Ubuntu の Tomcat で実行される Web アプリケーションを作成しています。Ubuntu では、Tomcat はデフォルトで Java SecurityManager で実行するように構成されています。私自身の Web アプリケーション以外には、BIRT レポート エンジンなど、私自身に関連する有名なサード パーティの Web アプリケーションのみが存在します。
Web アプリケーションの 1 つに障害が発生したり、侵害されたりした場合、他のすべてのアプリケーションが損傷を受けることなくダウンする可能性があります。私が起こりたくないことは、侵害されたWebアプリがシステム自体を侵害することです。たとえば、 rm -r / を呼び出します
これを実現するには、Java セキュリティ マネージャを使用する必要がありますか? それとも、1 つの Web アプリを他のアプリから保護するだけでよいのでしょうか? 使用する予定のすべてのサード パーティ Web アプリケーションに対して .policy ファイルを作成する作業を防止したいと考えています。
理論的にはそうです。しかし、セキュリティ マネージャを使用してサーバー側のコードを "ロックダウン" しようとすると、問題が山積みになっていると聞いたことがあります。多くの場合、アプリケーションはこれを念頭に置いて設計されておらず、すべてのアクセス許可の設定が正しくなるまで、SecurityExceptions のデバッグに多くの時間を費やします。
編集:
2 つの Tomcat インスタンスを実行して、1 つのアプリケーションが 1 つの Tomcat ですべてをダウンさせるようなことを行うという問題を回避する方が簡単であることをお勧めします。(たとえば、ヒープをいっぱいにする、ファイル記述子をリークする、または System.exit() を呼び出す)。
アプリケーションが Java から「抜け出し」、「rm /*」と同等の処理を行うことをまだ懸念している場合は、各 Tomcat インスタンスを個別の「chroot jail」または仮想ホストで実行できます。または、Tomcat を制限されたユーザー アカウントから実行し、そのアカウントが許可されていないファイルにアクセス/更新できないようにすることもできます。
SecurityManager は、Tomcat に適用できるもう 1 つのセキュリティ レイヤーにすぎません。アプリケーションによっては、正しく設定するのが非常に難しく、時間がかかる場合があります。既に述べたように、サードパーティのアプリケーションやライブラリでこれを正しく行うことは、さらに困難になる可能性があります。
私の意見では、これを詳細に構成することは、考慮すべき最後のことです。
これの多くはすでにここで述べられていますが、私があなただったら、次の手順を順番に実行します。
他にできることには、マシン上で Snort のような IDS を実行して侵入の試みを検出すること、swatch のようなファイル ウォッチャーを実行して予期しないファイルの変更 (特に構成ファイルへの変更) を検出すること、さまざまなログ アナライザーを実行して他の侵入の試みを検出することなどがあります。 .
セキュリティの取り組みには常にトレードオフがあります。アプリケーションを完全に保護することはできません。ほとんどの人にとって、本格的なセキュリティ マネージャの構成は、このカテゴリに分類されます。
いいえ。もっと簡単な方法があります (低特権アカウント、chroot、安全な構成など)。
" " を回避するrm -r /ために、セキュリティ マネージャーは必要ありません。/Tomcat プロセスを実行するユーザーのアクセスが制限されていれば十分です (つまり、他の重要な領域への書き込みアクセス権がありません)。