Tomcat的系统安全管理

简介: Tomcat是一个Web容器,我们开发的Web项目运行在Tomcat平台,这就好比将一个应用嵌入到一个平台上面运行,要使嵌入的程序能正常运行,首先平台要能安全正常运行。


Tomcat是一个Web容器,我们开发的Web项目运行在Tomcat平台,这就好比将一个应用嵌入到一个平台上面运行,要使嵌入的程序能正常运行,首先平台要能安全正常运行。并且要最大程度做到平台不受嵌入的应用程序影响,两者在一定程度上达到隔离的效果。Tomcat与Web项目也是要最大程度隔离,使Tomcat平台足够安全。
我们先看看Tomcat可能存在哪些安全威胁。
(1) 在web应用的jsp页面或Servlet中使用System.exit(1);
假如你是一个老板,但是平时对待员工苛刻,工资又老是不准时发,承诺给员工的福利又做不到,所有员工敢怒不敢言,在背后严重鄙视你。小明实在看不下去准备离职了,他觉得要做点事情报复下你这没人情味的老板,作为程序员的他,于是敲起了几行代码作为离别礼物:
SimpleDateFormat sdf = new SimpleDateFormat("yyyy-MM-dd HH:mm:ss");
Date date = sdf.parse("2019-01-01 00:00:00");
Date now = new Date();
if (now.after(date)){
    System.exit(1);
}
在Servlet中的这几行代码,平时运行一点事情都没有,但是他就像个定时炸弹,在小明庆祝他离职五周年时,你的公司的系统就时不时得停止服务,并且还很难找出问题的所在。
(2) 在web应用中调用Tomcat内部核心代码实现类,特别是静态类;
Tomcat中有些代码是可以给外部调用,而有些核心代码为避免给Tomcat带来威胁甚至是崩溃的危险,需要控制外部程序的访问。
以上两种情况,都可能在Tomcat运行时导致Tomcat罢工。针对这些情况,我们有必要使用SecurityManager来保护服务器不受类似木马的servlet、jsp和标签库等得影响,使服务器多一层保护,能运行地更加安全可靠。
    Tomcat中有一般会使用到的权限许可有以下这些:
java.util.PropertyPermission - 控制读/写Java虚拟器的属性,如java.home。
java.lang.RuntimePermission - 控制使用一些系统/运行时(System/Runtime)的功能,如exit()和exec()。它也控制包(package)的访问/定义。
java.io.FilePermission - 控制对文件和目录的读/写/执行操作。
java.net.SocketPermission - 控制使用网路sockets连接。
java.net.NetPermission - 控制使用multicast网路连接。
java.lang.reflect.ReflectPermission - 控制使用reflection来对类进行检视。
java.security.SecurityPermission - 控制对安全方法的访问。
java.security.AllPermission - 给予所有访问权限。


毫无疑问,为了保证Tomcat的安全性,Tomcat启动时也开启了安全管理器,它采用的是默认的安全管理器——SecurityManager。在Tomcat启动的批处理文件中能找到-Djava.security.manager -Djava.security.policy==%CATALINA_BASE%\conf\catalina.policy,但Tomcat并没有使用默认的策略文件,而是指定一个catalina.policy作为策略文件。下面列出Catalina.policy文件有代表性的授权语句:
grant codeBase "file:${java.home}/lib/-" {
    permission java.security.AllPermission;
};
grant codeBase "file:${catalina.home}/bin/tomcat-juli.jar" {
permission java.io.FilePermission "${catalina.base}${file.separator}logs", "read, write";
    permission java.lang.RuntimePermission "shutdownHooks";
    permission java.util.PropertyPermission "catalina.base", "read";
};
grant {
    permission java.lang.RuntimePermission "accessClassInPackage.org.apache.tomcat";
};
上面有三个grant语句,第一个授权表示的意义比较简单,java安装路径下的lib目录及其子目录下的jar包拥有所有的权限。符号说明:*表示所有文件,-表示所有文件及其子目录下的文件。第二个grant是对Tomcat安装路径下bin目录的tomcat-juli.jar包进行授权,包括对tomcat安装目录下logs目录的读写权限、关闭钩子权限、catalina.base系统变量的读取权限。第三个grant表示授权对org.apache.tomcat包里面的类访问权限。
针对accessClassInPackage权限有必要展开详细讲解,还有一个类似的权限defineClassInPackage,由于默认的情况下是所有包都是可以被访问调用的,如果要对一些包进行访问控制,可通过以下几个步骤使应用具备这两种权限的安全检查。
首先,设置安全属性,告诉安全管理器哪些包需要进行访问权限检查,Security.setProperty
("package.definition","需要检查的包,多个包用逗号分隔")、Security.setProperty("package.access", "需要检查的包,多个包用逗号分隔")。
其次,配置策略文件policy,对指定类或包配置访问指定包的权限,例如
grant codeBase "file:${catalina.home}/webapps/manager/-"{
permission java.lang.RuntimePermission"accessClassInPackage.org.apache.tomcat";
};
指定${catalina.home}/webapps/manager/目录及其子目录下得文件都有访问org.apache.tomcat包的权限。格式是"accessClassInPackage.包路径"。
最后,如果你想检查此类是否有某个包的访问权限,可以显式地使用System.getSecurityManager(). checkPackageAccess("包路径");否则会在类加载器加载某个类时由loadClass方法触发权限检查。如果没权限则抛出SecurityException异常。
package.definition跟package.access这两种权限都是对包进行保护,从整体上保护一个包以避免不可信任代码的访问。其一,如果不可信任代码想要访问类的包保护成员,可能通过在被攻击的包内定义自己的新类用以获取这些成员的访问权的方式,这种方式叫包注入。针对包注入可以向package.definition属性添加需要保护的包,当检测到代码试图在包内定义新类时,类装载器的defineClass方法会抛出异常,以此达到防止包被恶意注入。可通过将包配置为RuntimePermission("defineClassInPackage."+package)给予权限。其二,为防止不可信代码对包进行访问,可通过限制包访问但同时赋予特定代码的访问权限,向package.access属性添加需要保护的包,当检测到代码试图访问上述包中的类时,类加载器的loadClass方法会抛出异常,以此达到包的访问限制。把RuntimePermission("accessClassInPackage."+package)权限赋予某个包即可实现其访问权限。
类装载器中的defineClass跟loadClass这两个方法比较奇特,如果想要深入了解可以研究JDK的类加载器的加载机制,从本书第二部分关于类加载器中知道,简单地说,每个类被加载器加载时都会调用loadClass方法,loadClass会进行如下判断:①从内存中查找此类是否已经加载,如已加载直接返回此类。②如果存在父类加载器,就委派给父类加载器加载。③如果不存在父类加载器,就尝试由启动类加载器加载。④如果以上三种方法都无法加载此类,才调用这个加载器类的findClass方法,此方法再调用defineClass方法。
在Tomcat启动过程中,当实例化Catalina类的时候(构造函数),就完成了package.definition跟package.access的安全属性设置,图3-1-5-3为SecurityConfig类图,此类通过读取catalina.properties中的属性完成设置,其中两个属性为
package.access
=sun.,org.apache.catalina.,org.apache.coyote.,org.apache.tomcat.,org.apache.jasper.
package.definition
=sun.,java.,org.apache.catalina.,org.apache.coyote.,org.apache.tomcat.,org.apache.jasper.
即以上这些包都需要进行权限检查。此类设置属性时并非直接设置,而是先读取系统已有的安全属性的值,然后再把这些包追加到后面。例如,先String access = Security.getProperty("package.access");
再Security.setProperty("package.access",access+","+"sun.,org.apache.catalina,…");
 

在Tomcat中,当启动了SecurityManager进行安全管理时,有些类是必须要使用的类,为避免由安全管理器导致运行到一半抛AccessControlException异常,在启动一开始就预先加载一些类,以此检查是否存在某些类读取的权限问题。SecurityClassLoad类负责对一些类进行预加载。


点击订购作者《Tomcat内核设计剖析》




目录
相关文章
|
2月前
|
Arthas 监控 Java
Arthas 可以用于监控和诊断在 Windows 系统下部署的 Tomcat 服务
Arthas 可以用于监控和诊断在 Windows 系统下部署的 Tomcat 服务
441 2
|
10月前
|
Java 应用服务中间件 Linux
百度搜索:蓝易云【Linux系统Tomcat安装与配置。】
Tomcat是一个开源的Java Servlet容器,它实现了Java Servlet和JavaServer Pages(JSP)规范。在Linux系统上安装和配置Tomcat可以为Java Web应用程序提供服务。
73 0
|
1月前
|
缓存 安全 前端开发
(转)浅谈tomcat优化(内存,并发,缓存,安全,网络,系统等)
(转)浅谈tomcat优化(内存,并发,缓存,安全,网络,系统等)
|
2月前
|
Ubuntu 安全 Linux
【专栏】在Ubuntu 22.04 LTS中,管理用户和权限对系统安全至关重要
【4月更文挑战第28天】在Ubuntu 22.04 LTS中,管理用户和权限对系统安全至关重要。使用`adduser`和`deluser`命令可轻松添加和删除用户,而`sudo`命令则允许授权用户执行管理员任务。要授予用户sudo权限,可通过`usermod -aG sudo newuser`将用户加入`sudo`组,或使用`visudo`编辑`/etc/sudoers`文件。撤销权限时,只需移除用户从`sudo`组或编辑`sudoers`文件删除相应配置。了解这些技能能有效保护系统免受未授权访问,确保安全。
|
10月前
|
Java 应用服务中间件
百度搜索:蓝易云【Debian11系统编译安装Tomcat教程。】
以上是在Debian 11系统上编译安装Tomcat的基本步骤。请根据实际情况进行相应的调整和配置。
66 0
|
7月前
|
关系型数据库 MySQL Java
Linux系统jdk&Tomcat&MySQL安装以及J2EE后端接口部署
Linux系统jdk&Tomcat&MySQL安装以及J2EE后端接口部署
52 0
|
9月前
|
Java 应用服务中间件 Linux
HTTPS && Tomcat && Servlet && 博客系统 && 软件测试的概念 && Linux
HTTPS && Tomcat && Servlet && 博客系统 && 软件测试的概念 && Linux
40 0
|
10月前
|
Java 应用服务中间件 Linux
百度搜索:蓝易云【Centos8 stream系统编译安装Tomcat教程。】
以上是在CentOS 8 Stream系统上编译安装Tomcat的基本教程。请注意,具体的配置和参数可能因您的需求而有所不同,您可以根据自己的情况进行调整。同时,请确保在执行任何操作之前备份重要的文件和配置。
226 1
|
9月前
|
Java Unix 应用服务中间件
tomcat 端口 8005 被 windows 系统服务占用导致启动闪退的问题
tomcat 端口 8005 被 windows 系统服务占用导致启动闪退的问题
|
10月前
|
Ubuntu Java 应用服务中间件
百度搜索:蓝易云【Ubuntu 18.04系统编译安装Tomcat教程。】
现在,您已经成功地在Ubuntu 18.04上编译和安装了Tomcat。请注意,这只是基本的安装过程,您可能需要根据自己的需求进一步配置和保护Tomcat。确保适当地配置Tomcat的安全性和访问权限。
116 0