SecurityManager在tomcat中的使用(翻译)

最新推荐文章于 2024-04-11 16:09:46 发布
最新推荐文章于 2024-04-11 16:09:46 发布
阅读量1.2k 收藏
点赞数
分类专栏: Tomcat
本文详细介绍了如何利用JavaSecurityManager增强Tomcat服务器安全性,通过设置安全策略文件来控制权限,防止恶意Servlet、JSP导致的系统崩溃,并讨论了标准权限类和自定义权限类的应用。同时,阐述了如何启动带有SecurityManager的Tomcat,以及其配置步骤。

原文:http://www.thinksaas.cn/group/topic/298514/


1.背景

Java SecurityManager可以让web浏览器在它自己的沙箱中运行applet,从而防止不可信代码访问本地文件系统中的文件、连接applet加载主机之外的主机,等等。同样,SecurityManager可以阻止你的浏览器运行不安全的applet;运行tomcat的时候,使用SecurityManager可以保护你的机器不受恶意Servlet、JSP,甚至是疏忽的错误的影响。

想象一下一个有权限发布JSP页面的人员,由于输出在他们的JSP页面中包括了下面这句:

<% System.exit(1); %>

Tomcat每次执行这个JSP,tomcat都会退出。使用Java SecurityManager是系统管理员保证服务器安全、可靠地另外一种防线。

无论如何,运行SecurityManger比不运行要好很多。

2.Permissions

Permission类用来定义tomcat加载的类应该有什么权限。JDK有很多标准的Permission类,并且你可以创建自己的Permission类。Tomcat两种技术都有使用。

标准Permissions

这里只是适用于tomcat的标准SecurityManager Permission类的总结:

  • java.util.PropertyPermission - Controls read/write access to JVM properties such as java.home.
  • java.lang.RuntimePermission - Controls use of some System/Runtime functions like exit() and exec(). Also control the package access/definition.
  • java.io.FilePermission - Controls read/write/execute access to files and directories.
  • java.net.SocketPermission - Controls use of network sockets.
  • java.net.NetPermission - Controls use of multicast network connections.
  • java.lang.reflect.ReflectPermission - Controls use of reflection to do class introspection.
  • java.security.SecurityPermission - Controls access to Security methods.
  • java.security.AllPermission - Allows access to all permissions, just as if you were running Tomcat without a SecurityManager.
Tomcat自定义Permissions

Tomcat使用了 org.apache.naming.JndiPermission的自定义权限类。该权限控制基于JNDI命名的资源的访问。权限的名称是JNDI名,无动作。可以使用结尾的*来进行模糊匹配,例如

permission  org.apache.naming.JndiPermission "jndi://localhost/examples/*";

每个部署的Web应用都会动态生成这样的权限实体,以允许读取自己的静态资源,而不允许读取其他的文件(除非显示赋予这些文件的权限)。

而且,Tocat总是动态创建下面的文件权限:

 

permission java.io.FilePermission"** your application context**","read";

 

permission java.io.FilePermission

 "** application working directory**","read,write";

permission java.io.FilePermission

 "** application working directory**/-","read,write,delete";

这里的**your application context”等同于应用程序部署的目录(或WAR文件),**application working directory**是Servlet规范要求的临时目录。

3.使用SecurityManager配置Tomcat

策略文件格式

Java SecurityManager实现的安全策略文件配置在$CATALINA_BASE/conf/catalina.policy。该文件完全替换JDK目录中的java.policy文件。catalina.policy文件可以手动编辑,也可以使用Java 1.2及以上自带的policytool工具。

catalina.policy文件中的实体使用标准java.policy文件的格式,如下:

// Example policy file entry

grant [signedBy <signer>,] [codeBase <code source>] {

  permission  <class>  [<name> [, <action list>]];

};

signedBy和codeBase实体在赋予权限的时候是可选的。注释以//开头并至行尾。codeBase以URL的格式,文件URL可以使用${java.home}和${catalina.home} 属性(将来会扩展到JAVA_HOME,CATALINA_HOME以及CATALINA_BASE环境变量)。

4.使用SecurityManager启动Tomcat

$CATALINA_HOME/bin/catalina.sh start -security    (Unix)

%CATALINA_HOME%bincatalina start -security      (Windows)

 

一旦你配置了catalina.policy文件,Tomcat可以使用”-security”选项启动SecurityManager。

一看你就懂,超详细java中的ClassLoader详解
frank 的专栏
02-10 33万+
本篇文章已授权微信公众号 guolin_blog (郭霖)独家发布 ClassLoader翻译过来就是类加载器,普通的java开发者其实用到的不多,但对于某些框架开发者来说却非常常见。理解ClassLoader的加载机制,也有利于我们编写出更高效的代码。ClassLoader的具体作用就是将class文件加载到jvm虚拟机中去,程序就可以正确运行了。但是,jvm启动的时候,并不会一次性加载所有的...
Spring Boot 3.x 系列【1】Spring Boot 3.0 版本新特性
记录知识、锤炼自我
02-28 5729
本系列基于最新Spring Boot 3.0版本,由浅入深,从实战到源码分析,详细讲解各种Spring Boot 的使用技巧,适用于初学和进阶使用者。 因为是基于Spring Boot 3.0,所以会先讲解大家比较关注的3.0 新特性,初学者可以跳过前两篇相关内容。
Tomcat launch tomcat using security manager
mimm249的博客
07-27 592
2009-8-1312:44:12 org.apache.catalina.core.StandardContext listenerStart SEVERE: Exception sending context initialized event to listener instance ofclass org.springframework.web.util.Log4jConfigListe
Apache Tomcat 8 (8.0.20) - Security Manager HOW-TO.
12-01
- Apache Tomcat 8 (8.0.20) - Security Manager HOW-TO
Java安全管理器-SecurityManager
sunyingboaini的博客
04-11 3241
SecurityManager是Java中的一个类,用于实现安全管理功能。它允许应用程序在运行时对安全策略进行动态管理,并控制哪些操作可以执行,哪些应该被拒绝。主要功能包括:安全策略管理:SecurityManager允许定义一组安全策略,这些策略规定了在运行时哪些操作是允许的,哪些是禁止的。权限控制:通过SecurityManager可以控制对敏感资源的访问权限,比如文件系统、网络等。
Tomcat你很少使用的安全管理SecurityManager
weixin_34343308的博客
01-31 691
试想一下,如果你的JSP页面中包含一句代码“System.exit(1);”,你的web应用访问到该JSP时,会发生什么? 一般使用tomcat可能都没有注意到这个问题,本篇主要讲述tomcat 6中SecurityManager的管理机制,尽量使用简单明了的图片表示其中关系。 其他知识参考tomcat文档翻译。如有错误,请予指正。 理解java.policy   Java是一门安全性很...
【Java安全开发】:外文文献翻译与毕业设计中的安全实践指南
![外文翻译(含原文、译文及出处) 适用于用Java做毕业设计的同学](https://scriptme.io/wp-content/uploads/2023/07/How-to-subtitle-for-money-Freelancer.webp) ...在安全开发实践技巧章节中,介绍了安
(完整版)2022大厂Java八股文面试题库|附答案
uuqaz的博客
05-05 1万+
Java基础 说下面向对象四大特性 Java语言有些特点 什么是Java程序的主类?应用程序和小程序的主类有何不同? 访问修饰符public,private,protected,以及不写(默认)时的区别? float f=3.4;是否正确? Java有没有goto? &和&&的区别? Math.round(11.5) 等于多少?Math.round(-11.5)等于多少? 用最有效率的方法计算2乘以8? 什么是Java注释 Java有哪些数据类型 final
JavaEE知识体系
热门推荐
yuh2012的博客
07-11 2万+
1 1.文件上传下载 1.1 文件上传 1.1.1 文件上传的作用 例如网络硬盘!就是用来上传下载文件的。 在智联招聘上填写一个完整的简历还需要上传照片呢。 1.1.2 文件上传对页面的要求 1.必须使用表单,而不能是超链接; 2.表单的method必须是POST,而不能是GET; 3.表单的enctype必须是multipart/form-data; 4.在表单中添加file表
java.security.policy_配置tomcat安全管理器SecurityManager(防止别人植入恶意脚本控制你的应用)...
weixin_39977776的博客
02-25 868
一、前言对于Java安全管理器SecurityManager大家可能平时使用的比较少,但是对于应用系统安全访问控制并不陌生 - 用户访问安全、资源安全权限控制等,tomcat使用了org.apache.naming.JndiPermission的自定义权限类,否则用户只需要写一个关闭jvm虚拟机jsp运行(示例代码如下)tomcat的服务系统就被关闭了二、步骤配置1.安全策略文件配置 - 可以用...
关于Java SecurityManager的用途以及使用方法
weixin_45735347的博客
07-04 816
为了让我们的程序在运行时private类也不可以被访问,我们就需要使用安全管理器(SecurityManager)通过以上代码,我们就可以调用AccessTest 中的私有方法multiple,显然这是不应该被允许的。众所周知,java中被设置了private的属性以及方法是不能被类本身外的其他类调用的。在了解安全管理器的用途前,先看以下前言,这会帮助你更好的理解它的作用。但是如果在运行状态下我们便可以实现对private的属性或方法的访问。当然,java有自带的默认政策文件,在以下目录下。
Tomcat 6 --- 你很少使用的安全管理SecurityManager
xingoo
06-10 273
试想一下,如果你的JSP页面中包含一句代码“System.exit(1);”,你的web应用访问到该JSP时,会发生什么? 一般使用tomcat可能都没有注意到这个问题,本篇主要讲述tomcat 6中SecurityManager的管理机制,尽量使用简单明了的图片表示其中关系。 其他知识参考tomcat文档翻译。如有错误,请予指正。 理解java.policy   Jav...
Tomcat : 安全配置
Lifereunion的博客
12-18 3989
Tomcat 安全配置方法详解
tomcat 设置安全访问
持之以恒,大巧若拙
09-16 431
在WEB工程的web.xml文件中的之间添加如下代码,其中role-name是在tomcat的web-users.xml配置的用户角色,配置完成后,再访问/admin开头的url就会让你basic认证。用户名密码就是配置在manager-gui角色下的用户名和密码,在 tomcat的web-users.xml中配置。             admin         /a
java安全管理器SecurityManager
P19777的博客
12-04 784
SecurityManager是java提供的一种安全管理机制,可以用来控制我们每一个class的一些操作权限,在很多的地方都使用到了这个 比如在我们的System.getProperties()方法中有以下代码 public static String getProperty(String key) { checkKey(key); // 获取权限管理器 Secur...
Tomcat内核详解(十七):运行、通信以及访问的安全管理
qq_36807862的博客
08-02 508
1.运行安全管理 1.1 Java安全管理器——SecurityManager 1.2 Tomcat的系统安全管理 Tomcat在启动的时候开启了安全管理器,它采用的是默认的安全管理器——SecurityManager。 1.3 安全管理器特权 2.安全的通信 2.1 SSL/TLS协议 SSL层提供三方面的服务: 证书:认证客户端和服务器,确保数据发送到正确的客户端和服务器; ...
tomcat注册成windows系统服务之后,如何增加 security 安全参数
cuizm的专栏
04-14 1463
  在dos命令行启动tomcat为:startup.bat -security,传递了security安全参数,防止用jsp列出服务器上的文件、目录对象,但是注册成系统服务之后,无法为服务增加参数。  在网上搜索了很多资料,问类似问题的也不少(包括一些国外的论坛,也有很多人问类似的问题),但是没有一个解决的。经过自己测试,终于找到了解决办法。  为了不让其他网友走自己同样的弯路,特将方法总结一下
Java安全管理器Security Manager
Yoara的备忘录
11-02 2250
    每个Java应用都可以有自己的安全管理器,它是防范恶意攻击的主要安全卫士。安全管理器通过执行运行阶段检查和访问授权,以实施应用所需的安全策略,从而保护资源免受恶意操作的攻击。实际上,安全管理器根据Java安全策略文件决定将哪组权限授予类。然而,当不可信的类和第三方应用使用JVM时,Java安全管理器将使用与JVM相关的安全策略来识别恶意操作。在很多情况下,威胁模型不包含运行于JVM中的恶意
groovy securitymanager使用
最新发布
06-18
我们正在讨论如何在Groovy中使用SecurityManager。根据引用[1],在Java中,SecurityManager用于安全管理,例如在System.getProperty()中检查调用者是否有权限访问特定属性。Groovy运行在JVM上,因此理论上可以使用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值