Tomcat的系统安全管理

Tomcat是一个Web容器,我们开发的Web项目运行在Tomcat平台,这就好比将一个应用嵌入到一个平台上面运行,要使嵌入的程序能正常运行,首先平台要能安全正常运行。并且要最大程度做到平台不受嵌入的应用程序影响,两者在一定程度上达到隔离的效果。Tomcat与Web项目也是要最大程度隔离,使Tomcat平台足够安全。

我们先看看Tomcat可能存在哪些安全威胁。

(1) 在web应用的jsp页面或Servlet中使用System.exit(1);

假如你是一个老板,但是平时对待员工苛刻,工资又老是不准时发,承诺给员工的福利又做不到,所有员工敢怒不敢言,在背后严重鄙视你。小明实在看不下去准备离职了,他觉得要做点事情报复下你这没人情味的老板,作为程序员的他,于是敲起了几行代码作为离别礼物:

SimpleDateFormat sdf = new SimpleDateFormat("yyyy-MM-dd HH:mm:ss");

Date date = sdf.parse("2019-01-01 00:00:00");

Date now = new Date();

if (now.after(date)){

System.exit(1);

}

在Servlet中的这几行代码,平时运行一点事情都没有,但是他就像个定时炸弹,在小明庆祝他离职五周年时,你的公司的系统就时不时得停止服务,并且还很难找出问题的所在。

(2) 在web应用中调用Tomcat内部核心代码实现类,特别是静态类;

Tomcat中有些代码是可以给外部调用,而有些核心代码为避免给Tomcat带来威胁甚至是崩溃的危险,需要控制外部程序的访问。

以上两种情况,都可能在Tomcat运行时导致Tomcat罢工。针对这些情况,我们有必要使用SecurityManager来保护服务器不受类似木马的servlet、jsp和标签库等得影响,使服务器多一层保护,能运行地更加安全可靠。

Tomcat中有一般会使用到的权限许可有以下这些:

 java.util.PropertyPermission - 控制读/写Java虚拟器的属性,如java.home。

 java.lang.RuntimePermission - 控制使用一些系统/运行时(System/Runtime)的功能,如exit()和exec()。它也控制包(package)的访问/定义。

 java.io.FilePermission - 控制对文件和目录的读/写/执行操作。

 java.net.SocketPermission - 控制使用网路sockets连接。

 java.net.NetPermission - 控制使用multicast网路连接。

 java.lang.reflect.ReflectPermission - 控制使用reflection来对类进行检视。

 java.security.SecurityPermission - 控制对安全方法的访问。

 java.security.AllPermission - 给予所有访问权限。

毫无疑问,为了保证Tomcat的安全性,Tomcat启动时也开启了安全管理器,它采用的是默认的安全管理器——SecurityManager。在Tomcat启动的批处理文件中能找到-Djava.security.manager -Djava.security.policy==%CATALINA_BASE%\conf\catalina.policy,但Tomcat并没有使用默认的策略文件,而是指定一个catalina.policy作为策略文件。下面列出Catalina.policy文件有代表性的授权语句:

grant codeBase "file:${java.home}/lib/-" {

permission java.security.AllPermission;

};

grant codeBase "file:${catalina.home}/bin/tomcat-juli.jar" {

permission java.io.FilePermission "${catalina.base}${file.separator}logs", "read, write";

permission java.lang.RuntimePermission "shutdownHooks";

permission java.util.PropertyPermission "catalina.base", "read";

};

grant {

permission java.lang.RuntimePermission "accessClassInPackage.org.apache.tomcat";

};

上面有三个grant语句,第一个授权表示的意义比较简单,java安装路径下的lib目录及其子目录下的jar包拥有所有的权限。符号说明:*表示所有文件,-表示所有文件及其子目录下的文件。第二个grant是对Tomcat安装路径下bin目录的tomcat-juli.jar包进行授权,包括对tomcat安装目录下logs目录的读写权限、关闭钩子权限、catalina.base系统变量的读取权限。第三个grant表示授权对org.apache.tomcat包里面的类访问权限。

针对accessClassInPackage权限有必要展开详细讲解,还有一个类似的权限defineClassInPackage,由于默认的情况下是所有包都是可以被访问调用的,如果要对一些包进行访问控制,可通过以下几个步骤使应用具备这两种权限的安全检查。

首先,设置安全属性,告诉安全管理器哪些包需要进行访问权限检查,Security.setProperty

("package.definition","需要检查的包,多个包用逗号分隔")、Security.setProperty("package.access", "需要检查的包,多个包用逗号分隔")。

其次,配置策略文件policy,对指定类或包配置访问指定包的权限,例如

grant codeBase "file:${catalina.home}/webapps/manager/-"{

permission java.lang.RuntimePermission"accessClassInPackage.org.apache.tomcat";

};

指定${catalina.home}/webapps/manager/目录及其子目录下得文件都有访问org.apache.tomcat包的权限。格式是"accessClassInPackage.包路径"。

最后,如果你想检查此类是否有某个包的访问权限,可以显式地使用System.getSecurityManager(). checkPackageAccess("包路径");否则会在类加载器加载某个类时由loadClass方法触发权限检查。如果没权限则抛出SecurityException异常。

package.definition跟package.access这两种权限都是对包进行保护,从整体上保护一个包以避免不可信任代码的访问。其一,如果不可信任代码想要访问类的包保护成员,可能通过在被攻击的包内定义自己的新类用以获取这些成员的访问权的方式,这种方式叫包注入。针对包注入可以向package.definition属性添加需要保护的包,当检测到代码试图在包内定义新类时,类装载器的defineClass方法会抛出异常,以此达到防止包被恶意注入。可通过将包配置为RuntimePermission("defineClassInPackage."+package)给予权限。其二,为防止不可信代码对包进行访问,可通过限制包访问但同时赋予特定代码的访问权限,向package.access属性添加需要保护的包,当检测到代码试图访问上述包中的类时,类加载器的loadClass方法会抛出异常,以此达到包的访问限制。把RuntimePermission("accessClassInPackage."+package)权限赋予某个包即可实现其访问权限。

类装载器中的defineClass跟loadClass这两个方法比较奇特,如果想要深入了解可以研究JDK的类加载器的加载机制,从本书第二部分关于类加载器中知道,简单地说,每个类被加载器加载时都会调用loadClass方法,loadClass会进行如下判断:①从内存中查找此类是否已经加载,如已加载直接返回此类。②如果存在父类加载器,就委派给父类加载器加载。③如果不存在父类加载器,就尝试由启动类加载器加载。④如果以上三种方法都无法加载此类,才调用这个加载器类的findClass方法,此方法再调用defineClass方法。

在Tomcat启动过程中,当实例化Catalina类的时候(构造函数),就完成了package.definition跟package.access的安全属性设置,图3-1-5-3为SecurityConfig类图,此类通过读取catalina.properties中的属性完成设置,其中两个属性为

package.access

=sun.,org.apache.catalina.,org.apache.coyote.,org.apache.tomcat.,org.apache.jasper.

package.definition

=sun.,java.,org.apache.catalina.,org.apache.coyote.,org.apache.tomcat.,org.apache.jasper.

即以上这些包都需要进行权限检查。此类设置属性时并非直接设置,而是先读取系统已有的安全属性的值,然后再把这些包追加到后面。例如,先String access = Security.getProperty("package.access");

再Security.setProperty("package.access",access+","+"sun.,org.apache.catalina,…");

在Tomcat中,当启动了SecurityManager进行安全管理时,有些类是必须要使用的类,为避免由安全管理器导致运行到一半抛AccessControlException异常,在启动一开始就预先加载一些类,以此检查是否存在某些类读取的权限问题。SecurityClassLoad类负责对一些类进行预加载。

时间: 2024-12-15 00:20:23

Tomcat的系统安全管理的相关文章

CentOS7+Tomcat 生产系统部署

1 准备OS账户 安全起见,本着最小权限原则,生产系统决不同意使用root账户来执行tomcat.为此,建立新账户tomcat,并设定登录password. useradd tomcat passwd tomcat 2 配置防火墙放行8080port并做80port映射 在/etc/firewalld/services/文件夹下新建一个名为tomcat.xml的文件,内容例如以下: <? xml version="1.0" encoding="utf-8"?

Tomcat日志系统详解

综合:Tomcat下相关的日志文件 catalina引擎的日志文件,文件名:catalina.日期.log Tomcat下内部代码丢出的日志,文件名localhost.日期.log(jsp页面内部错误的异常,org.apache.jasper.runtime.HttpJspBase.service类丢出的,日志信息就在该文件!) Tomcat下默认manager应用日志,文件名manager.日期.log 控制台输出的日志,Linux下默认重定向到catalina.out Access日志(Se

《Tomcat日志系统详解》

综合:Tomcat下相关的日志文件 Cataline引擎的日志文件,文件名catalina.日期.log Tomcat下内部代码丢出的日志,文件名localhost.日期.log(jsp页面内部错误的异常,org.apache.jasper.runtime.HttpJspBase.service类丢出的,日志信息就在该文件!) Tomcat下默认manager应用日志,文件名manager.日期.log 控制台输出的日志,Linux下默认重定向到catalina.out Access日志(Ser

linux (ubuntu) 下设置 tomcat 随系统自动启动

网上说的有很多, 我只记录一种 1. 切换到 /etc/init.d/ 目录下 2. sudo vim tomcat 3. 在打开的文件里写入以下内容 #!/bin/sh # chkconfig: 345 99 10 # description: Auto-starts tomcat # /etc/init.d/tomcat # Tomcat auto-start # Source function library. #. /etc/init.d/functions # source netwo

解决linux系统下因分区目录划分过小,导致tomcat使用系统临时文件夹(/tmp)没有足够空间而报错的问题

1. 故障现象. B/S应用进行文件上传后,系统反馈:没有足够的磁盘空间(No enough space available). 2. 故障分析 检查文件占用情况如下: [root@Qa2 /]# df -h Filesystem Size Used Avail Use% Mounted on /dev/mapper/centos-root 6.7G 6.7G 20k 100% / devtmpfs 7.8G 0 7.8G 0% /dev tmpfs 7.8G 0 7.8G 0% /dev/sh

第11章 Tomcat的系统架构与设计模式

11.1 Tomcat总体设计 11.1.1 Tomcat总体架构 Tomcat和核心有连个组件:Connector和Container,Connector是可以被替换的.一个container可以有多个connector,多个connector和一个container形成一个service,service的生存环境就是server.所以Tomcat的声明周期由Server控制. 1. 以Service作为"婚姻" Connector负责对外交流,container主要处理connec

tomcat和系统时间不一致的问题

修改如下文件,增加环境变量: cd /usr/local/tomcat8.0 vim bin/catalina.sh export JAVA_OPTS="$JAVA_OPTS -Duser.timezone=Asia/shanghai"

mysql系统安全管理与优化

1. 禁止MySql以管理员账号权限运行 MySql应该使用非管理员账号运行,以普通账户安全运行mysqld 加固方法:在my.cnf配置文件中配置user=mysql 2. 设置root用户口令并修改登录名,且不存在空密码账户 修改root用户密码,在MySql控制台中执行: > set password for 'root'@'localhost'=password('new_password'); #实际操作中,只需将上面new_password换成实际的口令即可 为了更有效的改进root

75篇关于Tomcat源码和机制的文章

75篇关于Tomcat源码和机制的文章 标签: tomcat源码机制 2016-12-30 16:00 10083人阅读 评论(1) 收藏 举报  分类: tomcat内核(82)  版权声明:本文为博主原创文章,未经博主允许不得转载. 整理下前面写过的75篇关于Tomcat源码和机制的文章 文章列表 如何设计一个Web容器 Web安全认证机制知多少 Tomcat集群实现源码级别剖析 Tomcat集群如何同步会话 从单机到集群会话的管理之集群模式一 从单机到集群会话的管理之集群模式二(更大的集群