如何在 Tomcat 6 中合理配置安全策略

我使用的是为 Ubuntu Karmic 打包的 Tomcat 6.0.24。 Ubuntu 的 Tomcat 软件包的默认安全策略相当严格，但看起来很简单。在/var/lib/tomcat6/conf/policy.d，有多种建立默认策略的文件。

一开始值得注意的是：

• 我根本没有更改库存 tomcat 安装 - 没有新的 jar 进入其公共 lib 目录，没有server.xml更改等。将 .war 文件放入webapps目录是唯一的部署操作。
• 我正在部署的 Web 应用程序失败，在此默认策略下出现数千次访问拒绝（如日志所报告，感谢-Djava.security.debug="access,stack,failure"系统属性）。
• 完全关闭安全管理器不会导致任何错误，并且应用程序功能正常

我想做的是将特定于应用程序的安全策略文件添加到policy.d目录，这似乎是推荐的做法。我将其添加到policy.d/100myapp.policy（作为一个起点——我想最终将授予的权限缩减为仅应用程序实际需要的权限）：

grant codeBase "file:${catalina.base}/webapps/ROOT.war" {
  permission java.security.AllPermission;
};

grant codeBase "file:${catalina.base}/webapps/ROOT/-" {
  permission java.security.AllPermission;
};

grant codeBase "file:${catalina.base}/webapps/ROOT/WEB-INF/-" {
  permission java.security.AllPermission;
};

grant codeBase "file:${catalina.base}/webapps/ROOT/WEB-INF/lib/-" {
  permission java.security.AllPermission;
};

grant codeBase "file:${catalina.base}/webapps/ROOT/WEB-INF/classes/-" {
  permission java.security.AllPermission;
};

注意尝试找到正确的方法时的挣扎codeBase宣言。我认为这可能是我的根本问题。

无论如何，以上（实际上只有前两项资助似乎有任何效果）almost有效：数千个访问拒绝都消失了，只剩下一个。相关堆栈跟踪：

java.security.AccessControlException: access denied (java.io.FilePermission /var/lib/tomcat6/webapps/ROOT/WEB-INF/classes/com/foo/some-file-here.txt read)
  java.security.AccessControlContext.checkPermission(AccessControlContext.java:323)
  java.security.AccessController.checkPermission(AccessController.java:546)
  java.lang.SecurityManager.checkPermission(SecurityManager.java:532)
  java.lang.SecurityManager.checkRead(SecurityManager.java:871)
  java.io.File.exists(File.java:731)
  org.apache.naming.resources.FileDirContext.file(FileDirContext.java:785)
  org.apache.naming.resources.FileDirContext.lookup(FileDirContext.java:206)
  org.apache.naming.resources.ProxyDirContext.lookup(ProxyDirContext.java:299)
  org.apache.catalina.loader.WebappClassLoader.findResourceInternal(WebappClassLoader.java:1937)
  org.apache.catalina.loader.WebappClassLoader.findResource(WebappClassLoader.java:973)
  org.apache.catalina.loader.WebappClassLoader.getResource(WebappClassLoader.java:1108)
  java.lang.ClassLoader.getResource(ClassLoader.java:973)

我非常确信触发拒绝的实际文件是无关紧要的——它只是我们检查可选配置参数的一些属性文件。有趣的是：

1. 它不存在于此上下文中
2. 文件不存在的事实最终会引发安全异常，而不是java.io.File.exists()只是返回 false （尽管我认为这只是读取权限的语义问题）。

另一个解决方法（除了禁用 tomcat 中的安全管理器之外）是向我的策略文件添加开放式权限：

grant {
  permission java.security.AllPermission;
};

我认为这在功能上相当于关闭安全管理器。

我想我一定会得到codeBase我的赠款中的声明略有错误，但我目前没有看到它。

您使用的是 Ubuntu 的包管理版本吗？最近我们对它的安全问题做了一场噩梦，但发现通过单独下载 Tomcat 并使用它，安全问题就消失了。

佐证：

http://www.howtogeek.com/howto/linux/installing-tomcat-6-on-ubuntu/ http://www.howtogeek.com/howto/linux/installing-tomcat-6-on-ubuntu/

如果您正在运行 Ubuntu 并且想要使用 Tomcat servlet 容器，则不应使用存储库中的版本，因为它无法正常工作。相反，您需要使用我在此处概述的手动安装过程。