Jboss中間件安全設(shè)計(jì)方案

1、Jboss中間件安全設(shè)計(jì)方案 背景應(yīng)用服務(wù)器的安全配置1. Linux防火墻配置2. JBoss中間件的安全配置1. 方法一通過(guò)Apache進(jìn)行服務(wù)轉(zhuǎn)發(fā)1. 安裝apache服務(wù)2. 安裝mod_jk模塊3. 禁止jboss配置2. 方法二JBoss的安全配置1. 移除jmx-console控制臺(tái)2. 移除web-console控制臺(tái)3. 禁止自動(dòng)掃描4. 限制訪問(wèn)IP5. 移除管理用戶(hù)3. 安全配置腳本實(shí)例1. 防火墻規(guī)則設(shè)定的腳本2. 刪除jboss控制臺(tái)的腳本1       背景本文檔是針對(duì)明珠商城在測(cè)試環(huán)境下，為了只

2、讓信任的IP訪問(wèn)指定的服務(wù)，減少系統(tǒng)的運(yùn)行風(fēng)險(xiǎn)，為此引入了iptables服務(wù)進(jìn)行防護(hù)。Jboss本身的安全問(wèn)題也要做些處理，比如對(duì)外屏蔽jboss其他（除8080）眾多端口，把控制臺(tái)等模塊服務(wù)給移除等方式，把安全漏洞降到最低。2       應(yīng)用服務(wù)器的安全配置2.1 Linux防火墻配置設(shè)置環(huán)境:服務(wù)器IP地址            描述服務(wù)端28   被保

3、護(hù)的應(yīng)用服務(wù)器客戶(hù)端A29   不被信任的客戶(hù)端客戶(hù)端B   信任的客戶(hù)端 示意圖： 設(shè)置防火墻步驟:#清除現(xiàn)有規(guī)則iptables F    #設(shè)置默認(rèn)策略,默認(rèn)關(guān)閉進(jìn)入應(yīng)用服務(wù)器的所有數(shù)據(jù)包鏈路iptables-P INPUT DROPiptables-P OUTPUT ACCEPTiptables-P FORWARD ACCEPT #設(shè)置可信任IP或端口iptables -AINPUT  -p tcp -dport 22 -j ACCEP

4、Tiptables-A INPUT -s   -p tcp -dport8080 -j ACCEPT #把設(shè)置保持至/etc/sysconfig/iptables，以后防火墻重啟也不會(huì)失效/etc/rc.d/init.d/iptablessave2.2 JBoss中間件的安全配置Jboss默認(rèn)安裝時(shí)，為了管理配置方便，很多服務(wù)都給默認(rèn)安裝上了，比如Tomcatstatus (full) (XML)、JMX Console 、JBoss Web Console 等管理服務(wù)，這些服務(wù)給人帶來(lái)調(diào)試、配置方便的同時(shí)，也給系統(tǒng)帶

5、來(lái)了嚴(yán)重的安全隱患。為了減少jboss服務(wù)被惡意攻擊，除了做好iptables安全防護(hù)外，jboss本身的很多服務(wù)也要減少被攻擊機(jī)會(huì)，通常有兩種做法，一是引入apache服務(wù)，讓所有請(qǐng)求通過(guò)apache轉(zhuǎn)發(fā)，把jboss服務(wù)隱藏在后端，減少直接被攻擊的風(fēng)險(xiǎn)；二是不用apache，而是直接把jboss的相關(guān)服務(wù)給卸載掉，把這些安全漏洞直接堵死。2.2.1 方法一：通過(guò)Apache進(jìn)行服務(wù)轉(zhuǎn)發(fā) 要實(shí)現(xiàn)apache轉(zhuǎn)發(fā)jboss服務(wù)，需集成mod_jk或是mod_proxy其中一個(gè)模塊，這兩個(gè)模塊都可以做負(fù)載均衡和代理服務(wù)。mod_jk性能好些但相對(duì)而言配置量大些，而mod_proxy配置

6、簡(jiǎn)單但性能稍差，其版本不斷更新，正在不斷完善中。另外需注意的是如果要通過(guò)apache轉(zhuǎn)發(fā)服務(wù)，隱藏jboss細(xì)節(jié)的話，前提條件是apache服務(wù)與jboss應(yīng)用不能部署在同一臺(tái)服務(wù)器上，這里以mod_jk集成為例進(jìn)行配置介紹。 安裝apache服務(wù)安裝linux是自帶，這里就不介紹 安裝mod_jk模塊 1).源碼安裝tar zxvftomcat-connectors-1.2.30-src.tar.gzcdtomcat-connectors-1.2.23-srccd native./configure-with-apxs=/usr/local/apache

7、/bin/apxsmakecp ./apache-2.0/mod_jk.so/etc/httpd/modules/ 2).修改/etc/httpd/conf/http.conf配置文件   LoadModule jk_module modules/mod_jk.so    Include conf/extra/httpd-vhosts.confInclude conf/mod_jk.conf #ServerName :80改為ServerName 

8、:80添加默認(rèn)首頁(yè)：<IfModule dir_module> DirectoryIndex index.html index.htm index.jsp </IfModule>   3). 增加mod_jk配置文件在/etc/httpd/conf/下面建立兩個(gè)配置文件mod_jk.conf和pertiesvi /etc/httpd/conf/mod_jk.conf在/etc/httpd/conf/下面建立兩個(gè)配置文件mod_jk.conf和workers.p

9、ropertiescd /etc/httpd/conf/ vi mod_jk.confJkWorkersFile conf/perties  JkLogFile logs/mod_jk.log JkLogLevel info  JkLogStampFormat "%a %b %d %H:%M:%S %Y"  JkOptions +ForwardKeySize +ForwardURICompat-ForwardDirectories  JkRequestLogFormat "%w %V

10、 %T"  perties#Defining a worker named worker1 and of type ajp13  worker.list=worker1 #Set properties for worker1 worker.worker1.type=ajp13 worker.worker1.host=localhost worker.worker1.port=8009 worker.worker1.lbfactor=50 worker.worker1.cachesize=10 worker.worker1.ca

11、che_timeout=600 worker.worker1.socket_keepalive=1  worker.worker1.socket_timeout=300   4). 配置apache的vhost      配置/usr/local/apache/conf/extra/httpd-vhosts.conf，增加mod_jk的配置vi /etc/httpd/conf/extra/httpd-vhosts.confNameVirtualHost *:80  # VirtualHost exampl

12、e:  # Almost any Apache directive may go intoa VirtualHost container. # The first VirtualHost section is usedfor all requests that do not # match a ServerName or ServerAlias in any<VirtualHost> block.  #  <VirtualHost *:80>     ServerAdmin caozhipi

13、ng     DocumentRoot"/usr/local/jboss-4.2.3.GA/server/default/deploy"    ServerName 28     ServerAlias    JkMount /*.jsp worker1     JkMount /jmx-console/* worker1   &#

14、160;      /這個(gè)工程能通過(guò)80端口來(lái)訪問(wèn)     JkMount /web-console/* worker1          /這個(gè)工程能通過(guò)80端口來(lái)訪問(wèn),如果沒(méi)有定義的工程，不能訪問(wèn)    #apache will serve the static picture    JkUnMount /*.jp

15、g worker1     #JkUnMount /*.gif worker1     JkUnMount /*.swf worker1     JkUnMount /*.bmp worker1     JkUnMount /*.png worker1     ErrorLog "logs/dummy-error_log"     Cus

16、tomLog "logs/dummy-access_log" common  </VirtualHost>  禁止jboss配置    jboss默認(rèn)的端口是8080，可以注視掉，通過(guò)8009交給apache來(lái)解析cd/usr/local/jboss-4.2.3.GA/server/default/deploy/jboss-web.deployervim server.xml<!- <Connector port="8080"address="$j

17、boss.bind.address"         maxThreads="250"maxHttpHeaderSize="8192"      emptySessionPath="true"protocol="HTTP/1.1"      enableLookups="false"redirectPort="

18、;8443" acceptCount="100"     connectionTimeout="20000"disableUploadTimeout="true" /> -> 這這一段注視掉  2.2.2 方法二：JBoss的安全配置這種方式是通過(guò)刪除jboss本身的一些在開(kāi)發(fā)環(huán)境下有利于開(kāi)發(fā)人員工作需要的服務(wù)，以及關(guān)閉管理賬戶(hù)、限制IP等方式加強(qiáng)jboss安全 移除jmx-console控制臺(tái)rm  -r  /usr/local

19、/jboss/server/default/deploy/jmx-console.warrm  r  /usr/local/jboss/server/default/deploy/jbossws.sar/jbossws-context.warrm  r  /usr/local/jboss/server/default/deploy/management/console-mgr.sar/web-console.war 移除web-console控制臺(tái)rm  r  /usr/local/jboss/server/defaul

20、t/deploy/jboss-web.deployer/ROOT.warrm  r  /usr/local/jboss/server/default/deploy/jboss-web.deployer/context.xml 測(cè)試效果訪問(wèn)：080/jmx-console 訪問(wèn)：080/web-console 禁止自動(dòng)掃描修改文件：JBOSS_HOME/server/web/conf/jboss-service.xml修改內(nèi)容：<attributename=&q

21、uot;ScanEnabled">false</attribute>false：表示禁用。這樣設(shè)置可以提高性能,同時(shí)JBoss應(yīng)用被修改,也不會(huì)馬上生效（必須重啟），但是這樣設(shè)置之后代表熱部署不再支持。這里可以根據(jù)實(shí)際情況權(quán)衡利弊然后再進(jìn)行設(shè)置。  限制訪問(wèn)IPJBOSS 4.2以上版本服務(wù)啟動(dòng)如果不加任何參數(shù)的話,只監(jiān)聽(tīng),就是說(shuō)只能用或者localhost訪問(wèn)?？梢酝ㄟ^(guò)參數(shù)-b ip地址 來(lái)綁定監(jiān)聽(tīng)的地址。如：所有IP都能訪問(wèn)：-b 所有同局域網(wǎng)機(jī)器都可以訪問(wèn)：-b 00

22、 （00為Jboss服務(wù)器IP）  移除管理用戶(hù)注釋/usr/local/jboss/server/default/conf/props文件夾里面的配置文件所有用戶(hù)與角色vi perties# A perties file for use with the UsersRolesLoginModule#kermit=friend vi perties# A perties file for use with the

23、UsersRolesLoginModule#kermit=thefrog vi perties# A perties file for use with the UsersRolesLoginModule#admin=JBossAdmin,HttpInvoker vi perties# A perties file for use with the UsersRolesLoginModule#admin=admin 2.3

24、 安全配置腳本實(shí)例2.3.1 防火墻規(guī)則設(shè)定的腳本#!/bin/bash# Program:#       This program configure your iptables.# History:#2013/04/11    caozhiping      First releasePATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/binexport PAT

25、Hecho -e"Execute Iptables configure! a n"#clean ruletableiptables -Fiptables -t nat-F#setting defaultruleiptables -PINPUT DROPiptables -P OUTPUTACCEPTiptables -PFORWARD ACCEPT# permit pingcommand#iptables -A INPUT -p icmp -j ACCEPT# permit sourceaddress: into destination port 8080 iptables -AINPUT  -p tcp -dport 22 -j ACCEPTiptables -AINPUT s   -p tcp -dport8080 -j ACCEPT#data packet ofrelative local computer can pass firewalliptables -AINPUT -m state -state ESTABLISHED,RELATED -j ACCEPT#save this configure information