蚂蚁小窝

下午上班时，发现服务器竟然无法访问，没有停电呀。输入密码，解开x-window的锁定状态，发现jboss确实关闭了，时间是13:23分，发现时间是15:33分。
这是以前没有从未出现过的，查服务器访问日志，原来是有人通过jmx-console远程关闭了服务器，我还从使用过这个功能，倒让人先用了！
我知道，jboss安装默认情况下，jmx-console/web-console不用密码，就可以访问的，但我一直还以为，只能通过localhost使用这个功能呢，所以就没有想道会有安全问题。我想，Jboss这么专业，这么成熟，这种小问题，自然不用操心，但我错了！
重新启动服务器后，我自己模拟了一下，果然，不到一分钟时间，就找到了jmx-console/HtmlAdaptor?action=inspectMBean&name=jboss.system:type=Server这个页面，其中有一个"shutdown",选择右边的invoke，果然服务器就关闭了。
根据日志分析，一个ip地址为218.79.105.121的朋友，在6月20访问过本站，今天上午10点多，通过baidu读了一篇我的关于Jboss的文章，之后访问试验本站完全开放的jmx-console，试验了3个小时，终于找到了远程关闭服务器的方法。
于是，他在上海徐汇的家中（Adsl，应该是家中吧），远程地关闭了我在架北京郊区自己办公室的服务器。
这么大的漏洞被忽视了，真是汗颜。赶紧补课吧。
SecureTheJmxConsole,这可是Jboss官方文档.上面提示的做法，应当可行。但没有必要那么麻烦。
只要进入jmx-console.war/web-console.war这2个包的WEB-INF,编辑jboss-web.xml, web.xml就可以了。我只是在uncomment相应的部分之后，将jaas domain替换我用的zhuoda.org，并且将security role替换为我用的zduAdmin就都搞定了，不需要理会user.properties, roles-properties二个文件。