Jboss中间件安全设计方案

1、Jboss中间件安全设计方案 背景应用服务器的安全配置1. Linux防火墙配置2. JBoss中间件的安全配置1. 方法一通过Apache进行服务转发1. 安装apache服务2. 安装mod_jk模块3. 禁止jboss配置2. 方法二JBoss的安全配置1. 移除jmx-console控制台2. 移除web-console控制台3. 禁止自动扫描4. 限制访问IP5. 移除管理用户3. 安全配置脚本实例1. 防火墙规则设定的脚本2. 删除jboss控制台的脚本1       背景本文档是针对明珠商城在测试环境下，为了只

2、让信任的IP访问指定的服务，减少系统的运行风险，为此引入了iptables服务进行防护。Jboss本身的安全问题也要做些处理，比如对外屏蔽jboss其他（除8080）众多端口，把控制台等模块服务给移除等方式，把安全漏洞降到最低。2       应用服务器的安全配置2.1 Linux防火墙配置设置环境:服务器IP地址            描述服务端28   被保

3、护的应用服务器客户端A29   不被信任的客户端客户端B   信任的客户端 示意图： 设置防火墙步骤:#清除现有规则iptables F    #设置默认策略,默认关闭进入应用服务器的所有数据包链路iptables-P INPUT DROPiptables-P OUTPUT ACCEPTiptables-P FORWARD ACCEPT #设置可信任IP或端口iptables -AINPUT  -p tcp -dport 22 -j ACCEP

4、Tiptables-A INPUT -s   -p tcp -dport8080 -j ACCEPT #把设置保持至/etc/sysconfig/iptables，以后防火墙重启也不会失效/etc/rc.d/init.d/iptablessave2.2 JBoss中间件的安全配置Jboss默认安装时，为了管理配置方便，很多服务都给默认安装上了，比如Tomcatstatus (full) (XML)、JMX Console 、JBoss Web Console 等管理服务，这些服务给人带来调试、配置方便的同时，也给系统带

5、来了严重的安全隐患。为了减少jboss服务被恶意攻击，除了做好iptables安全防护外，jboss本身的很多服务也要减少被攻击机会，通常有两种做法，一是引入apache服务，让所有请求通过apache转发，把jboss服务隐藏在后端，减少直接被攻击的风险；二是不用apache，而是直接把jboss的相关服务给卸载掉，把这些安全漏洞直接堵死。2.2.1 方法一：通过Apache进行服务转发 要实现apache转发jboss服务，需集成mod_jk或是mod_proxy其中一个模块，这两个模块都可以做负载均衡和代理服务。mod_jk性能好些但相对而言配置量大些，而mod_proxy配置

6、简单但性能稍差，其版本不断更新，正在不断完善中。另外需注意的是如果要通过apache转发服务，隐藏jboss细节的话，前提条件是apache服务与jboss应用不能部署在同一台服务器上，这里以mod_jk集成为例进行配置介绍。 安装apache服务安装linux是自带，这里就不介绍 安装mod_jk模块 1).源码安装tar zxvftomcat-connectors-1.2.30-src.tar.gzcdtomcat-connectors-1.2.23-srccd native./configure-with-apxs=/usr/local/apache

7、/bin/apxsmakecp ./apache-2.0/mod_jk.so/etc/httpd/modules/ 2).修改/etc/httpd/conf/http.conf配置文件   LoadModule jk_module modules/mod_jk.so    Include conf/extra/httpd-vhosts.confInclude conf/mod_jk.conf #ServerName :80改为ServerName 

8、:80添加默认首页：<IfModule dir_module> DirectoryIndex index.html index.htm index.jsp </IfModule>   3). 增加mod_jk配置文件在/etc/httpd/conf/下面建立两个配置文件mod_jk.conf和pertiesvi /etc/httpd/conf/mod_jk.conf在/etc/httpd/conf/下面建立两个配置文件mod_jk.conf和workers.p

9、ropertiescd /etc/httpd/conf/ vi mod_jk.confJkWorkersFile conf/perties  JkLogFile logs/mod_jk.log JkLogLevel info  JkLogStampFormat "%a %b %d %H:%M:%S %Y"  JkOptions +ForwardKeySize +ForwardURICompat-ForwardDirectories  JkRequestLogFormat "%w %V

10、 %T"  perties#Defining a worker named worker1 and of type ajp13  worker.list=worker1 #Set properties for worker1 worker.worker1.type=ajp13 worker.worker1.host=localhost worker.worker1.port=8009 worker.worker1.lbfactor=50 worker.worker1.cachesize=10 worker.worker1.ca

11、che_timeout=600 worker.worker1.socket_keepalive=1  worker.worker1.socket_timeout=300   4). 配置apache的vhost      配置/usr/local/apache/conf/extra/httpd-vhosts.conf，增加mod_jk的配置vi /etc/httpd/conf/extra/httpd-vhosts.confNameVirtualHost *:80  # VirtualHost exampl

12、e:  # Almost any Apache directive may go intoa VirtualHost container. # The first VirtualHost section is usedfor all requests that do not # match a ServerName or ServerAlias in any<VirtualHost> block.  #  <VirtualHost *:80>     ServerAdmin caozhipi

13、ng     DocumentRoot"/usr/local/jboss-4.2.3.GA/server/default/deploy"    ServerName 28     ServerAlias    JkMount /*.jsp worker1     JkMount /jmx-console/* worker1   &#

14、160;      /这个工程能通过80端口来访问     JkMount /web-console/* worker1          /这个工程能通过80端口来访问,如果没有定义的工程，不能访问    #apache will serve the static picture    JkUnMount /*.jp

15、g worker1     #JkUnMount /*.gif worker1     JkUnMount /*.swf worker1     JkUnMount /*.bmp worker1     JkUnMount /*.png worker1     ErrorLog "logs/dummy-error_log"     Cus

16、tomLog "logs/dummy-access_log" common  </VirtualHost>  禁止jboss配置    jboss默认的端口是8080，可以注视掉，通过8009交给apache来解析cd/usr/local/jboss-4.2.3.GA/server/default/deploy/jboss-web.deployervim server.xml<!- <Connector port="8080"address="$j

17、boss.bind.address"         maxThreads="250"maxHttpHeaderSize="8192"      emptySessionPath="true"protocol="HTTP/1.1"      enableLookups="false"redirectPort="

18、;8443" acceptCount="100"     connectionTimeout="20000"disableUploadTimeout="true" /> -> 这这一段注视掉  2.2.2 方法二：JBoss的安全配置这种方式是通过删除jboss本身的一些在开发环境下有利于开发人员工作需要的服务，以及关闭管理账户、限制IP等方式加强jboss安全 移除jmx-console控制台rm  -r  /usr/local

19、/jboss/server/default/deploy/jmx-console.warrm  r  /usr/local/jboss/server/default/deploy/jbossws.sar/jbossws-context.warrm  r  /usr/local/jboss/server/default/deploy/management/console-mgr.sar/web-console.war 移除web-console控制台rm  r  /usr/local/jboss/server/defaul

20、t/deploy/jboss-web.deployer/ROOT.warrm  r  /usr/local/jboss/server/default/deploy/jboss-web.deployer/context.xml 测试效果访问：080/jmx-console 访问：080/web-console 禁止自动扫描修改文件：JBOSS_HOME/server/web/conf/jboss-service.xml修改内容：<attributename=&q

21、uot;ScanEnabled">false</attribute>false：表示禁用。这样设置可以提高性能,同时JBoss应用被修改,也不会马上生效（必须重启），但是这样设置之后代表热部署不再支持。这里可以根据实际情况权衡利弊然后再进行设置。  限制访问IPJBOSS 4.2以上版本服务启动如果不加任何参数的话,只监听,就是说只能用或者localhost访问。可以通过参数-b ip地址 来绑定监听的地址。如：所有IP都能访问：-b 所有同局域网机器都可以访问：-b 00

22、 （00为Jboss服务器IP）  移除管理用户注释/usr/local/jboss/server/default/conf/props文件夹里面的配置文件所有用户与角色vi perties# A perties file for use with the UsersRolesLoginModule#kermit=friend vi perties# A perties file for use with the

23、UsersRolesLoginModule#kermit=thefrog vi perties# A perties file for use with the UsersRolesLoginModule#admin=JBossAdmin,HttpInvoker vi perties# A perties file for use with the UsersRolesLoginModule#admin=admin 2.3

24、 安全配置脚本实例2.3.1 防火墙规则设定的脚本#!/bin/bash# Program:#       This program configure your iptables.# History:#2013/04/11    caozhiping      First releasePATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/binexport PAT

25、Hecho -e"Execute Iptables configure! a n"#clean ruletableiptables -Fiptables -t nat-F#setting defaultruleiptables -PINPUT DROPiptables -P OUTPUTACCEPTiptables -PFORWARD ACCEPT# permit pingcommand#iptables -A INPUT -p icmp -j ACCEPT# permit sourceaddress: into destination port 8080 iptables -AINPUT  -p tcp -dport 22 -j ACCEPTiptables -AINPUT s   -p tcp -dport8080 -j ACCEPT#data packet ofrelative local computer can pass firewalliptables -AINPUT -m state -state ESTABLISHED,RELATED -j ACCEPT#save this configure information