第 3 章 基本安全性

默认情况下，Apache Karaf 运行时会防止网络攻击，因为其所有公开端口都需要用户身份验证，并且最初没有定义任何用户。换句话说，默认远程无法访问 Apache Karaf 运行时。

如果要远程访问运行时，您必须首先自定义安全配置，如下所述。

如果要启用对 Karaf 容器的远程访问，您必须在启动容器前创建一个安全 JAAS 用户：

默认情况下，没有为容器定义 JAAS 用户，这样可有效地禁用远程访问（无法登录）。

要创建安全 JAAS 用户，请编辑 InstallDir/etc/users.properties 文件并添加一个新的 user 字段，如下所示：

Username=Password,admin

其中 Username 和 Password 是新用户凭证。admin 角色授予此用户访问容器的所有管理和管理功能的特权。

不要定义带有前导 0 的数字用户名。此类用户名总是会导致登录尝试失败。这是因为，当输入显示为数字时，控制台使用的 Karaf shell 会丢弃前导零。例如：

karaf@root> echo 0123
123
karaf@root> echo 00.123
0.123
karaf@root>

Karaf 容器支持基于角色的访问控制，规范通过 JMX 协议、Karaf 命令控制台和 Fuse 管理控制台的访问。当为用户分配角色时，您可以从标准角色集合中选择，这提供了 表 3.1 “访问控制的标准角色” 中描述的访问级别。

有关基于角色的访问控制的详情，请参阅基于角色的访问控制。

容器公开以下端口：

当满足以下任一条件时，您可以访问远程控制台端口：

例如，要从运行容器的同一机器登录到远程控制台端口，请输入以下命令：

./client -u Username -p Password

其中 Username 和 Password 是带有 ssh 角色的 JAAS 用户的凭据。通过远程端口访问 Karaf 控制台时，您的特权取决于分配给用户在 etc/users.properties 文件中的角色。如果要访问完整的控制台命令集合，用户帐户必须具有 admin 角色。

您可以使用以下措施在远程控制台端口上增强安全性：

JMX 端口默认是启用的，并由 JAAS 身份验证进行保护。要访问 JMX 端口，您必须已经使用至少一组登录凭据配置了 JAAS。要连接到 JMX 端口，请打开 JMX 客户端（如 jconsole）并连接到以下 JMX URI：

service:jmx:rmi:///jndi/rmi://localhost:1099/karaf-root

您还必须为 JMX 客户端提供有效的 JAAS 凭据才能连接。

Fuse 控制台已经由 JAAS 身份验证保护。要添加 SSL 安全性，请参阅 保护 Undertow HTTP 服务器。