JBoss AS 7.1.0.Beta1のデフォルトセキュリティ
JBoss Advent Calendar 2011の1日目のエントリです。
古いJBoss ASの脆弱性が世間を賑わせていますが、影響を受けるのは2年半前のリリースJBoss AS 5.1.0.GAかそれ以前のリリースです。6系以降の新しいリリースは全ては影響を受けないので、きちんとアップデートしてる方は何の問題もないですし、記事中にあるような「容易にアップデートできない場合」はエンタープライズ版を利用してください。後方互換テストをクリアしているパッチセットが入手できますし、エンタープライズ版ではCVE発行時の2010年にもちろん修正済です。
さて、JBoss AS 7.1.0.Beta1がリリースされましたが、7.1.0.Beta1からは管理インタフェースへの認証がデフォルトで有効化されており、管理インタフェースへアクセスするためには認証に利用するユーザを作成する必要があります。
ユーザの追加は add-user.sh username password で行えます。指定されたユーザ名とパスワードは、ユーザ名は平文、パスワードはハッシュ化されてファイル $JBOSS_HOME/standalone/configuration/mgmt-users.properties に保存されます。ちなみにユーザ名とパスワードに同一文字列を指定すると怒られます。
cd $JBOSS_HOME/bin/ ./add-user.sh admin admin * Error * Unable to add user due to error 'Username must not match the password'
管理コンソール http://localhost:8080/console にアクセスするとBASIC認証が求められます。認証ダイアログにユーザ名とパスワードを入力することでログインできます。