Ir al contenido principal

Asegurando Jboss

Jboss es un servidor de aplicaciones Java EE de código abierto implementado en Java puro. Al estar basado en Java, JBoss puede ser utilizado en cualquier sistema operativo para el que esté disponible la máquina virtual de Java. JBoss Inc., empresa fundada por Marc Fleury y que desarrolló inicialmente JBoss, fue adquirida por Red Hat en abril del 2006.

Para asegurar este servidor de aplicaciones adicionalmente a tener que basarse en las sugerencias dadas en http://community.jboss.org/wiki/SecureTheJmxConsole, tambien  se sugiere hacer lo siguiente:

Quitar los privilegios de 'root' a los procesos de JBoss AS.

* Cambiar la configuración de seguridad por defecto de la consola JMX para bloquear todas las peticiones a través de los métodos GET y POST que no estén debidamente autenticadas. Para ello se debe editar el archivo 'deploy/jmx-console.war/WEB-INF/web.xml' y eliminar las líneas indicadas de metodo GET y POST quedando el bloque de esta manera: 




 * Habilitar 'RewriteValve' para bloquear peticiones externas que intenten acceder a URLs de administración como, por ejemplo, jmx-console, editando el archivo 'deploy/jbossweb.sar/server.xml' de la siguiente forma:



Además es conveniente crear el directorio 'conf/jboss.web', y en su interior el fichero 'rewrite.properties' con el siguiente contenido:



Esto bloqueará todas las peticiones que no provengan de la propia máquina (127.0.0.1) o de la red LAN con RewriteCond  %{REMOTE_ADDR} !^192\.168\.[0-9]*\.[0-9]*$ por ejemplo si fuera 192.168.x.x

Nótese en la  línea del ejemplo que la IP de la red es del tipo 192.168.x.x, esto debe modificarse según la configuración concreta de la red de cada caso.

Comentarios

Entradas populares de este blog

Zoom y sus vulnerabilidades

Leyendo acerca de todas las quejas en cuanto a brechas de seguridad que tiene Zoom la plataforma de videoconferencia que conocí hace unos años, pero que ahora debido a la necesidad de estar en casa debido al COVID19, la ha convertido en la herramienta que muchos usan para sus reuniones empresariales virtuales, sus llamadas privadas o incluso para las fiestas virtuales o noches de Netflix.   Solo precisar que no es la única herramienta que se tiene para tener este tipo de video conferencias, alternativas como WhatsApp (Vulnerable- Facebook de por medio.. hmm) o como Teams de Microsoft, Cisco Webex, Webex Meetings (se necesita pago) o  Jitsi , esta última es de uso gratuito también y con algunas mejoras en su seguridad realizadas hace poco, puede ser una plataforma para cubrir esta necesidad.   Si  la opción es usar Zoom, no esta de más revisar este  link  para tratar de asegurar esta aplicación y sentirse un poco más tranquilo, o también puede ver el siguien...

Vulnerabilidad en Bluetooth -- BIAS

Un poco paranoícos con nuestra Información.

Si de seguridad y privacidad de la información se trata, nunca estará de más realizar o tener medidas de seguridad para ayudarnos con nuestros rasgos paranoicos, es por eso que existen gran cantidad de aplicaciones que nos permiten suplir esa necesidad de sentirnos un poco más seguros. Es por eso que en primera medida, resulta necesario empezar por asegurar un poco nuestras plataformas de redes sociales (Twitter, Instagram, Facebook, WhatsApp, Linkedln) con mínimo  la puesta de 2FA, que es básicamente tener dos mecanismos de autenticación, el cual consiste en no solo depender de usuario y contraseña para ingresar a la aplicación, sino que requiera un factor adicional que pueda ser un mensaje de texto con un código  que sea enviado al celular o la utilización de Google Authenticator por ejemplo.     Existen otros  mecanismos que pueden dar mas seguridad a las plataformas que ingresamos a diario, pero que en el momento no hacen parte de este artículo, sin embargo,...