nekop's blog

OpenShift / JBoss / WildFly / Infinispanの中の人 http://twitter.com/nekop

JBoss AS 7.1.0.Beta1のデフォルトセキュリティ

JBoss Advent Calendar 2011の1日目のエントリです。

古いJBoss ASの脆弱性が世間を賑わせていますが、影響を受けるのは2年半前のリリースJBoss AS 5.1.0.GAかそれ以前のリリースです。6系以降の新しいリリースは全ては影響を受けないので、きちんとアップデートしてる方は何の問題もないですし、記事中にあるような「容易にアップデートできない場合」はエンタープライズ版を利用してください。後方互換テストをクリアしているパッチセットが入手できますし、エンタープライズ版ではCVE発行時の2010年にもちろん修正済です。

さて、JBoss AS 7.1.0.Beta1がリリースされましたが、7.1.0.Beta1からは管理インタフェースへの認証がデフォルトで有効化されており、管理インタフェースへアクセスするためには認証に利用するユーザを作成する必要があります。

ユーザの追加は add-user.sh username password で行えます。指定されたユーザ名とパスワードは、ユーザ名は平文、パスワードはハッシュ化されてファイル $JBOSS_HOME/standalone/configuration/mgmt-users.properties に保存されます。ちなみにユーザ名とパスワードに同一文字列を指定すると怒られます。

cd $JBOSS_HOME/bin/
./add-user.sh admin admin

* Error * 
Unable to add user due to error 'Username must not match the password'

管理コンソール http://localhost:8080/console にアクセスするとBASIC認証が求められます。認証ダイアログにユーザ名とパスワードを入力することでログインできます。

英語: 7.1.0.Beta1でのデフォルトセキュリティ