JMX漏洞修复,从TCP转SSL + KEY证书方式

已于 2024-09-23 09:44:58 修改
阅读量1.1k 收藏 6
点赞数 21
CC 4.0 BY-SA版权
文章标签: tcp/ip ssl 网络协议 JMX
于 2024-09-23 08:43:49 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kingwin28/article/details/142377929

前因,为了修复JMX漏洞,由原TCP方式改为SSL认证方式,过程非常折腾,在此简单记录,希望帮到后面的同学!

第一步,生成证书:

服务端keystore和证书
/root/jdk1.8_LIN_X64/jre/bin/keytool -genkeypair -keystore serverkeystore -alias serverkey -validity 1800 -storepass zs0001 -keypass zs0001

/root/jdk1.8_LIN_X64/jre/bin/keytool -exportcert -keystore serverkeystore -alias serverkey -storepass zs0001 -file server.cer

生成客户端keystore和证书
/root/jdk1.8_LIN_X64/jre/bin/keytool -genkeypair -keystore clientkeystore -alias clientkey -validity 1800 -storepass zs0001 -keypass zs0001

/root/jdk1.8_LIN_X64/jre/bin/keytool -exportcert -keystore clientkeystore -alias clientkey -storepass zs0001 -file client.cer

将客户端证书导入到服务端truststore
/root/jdk1.8_LIN_X64/jre/bin/keytool -importcert -file client.cer -keystore servertruststore -storepass zs0001

将服务端证书导入到客户端truststore
/root/jdk1.8_LIN_X64/jre/bin/keytool -importcert -file server.cer -keystore clienttruststore -storepass zs0001

解释:
-validity 1800 为天数
-storepass, -keypass 为密码
生成key时一路回车,直到最后输入 y 即可。也可根据自己实际情况设置
keytool 需与tomcat应用的java环境版本相同,否则会有异常。

第二步,Tomcat配置JMX服务端
tomcat 的catalina.sh 放在首行,配置JMX服务端。
建议先拿个干净的Tomcat来做验证。

CATALINA_OPTS="$CATALINA_OPTS -Djava.rmi.server.hostname=127.0.0.1 -Dcom.sun.management.jmxremote.port=6443 -Dcom.sun.management.jmxremote.rmi.port=6443 -Dcom.sun.management.jmxremote.authenticate=false -Dcom.sun.management.jmxremote.ssl=true -Dcom.sun.management.jmxremote.ssl.need.client.auth=true -Dcom.sun.management.jmxremote.registry.ssl=true -Djavax.net.ssl.keyStore=/root/software/keys/serverkeystore -Djavax.net.ssl.keyStorePassword=zs00001 -Djavax.net.ssl.trustStore=/root/software/keys/servertruststore -Djavax.net.ssl.trustStorePassword=zs00001"

注意:
1、如果想在外网通过Jconsole测试访问,需要把127.0.0.1改为服务器外可访问的IP,如:192.168.20.170;
2、如果使用的是Windows系统,则需要在catalina.bat中修改,并把上面代码换成:

set CATALINA_OPTS=-Djava.rmi.server.hostname=127.0.0.1 -Dcom.sun.management.jmxremote.port=6443 -Dcom.sun.management.jmxremote.rmi.port=6443 -Dcom.sun.management.jmxremote.authenticate=false -Dcom.sun.management.jmxremote.ssl=true -Dcom.sun.management.jmxremote.ssl.need.client.auth=true -Dcom.sun.management.jmxremote.registry.ssl=true -Djavax.net.ssl.keyStore=C:\Users\serverkeystore -Djavax.net.ssl.keyStorePassword=zs00001 -Djavax.net.ssl.trustStore=C:\Users\servertruststore -Djavax.net.ssl.trustStorePassword=zs00001

第三步,验证JMX服务端
验证方式一:
本地使用Jconsole验证是否配置正常。
把生成的clientkey拷下来,通过cmd输入
jconsole -J-Djavax.net.ssl.keyStore=C:\Users\23228\clientkeystore -J-Djavax.net.ssl.keyStorePassword=zs00001 -J-Djavax.net.ssl.trustStore=C:\Users\23228\clienttruststore -J-Djavax.net.ssl.trustStorePassword=zs00001
打开jconsole窗口后,
在这里插入图片描述
在远程进程中输入远程IP及JMX端口,因为已经有KEY,连接成功直接进入监控界面。不会出现什么不安全连接之类的东东。
在这里插入图片描述

验证方式二:
通过这篇文的方式验证【JMX Client端SSL+证书Key(JAVA)

第四步,AMQ配置,按需修改

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
	   xmlns:amq="http://activemq.apache.org/schema/core"
	   xmlns:xsi=
最低0.47元/天 解锁文章

200万优质内容无限畅学
KingFu28
关注
ETCD 简介 + 使用
行走的IT
07-20 1232
来源:https://blog.csdn.net/bbwangj/article/details/82584988 随着CoreOS和Kubernetes等项目在开源社区日益火热,它们项目中都用到的etcd组件作为一个高可用强一致性的服务发现存储仓库,渐渐为开发人员所关注。在云计算时代,如何让服务快速透明地接入到计算集群中,如何让共享配置信息快速被集群中的所有机器发现,更为重要的是,如何构建这样...
ZooKeeper 实战:使用 Docker Compose 部署 ZooKeeper 集群
SmartSi
05-05 1052
ZooKeeper是一个开源的分布式协调服务,用于管理大型分布式系统中的数据。它由Apache软件基金会提供,最初是Hadoop的一个子项目,但后来发展成为一个独立的顶级项目。ZooKeeper提供的一致性协调服务对于构建分布式应用和服务非常重要,特别是在需要精确的领导选举、配置管理、命名服务、分布式同步和提供分布式锁等功能时。
java jmx agent不安全的配置漏洞如何改进(由浅入深代码范例和详细说明).docx
06-16
java jmx agent不安全的配置漏洞如何改进(由浅入深代码范例和详细说明).docx
tomcat jmx ssl 配置以及使用jconsole连接
weixin_43370429的博客
04-11 1357
tomcat jmx ssl 配置 测试tomcat版本 9.0.62 先生成服务端keystore和证书 keytool -genkeypair -keystore serverkeystore -alias serverkey -validity 180 -storepass serverpass -keypass serverpass keytool -exportcert -keystore serverkeystore -alias serverkey -storepass serverpass
JMX监控集成方案及验证指南
最新发布
weixin_75145375的博客
04-22 937
Zabbix Java Gateway 日志:docker logs zabbix-docker_zabbix-java-gateway_1。Zabbix Server 日志:docker logs zabbix-docker_zabbix-server-mysql_1。步骤:配置 → 主机 → 选择目标主机 → 模板 → 选择 Template JMX Generic。Tomcat 日志:docker logs zabbix-docker_tomcat_1。默认账号:Admin,密码:zabbix。
spring boot,https,双向ssl认证
weixin_30693183的博客
12-09 940
一、生成服务器端证书 1、在cmd窗口执行命令:keytool -genkey -v -alias server -keyalg RSA -storetypePKCS12 -keystore c:\keystore\server.keystore,   密码随意,自己记住就行。 二、生成客户端证书 1、在cmd窗口执行命令:keytool -genkey -v -alias te...
JMX安全漏洞修复 服务端增加用户名和密码验证机制
zhaoshuangjian
04-27 1852
JMX安全漏洞修复 服务端增加用户名和密码验证机制
IDEA中的JMX使用SSL方式,TOMCAT中的SSL要关闭
kingwin28的博客
10-08 468
由于IDEA中的JMX一定要打开,而项目中要使用SSL方式,如果在TOMCAT中使用JMX+SSL,在IDEA启动会失败。 因此,需要关闭TOMCAT中的JMX,在IDEA中添加SSL
JMX Client端SSL+证书Key(JAVA)
kingwin28的博客
09-23 390
使用JAVA,可用于服务器测试JMX服务端是否正常
zabbix监控多JMX端口
ronon77的专栏
01-20 562
1. 开启Tomcat JMX功能 CATALINA_OPTS="$CATALINA_OPTS-Dcom.sun.management.jmxremote-Djava.rmi.server.hostname=10.124.129.241-Dcom.sun.management.jmxremote.port=8889-Dcom.sun.management.jmxremote.ssl=false...
JAVAJMX agent不安全的配漏洞修复
weixin_45536357的博客
07-25 2593
3、复制jmxremote.password.template生成jmxremote.password文件,然后删除jmxremote.password文件中所有内容。2) 将# com.sun.management.jmxremote.ssl=false修改为 (需要ssl则设置为true。3)将# com.sun.management.jmxremote.authenticate=false修改为。1) 将# com.sun.management.jmxremote.port=修改为。
漏洞防范与应对:从发现到修复的全攻略】JAVA JMX agent不安全的配置漏洞【原理扫描】漏洞 ,处理过程详解!!!
大唐有趣的小胡.
06-24 1223
本文揭露了一个高危漏洞——JAVA JMX agent的不安全配置问题。该问题表现为远程主机上的JMX代理缺乏SSL客户端和密码认证,使得未经认证的攻击者能连接并管理相关Java应用,甚至执行任意代码。此漏洞严重威胁了启用了JMX代理的Java应用的安全性。为解决此问题,文章提出了三项关键措施:首先,必须开启认证机制;其次,应限制可访问JMX服务的IP地址;最后,若JMX服务非核心需求,可考虑直接关闭该功能,以彻底消除安全隐患。
VisualVM 之 SSL+JMX
Chihay的博客
09-07 590
JMX虽然可以使用密码来验证用户,但还是不够安全,只要获取到密码,在任何机器上都可以连接JVM。在生产环境这是一种危险的操作,所以需要使用到SSLSSL需要提供证书才能访问,安全性较高。 第一步:制作keystore 和truststore 上述提到的证书,主要保存了public key,由于SSL是一个非对称加密协议,因此还有一个private key,在Java里,public key、private key是保存在keystore里面的。 下面主要讲下client 和 server..
emqx用自签证书开启SSL实现双向认证
huzi_1998的博客
07-06 3105
在bin录下手动创建一个openssl.cnf的文件,仅需设置IP地址,其中将IP.1和DNS.1修改为服务器地址。Win64 OpenSSL v3.3.2,安装Win64 OpenSSL v3.3.2完整软件包(一般安装此版本)Win64 OpenSSL v3.3.2 Light,安装Win64 OpenSSL v3.3.2最常用的软件包。Win32 OpenSSL v3.3.2Light,安装Win32 OpenSSL v3.3.2最常用的软件包。选择之前生成好的证书,对应存放。
jvisualvm ssl远程连接JVM
博客
05-31 2274
jvisualvm ssl远程连接JVM
JMX安全防护
weixin_43515983的博客
10-24 716
JMX安全防护
java jmx agent不安全的配置漏洞
weixin_51378457的博客
03-15 4861
APP应该以明示或自愿同意的方式告知用户其需要收集的信息类型、范围、目的、使用方法、储存期限、安全保护措施等信息,并在获得用户授权前明确告知用户数据是否会分享、让等情况。在搜集用户信息时,需明确具体收集哪些信息,以及收集的目的和用途等。APP应该尊重用户的知情权、选择权、访问权、更正权、删除权、注销权等权益,让用户能够随时查看自己的信息,可以对其进行更正、删除等操作。APP应该合法、公正地收集个人信息,包括在合法法律、法规、规章、标准规定范围内的行为,如经过用户授权同意,且该同意为自愿行为等。
JMX 入门(三)认证加密
偶尔记一下 - mybatis.io
08-26 6598
这篇博客参考官方教程以及个人的理解,通过实际的代码和操作来学会使用 JMXJMX 入门(一)基础操作 JMX 入门(二)Java客户端 JMX 入门(三)认证加密 认证连接 在JMX 入门(一) 中,我们最后通过下面的命令开启了远程访问功能(命令过长时,win 使用 ^ 换行,Linux 使用 \换行)。 java -Dcom.sun.manageme...
JMX的三种访问方式详解
标题“JMX三种访问方式”所涉及的知识点主要是指Java管理扩展(Java Management Extensions,简称JMX)的三种基本访问技术。JMX是一种被广泛使用的Java技术,用于监控和管理应用程序、设备以及服务。下面详细阐述这...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值