS="-server –Xms500m –Xmx1000m -XX:PermSize=200m -XX:MaxPermSize=400m …✓备注：以下四个参数分别含义如下：-Xms：最小运行堆容量；-Xmx：最大运行堆容量；-XX:PermSize：通常运行的垃圾回收(gc)堆容量；-XX:MaxPermSize：垃圾回收(gc)最大堆容量；二、数据库连接池配置：1.找到JBOSS应用程序发布目录，一般为<JBOSS>\server\default\deploy；2.新建一个oracle-ds.xml文件，大致内容如下：<?xml version="1.0" encoding="UTF-8"?><datasources><local-tx-datasource><!—在java环境上下文中可以调用到的资源名称→<jndi-name>PIPM-oracle</jndi-name><!—数据库jdbc连接的URL →<connection-url>jdbc:oracle:thin:@localhost:1521:orcl</connection-url><!—jdbc驱动→<driver-class>jdbc.oracle.driver.oracleDriver</driver-class><!—数据库登录用户名→<user-name>sxpipm_real</user-name><!—数据库登录用户密码→<password>sxpipm_real</password><!—连接池最小连接数→<min-pool-size>5</min-pool-size><!—连接池最大连接数→<max-pool-size>20</max-pool-size><!—闲置连接超时时间分钟数→<idle-timeout-minutes>30</idle-timeout-minutes><!—跟踪数据库操纵记录→<track-statements/><!—预读式数据库操纵缓存容量(kb) →<prepared-statement-cache-size>32</prepared-statement-cache-size></local-tx-datasource></datasources>3.在现有投资计划管理系统中调用以上定义的数据库连接池：在应用程序代码中找到hibernate.properties文件（一般在src目录下或WEB-INF\classes 下）；关闭原先的jdbc连接方式配置(条目前面加#符号)：# hibernate.connection.url jdbc:oracle:thin:@localhost:1521:orcl# ername sxpipm_real# hibernate.connection.password sxpipm_real启用已配置的数据库连接池(取消条目前的#符号)：hibernate.connection.datasource java: PIPM-oraclehibernate.connection.pool_size 20hibernate.statement_cache.size 32hibernate.jdbc.fetch_size 50hibernate.jdbc.batch_size 25至此，数据库连接池已配置完毕；重新启动JBOSS服务器就可以正式启用连接池。

JBOSS服务器安全配置基线要点JBOSS服务器安全配置基线JBOSS服务器安全配置基线备注：1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。

目录第1章概述 (1)1.1目的 (1)1.2适用范围 (1)1.3适用版本 (1)1.4实施 (1)1.5例外条款 (1)第2章帐号管理、认证授权 (1)2.1帐号 (1)2.1.1jmx-console 登录的用户名和密码管理 (1)2.1.2web-console 登录的用户名和密码管理 (2)2.2口令 (3)2.2.1密码复杂度 (3)2.2.2密码生存期* (5)2.3授权 (5)2.3.1用户权利指派* (5)第3章日志配置操作 (7)3.1日志配置 (7)3.1.1审核登录 (7)第4章IP协议安全配置 (8)4.1IP协议 (8)4.1.1支持加密协议 (8)第5章设备其他配置操作 (10)5.1安全管理 (10)5.1.1定时登出 (10)5.1.2更改默认端口* (10)5.1.3错误页面处理 (11)5.1.4目录列表访问限制 (12)第6章评审与修订 (13)第1章概述1.1 目的本文档旨在指导系统管理人员进行Jboss服务器的安全配置。

1.2 适用范围本配置标准的使用者包括：服务器系统管理员、应用管理员、网络安全管理员。

1.3 适用版本4.x版本的Jboss服务器。

1.4 实施1.5 例外条款第2章帐号管理、认证授权2.1 帐号2.1.1jmx-console 登录的用户名和密码管理2.1.2web-console登录的用户名和密码管理2.2 口令2.2.1密码复杂度2.2.2密码生存期*2.3 授权2.3.1用户权利指派*第3章日志配置操作3.1 日志配置3.1.1审核登录第4章IP协议安全配置4.1 IP协议4.1.1支持加密协议第5章设备其他配置操作5.1 安全管理5.1.1定时登出5.1.2更改默认端口*5.1.3错误页面处理5.1.4目录列表访问限制JBOSS服务器安全配置基线第6章评审与修订。

JBoss服务器性能配置JBoss是全球领先的企业级开源的符合LGPL标准的Java Web服务器。

不但可以支持大规模企业级网站应用，也可以运行轻量级的Java Web应用系统。

作为Java应用服务器，JBoss得到广泛的应用。

但JBoss运行时，若不加配置，使用默认的配置运行，在开发环境下使用没有任何性能问题，但不能很好地支持实际的Web应用程序。

在实际应用中就遇到这样一个应用系统性能问题。

通过多方探索与学习，终于解决了JBoss服务器性能问题。

1问题描述1.1 服务器软硬件配置所用服务器为浪潮专用服务器，影响系统性能的两个关键参数为：CPU为双核intel xeonTM 2.80 GHz，内存为512MB。

安装的操作系统是Windows Server2003，数据库采用的是SQL Server 2000企业版，服务器用的是JBoss4.23，JDK1.6。

1.2 软件需求分析“家族式词汇学习系统”是一个B/S结构的词汇学习系统，采用的是Struts1.2+Spring1.2+Hibernate3.2整合的轻型J2EE 开发框架。

由于该系统需要单词（汉字）的发音，所以每个单词都要存储一个发音文件，根据需要还要存储其他几个与单词有关的文件，每个单词占约100K左右的存储空间。

每个单元设置50个单词，则每次取出的单词占内存总量为50*100K=5MB。

出现的问题是，当服务器同时在线超过6人时，即不能显示所需要单词，界面空白，不能完成正常功能。

按照系统性能要求，同时在线人数应在200左右，则内存总量应该不小于1GB（200*5MB=1GB）。

2问题分析引起问题的根本原因是内存太低，将原来的512MB内存换成了2GB，结果还是出现相同的问题。

支持同时在线人数有所增加，但距性能要求的200人相距甚远。

内存已经增加为2GB，按软件需求的内存量来说，已经足够，为什么还会出现性能问题呢？关键就在于JBoss服务器上，由于JBoss是按默认配置运行的，所以在运行实际Web应用时就出现了问题。

服务器基线配置标准
服务器基线配置标准是一个用于确保服务器安全和稳定运行的重要标准。

以下是一些常见的服务器基线配置标准，这些标准可能会因不同的组织或应用场景而有所差异：
1. 操作系统和软件：确保服务器上安装的操作系统和软件都是最新版本，并且已经修复了所有已知的安全漏洞。

2. 账户管理：对服务器上的用户账户进行严格管理，禁止未经授权的用户访问。

3. 密码策略：实施强密码策略，要求用户使用复杂且独特的密码，并定期更换密码。

4. 访问控制：对服务器的访问权限进行严格控制，只允许授权用户访问。

5. 日志和监控：对服务器的运行状况进行实时监控，并对重要事件进行记录。

6. 安全审计：定期对服务器的安全进行审计，检查是否有任何潜在的安全风险。

7. 数据备份：定期备份服务器上的数据，以防数据丢失或损坏。

8. 防病毒和防火墙：在服务器上安装防病毒软件和防火墙，以防止恶意软件的入侵。

9. 配置管理：对服务器的配置进行统一管理，确保所有服务器都遵循相同的配置标准。

10. 物理安全：确保服务器所在的物理环境安全，如门禁系统、监控设备等。

这些标准可以根据实际需要进行修改和调整，但它们应该始终考虑到安全性、稳定性和可维护性等方面。

Jboss中间件安全设计方案1 背景本文档是针对明珠商城在测试环境下，为了只让信任的IP访问指定的服务，减少系统的运行风险，为此引入了iptables服务进行防护。

Jboss本身的安全问题也要做些处理，比如对外屏蔽jboss其他（除8080）众多端口，把控制台等模块服务给移除等方式，把安全漏洞降到最低。

2 应用服务器的安全配置2.1 Linux防火墙配置设置环境:示意图：设置防火墙步骤:#清除现有规则iptables –F#设置默认策略,默认关闭进入应用服务器的所有数据包链路iptables-P INPUT DROPiptables-P OUTPUT ACCEPTiptables-P FORWARD ACCEPT#设置可信任IP或端口iptables -AINPUT -p tcp --dport 22 -j ACCEPTiptables-A INPUT -s 192.168.145.1 -p tcp --dport8080 -j ACCEPT#把设置保持至/etc/sysconfig/iptables，以后防火墙重启也不会失效/etc/rc.d/init.d/iptablessave2.2 JBoss中间件的安全配置Jboss默认安装时，为了管理配置方便，很多服务都给默认安装上了，比如Tomcatstatus (full) (XML)、JMX Console 、JBoss Web Console 等管理服务，这些服务给人带来调试、配置方便的同时，也给系统带来了严重的安全隐患。

为了减少jboss服务被恶意攻击，除了做好iptables安全防护外，jboss本身的很多服务也要减少被攻击机会，通常有两种做法，一是引入apache服务，让所有请求通过apache转发，把jboss服务隐藏在后端，减少直接被攻击的风险；二是不用apache，而是直接把jboss的相关服务给卸载掉，把这些安全漏洞直接堵死。

2.2.1 方法一：通过Apache进行服务转发要实现apache转发jboss服务，需集成mod_jk或是mod_proxy其中一个模块，这两个模块都可以做负载均衡和代理服务。

安全防护基线配置要求及检测要求概述说明1. 引言1.1 概述本篇长文旨在介绍安全防护基线配置要求及检测要求，并提供相关的实施案例分析。

随着互联网的快速发展和信息技术的广泛应用，网络安全问题日益凸显。

为了保护计算机系统和网络环境的安全，确保数据和信息资源不受到恶意攻击和非法访问，安全防护基线配置与检测成为一项至关重要的工作。

1.2 文章结构本文分为五个主要部分，包括引言、安全防护基线配置要求、检测要求及方法、实施安全防护基线配置与检测的实例分析以及结论。

通过逐步展开的方式，对这一话题进行详细解读与探讨。

1.3 目的本文旨在帮助读者深刻理解安全防护基线配置要求及检测要求在信息安全中的重要性，并提供相关案例分享以供参考。

通过对文章内容的学习与运用，读者将能够有效地制定和执行适合自身情况的安全防护策略，从而更好地保障信息系统与网络环境的安全。

以上是“1. 引言”部分的详细内容。

2. 安全防护基线配置要求：2.1 安全防护基线概念解释：安全防护基线是指为保障网络安全而设置的最低安全配置要求。

它包括了操作系统、应用程序和网络设备等各个层面的配置项，用于限制和预防潜在的安全威胁。

通过确立安全防护基线，可以为网络系统提供一个较高的安全性水平，并对未经授权访问、攻击和数据泄露等风险进行有效地控制。

2.2 安全防护基线的重要性：确定和实施合适的安全防护基线对于维护网络系统的稳定性和保障信息资产的安全至关重要。

通过统一规范化的安全配置，可以提高系统运行级别，减少漏洞被利用的机会。

此外，合理配置基线还能加强对恶意程序、病毒和其他威胁的检测与预防能力。

鉴于不同组织或个人所面临的风险环境不同，定制化设置安全防护基准是至关重要的。

2.3 安全防护基线配置要求详解：2.3.1 操作系统配置：- 安装最新的操作系统补丁和安全更新。

- 关闭不必要的服务和端口，只开启必需的网络服务。

- 设置强密码策略，并定期更换密码。

- 禁用或删除不必要的默认账户。

下载完成后，将其解压缩后即可完成安装，解压缩后将其放置到一个不带空格的目录(若目录带有空格，例如：C:"Program Files，日后可能会产生一些莫名的错误)，eg：E:\jboss-5.0.0.Beta4 。

同时：添加环境变量：1）在“系统变量”里添加JBOSS_HOME变量，值为Jboss的安装路径，如：JBOSS_HOME E:\jboss-5.0.0.Beta42）为了方便jboss的命令，需要把jboss的bin目录添加到系统Path路径里，如：Path ;%JBOSS_HOME%/bin在此，JBoss的安装工作已经结束，可通过如下方式测试安装是否成功：运行JBoss安装目录"bin"run.bat，如果窗口中没有出现异常，且出现：10:16:19,765 INFO [Server] JBoss (MX MicroKernel) [5.0.Beta4 (build: SVNTag=5.0.Beta4date=20080831605)] Started in 30s:828ms字样，则表示安装成功。

我们可以通过访问： http://localhost:8080/ 进入JBoss的欢迎界面，点击JBoss Management下的JMX Console可进入JBoss的控制台。

若启动失败，可能由以下原因引起：1）JBoss所用的端口（8080，1099，1098，8083等）被占用。

一般情况下为8080端口被占用（例如，Oracle占用了8080端口），此时需要修改JBoss的端口，方法为进入JBoss安装目录"server"default"deployer"jboss-web.deployer 目录，修改其下的server.xml目录，在此文件中搜索8080，将其改成你想要的端口即可（例如8088）；2）JDK安装不正确；3）JBoss下载不完全。