was管理控制台安全性问题

july_typhoon

  今天无意中进入一个网站，网址为：http://www.xxx.com:8080/xxx。好熟悉的模式，这不是tomcat的缺省端口吗？于是，我试着登录：http://www.xxx.com:8080，居然进了tomcat首页，然后点击“Tomcat Manager”超链接，用tomcat的缺省密码一登录，呵呵，居然可以操作所有发布的应用。呵呵，这肯定是一个大漏洞了。
  接下来，联想到自己正在维护的一个系统，采用的was5.1，好像管理控制台的也存在类似的问题，也是采用的was的缺省设置，一阵冷汗……。
   于是决定改，首先改掉was控制台的缺省端口。找到应用“adminconsole ”映射的虚拟主机“admin_host ”，改掉其端口，重启服务器，用新的端口登录控制台，晕，居然“HTTP 404错误”。这下急了，这个系统可是有人访问的啊，使劲的想啊，终于想明白了，原来是这个新改的端口并没有在“应用程序服务器”的“HTTP传输”中映射。于是，到服务器目录“/usr/WebSphere/AppServer/config/cells/AIX_web/nodes/AIX_web/servers/server1/”下，找到“server.xml”文件，将原来映射的控制台端口改为新的端口，这样就与“/usr/WebSphere/AppServer/config/cells/”目录下的“virtualhosts.xml”文件中定义的虚拟主机端口一致了。重启服务器，用新的端口登录控制台，好了。
  接下来，就考虑登录帐户的问题了。was控制台怎么做成这样子，只要你找到了控制台路径，谁都可以登录。上网查了一下资料，原来控制台是可以实现安全管理的。在控制台里面有个“安全性”的菜单，在里面按照网上的资料，定义了一个“本地OS”用户，启用全局安全性，重启服务器，然后登录控制台，这下又出问题了，连404错误都不报了，直接"无法显示网页"了。 我又给急上了，想停掉服务器，“./stopServer.sh server1”居然告诉我失败，因为权限的问题。根据提示用“./stopServer.sh server1 -username xxx -password xxx”，还好停掉了。找到“/usr/WebSphere/AppServer/config/cells/”下的security.xml文件，整了半天，启动服务器“./startServer.sh server1”，启动失败。急啊，启用刚才备份的security.xml，启动了，不过控制台还是进不去。看来问题就在这个security.xml了，可这个文件里面密密麻麻的英文，我也不知道改哪里啊。鼓捣了半天，还是不行，真后悔应该先备个份在弄这个安全性的。后来弄了份另外一个系统装在windows上was的security.xml文件，仔细比较了半天，终于找到下手的点了。原来是否启用全局安全性的设置就在根节点“<security:Security ……>”的“enabled”属性上,把它改成"enabled=false"后,启动服务器一试,感谢上帝，熟悉的登录界面又出来了。
  虽然最终我还是没解决这个全局安全性的问题，但失败乃成功之母，先把今天的经验教训记录下来再说了。