[JAVA] JMX 인증 설정 정리

Spring Boot / 순수 Java 어플리케이션 운영 시 JMX 보안 설정 및 오류 해결 방법을 정리하고자 한다.

 

1. JMX 인증 설정

jmx.id=xxx, jmx.pw=yyy 와 같이 프로퍼티로 설정하는 것이 아님

JMX 인증은 application.properties 에 ID/PW 를 쓰는 게 아닌 연결 시 ID/PW 를 사용하는 것이며, JMX 인증은 JVM 레벨에서 설정하며 ID/PW는 반드시 파일로 관리해야 한다.

 

JMX 기본 설정 (Windows 기준)

com.sun.management.jmxremote=true
com.sun.management.jmxremote.port=1099
com.sun.management.jmxremote.rmi.port=1099
com.sun.management.jmxremote.authenticate=true
com.sun.management.jmxremote.ssl=false

com.sun.management.jmxremote.password.file=C:/app/jmx/jmxremote.password
com.sun.management.jmxremote.access.file=C:/app/jmx/jmxremote.access

 

경로의 경우 절대경로를 권장하나 상대경로로 사용은 가능하다 (./app/jmx/jmxremote.password)

 

jmxremote.password 파일

monitorRole monitor123
controlRole control123

• 앞: ID (Username)
• 뒤: 비밀번호 (Password)

계정 권한 설정

jmxremote.access

monitorRole readonly
controlRole readwrite

 

계정 권한의 경우 readonly, readwrite 가 존재하며 readonly를 사용하는 경우 조회만 가능 (내 프로그램의 경우 켜지지 않는 것으 readwrite 사용 필요하다 왜인지 추후 확인 필요)

 

monitorRole	조회만 가능
controlRole	GC, HeapDump, 설정 변경 가능

 

 

위와 같이 설정한 다음 프로그램을 실행하면, 아래와 같은 오류 발생

java.lang.SecurityException: 비밀번호 파일 읽기 액세스는 제한되어야 합니다

 

원인은 JMX 비밀번호 파일 권한이 너무 열려있는 것. Linux의 chmod 600을 Windows 보안 권한으로 흉내내야한다. jmxremote.password 우크릭 -> 속성 -> 보안 탭 -> 고급 -> 상속 사용 안 함 -> 상속된 권한 제거 -> 계정 전체 삭제 후, administrators 혹은 Java 실행 계정 1개 추가하여 읽기 권한만 부여

jmxremote.access 파일도 동일하게 설정하여 파일 권한 설정해주어 오류 해결하였다.

 

두 번째 에러

java.lang.SecurityException: Access denied! Invalid access level

 

원인은 readonly 계정으로 write 작업을 시도하여 발생. 권한이 readwrite인 계정으로 접속하면 해결된다.

 

JMX ID/PW 적용 여부 확인 방법은

CMD -> jconsole 입력 시 아래와 같은 화면이 표시된다.

해당 RemoteProcess 선택 후 host에는 localhost:9999 와 같이 접속할 IP:PORT 입력, UserName/Password 입력 후 접속해보면 된다. 맞는 NAME/PW로 입력 시 연결이 된다면 성공이다.