使用javax.management.loading.MLet保护JMX并防止Remote客户端注册任意Mbeans JMX

Question

上下文：在我们的场景中，我们没有通过com.sun.management.jmxremote.port因此我们仅运行JMX进行本地监视。 要从客户端（称为y）远程监视该产品主机（称为x），用户可以从x上的jmx服务端口创建ssh数据包转发（假设y的用户可以访问为x上的JMX服务的公共端口）。

如果我错了，请纠正我：由于用户可以访问X上的JMX服务端口，因此我认为这也使y上的用户有权使用javax.management.loading.MLet在产品主机x上执行任意代码。

从Orcales 监视和管理文档中可以肯定地说，如果我们对配置使用密码身份验证

com.sun.management.jmxremote.authenticate=true
com.sun.management.jmxremote.ssl=true

这是否使JMX访问安全，这是否可以说用户即使可以访问javax.management.loading.MLet无法在产品主机x上执行代码，因此可以安全地说吗？

关于保护JMX有更好的建议吗？

Answer 1

没错，但是请记住，除非拥有适当的凭据，否则用户将完全无法访问JMX服务。 换句话说，您不仅在阻止MLet注册，而且还在阻止所有内容。 您还应该仔细选择身份验证方法。 如果使用属性文件，则具有SSH访问文件系统权限的用户可能能够获取凭据。