如何在 Tomcat 6 中合理配置安全策略

Question

我使用的是为 Ubuntu Karmic 打包的 Tomcat 6.0.24。 Ubuntu 的 Tomcat 包的默认安全策略非常严格，但看起来很简单。在/var/lib/tomcat6/conf/policy.d中，有多种建立默认策略的文件。

开头值得注意：

• 我根本没有更改股票 tomcat 安装 - 没有新的 jars 到它的公共 lib 目录中，没有 server.xml 更改等。将 .war 文件放在 webapps 目录中是唯一的部署操作。
• 我正在部署的 Web 应用程序失败，并在此默认策略下拒绝了数千次访问（由于-Djava.security.debug="access,stack,failure" 系统属性而向日志报告）。
• 完全关闭安全管理器不会导致任何错误，并且应用功能正常

我想做的是向policy.d 目录添加一个特定于应用程序的安全策略文件，这似乎是推荐的做法。我将此添加到policy.d/100myapp.policy（作为起点——我想最终将授予的权限缩减为应用程序实际需要的权限）：

grant codeBase "file:${catalina.base}/webapps/ROOT.war" {
  permission java.security.AllPermission;
};

grant codeBase "file:${catalina.base}/webapps/ROOT/-" {
  permission java.security.AllPermission;
};

grant codeBase "file:${catalina.base}/webapps/ROOT/WEB-INF/-" {
  permission java.security.AllPermission;
};

grant codeBase "file:${catalina.base}/webapps/ROOT/WEB-INF/lib/-" {
  permission java.security.AllPermission;
};

grant codeBase "file:${catalina.base}/webapps/ROOT/WEB-INF/classes/-" {
  permission java.security.AllPermission;
};

注意试图找到正确的codeBase 声明时的挣扎。我认为这可能是我的根本问题。

无论如何，上述（实际上只有前两个授权似乎有任何效果）几乎有效：成千上万的访问拒绝已经消失，我只剩下一个。相关堆栈跟踪：

java.security.AccessControlException: access denied (java.io.FilePermission /var/lib/tomcat6/webapps/ROOT/WEB-INF/classes/com/foo/some-file-here.txt read)
  java.security.AccessControlContext.checkPermission(AccessControlContext.java:323)
  java.security.AccessController.checkPermission(AccessController.java:546)
  java.lang.SecurityManager.checkPermission(SecurityManager.java:532)
  java.lang.SecurityManager.checkRead(SecurityManager.java:871)
  java.io.File.exists(File.java:731)
  org.apache.naming.resources.FileDirContext.file(FileDirContext.java:785)
  org.apache.naming.resources.FileDirContext.lookup(FileDirContext.java:206)
  org.apache.naming.resources.ProxyDirContext.lookup(ProxyDirContext.java:299)
  org.apache.catalina.loader.WebappClassLoader.findResourceInternal(WebappClassLoader.java:1937)
  org.apache.catalina.loader.WebappClassLoader.findResource(WebappClassLoader.java:973)
  org.apache.catalina.loader.WebappClassLoader.getResource(WebappClassLoader.java:1108)
  java.lang.ClassLoader.getResource(ClassLoader.java:973)

我非常确信触发拒绝的实际文件是无关紧要的——它只是我们检查可选配置参数的一些属性文件。有趣的是：

1. 在此上下文中不存在
2. 文件不存在这一事实最终会引发安全异常，而不是 java.io.File.exists() 简单地返回 false（尽管我认为这只是读取权限的语义问题）。

另一种解决方法（除了在 tomcat 中禁用安全管理器之外）是向我的策略文件添加开放式权限：

grant {
  permission java.security.AllPermission;
};

我认为这在功能上等同于关闭安全管理器。

我想我一定是在我的赠款中得到了codeBase 声明，但我现在没有看到它。

Answer 1

您使用的是 Ubuntu 的包管理版本吗？我们最近做了一个关于它的安全问题的噩梦，但发现通过单独下载并使用 Tomcat，安全问题就消失了。

证实：

http://www.howtogeek.com/howto/linux/installing-tomcat-6-on-ubuntu/

如果您正在运行 Ubuntu 并想使用 Tomcat servlet 容器，则不应使用存储库中的版本，因为它不能正常工作。相反，您需要使用我在这里概述的手动安装过程。

Answer 2

Tomcat 使用自己的 tomcat 用户运行。战争文件需要对该用户可见 - 可能值得先检查一下？

Answer 3

你是直接部署到ROOT目录吗？

通常，当您在 webapps 文件夹中放置一个战争时，例如 100myapp.war，它会解压缩到一个名为 100myapp 的文件夹中。难道不应该在这个新文件夹而不是 ROOT 文件夹上完成授权吗？

Answer 4

您可能必须单独授予文件访问权限。尝试将您的应用的授权更改为：

grant codeBase "file:${catalina.base}/webapps/ROOT.war" {
  permission java.security.AllPermission;
  permission java.io.FilePermission "file:${catalina.base}/webapps/ROOT/-", "read, write";
}

如果这不起作用，则可能是您现有授权范围之外的某些代码正在访问这些属性文件（例如 servlet 或其他库代码）。

作为一种解决方法，并确认是否是这种情况，您可以直接授予导致问题的 .properties：

grant {
  permission java.io.FilePermission "file:${catalina.base}/webapps/ROOT/WEB-INF/classes/com/foo/some-file-here.txt", "read, write";
}

事实上，后者可能是这种情况，因为堆栈跟踪显示了 Tomcat 上下文加载器中的代码。如果 .properties 上的直接授权有效，您可能希望将授权锁定到 org.apache.naming.resources.FileDirContext。

您是否获得任何特定于您自己的代码的堆栈跟踪？