java.policy omkring System.exit(1); og webserver

Se:
  http://java.sun.com/j2se/1.3/docs/tooldocs/win32/policytool.html
  http://java.sun.com/j2se/1.3/docs/guide/security/permissions.html
beskriver ihvertfald de muligheder der er.

Med hensyn til JSP/servlet containere står der noget på:
  http://jakarta.apache.org/tomcat/tomcat-4.0-doc/security-manager-howto.html
(ganske vist for Tomcat, men det kan formentlig sagtens overføres til Resin)

Jo, jeg har været lidt inde og kigge på hvordan man laver en "grant permission" men eksempelvis dette:

grant {
        // JVM properties to allow read access
        permission java.util.PropertyPermission "java.version", "read";
        permission java.util.PropertyPermission "java.vendor", "read";
        permission java.util.PropertyPermission "java.vendor.url", "read";
        permission java.util.PropertyPermission "java.class.version", "read";
    permission java.util.PropertyPermission "java.specification.version", "read";
    permission java.util.PropertyPermission "java.specification.vendor", "read";
    permission java.util.PropertyPermission "java.specification.name", "read";

    permission java.util.PropertyPermission "java.vm.specification.version", "read";
    permission java.util.PropertyPermission "java.vm.specification.vendor", "read";
    permission java.util.PropertyPermission "java.vm.specification.name", "read";
    permission java.util.PropertyPermission "java.vm.version", "read";
    permission java.util.PropertyPermission "java.vm.vendor", "read";
    permission java.util.PropertyPermission "java.vm.name", "read";
};

... siger mig intet. Jeg forstår simpelthen ikke syntax'en og hvordan den skal bruges. Det kunne være man kunne få vist et eksempel på hvordan man lukker af for eksempelvis exitVm, jeg mener det er den der kontrollerer System.exit(int-værdi); ??

Det er sgu heller ikke nemt.

Men der er ihvertfald eksempel på exitVm syntax i:
  http://jan.netcomp.monash.edu.au/distjava/security/lecture2.html

Min .java.policy ser nu således ud:

/* AUTOMATICALLY GENERATED ON Sat Feb 08 15:16:19 CET 2003*/
/* DO NOT EDIT */

grant {
  permission java.lang.RuntimePermission "exitVM", "false";
  permission java.lang.RuntimePermission "stopThread", "true";
 
};

Men når jeg kalder denne:

<%@ page language="java" %>

<%

    out.println(System.getSecurityManager());
    System.out.println(System.getSecurityManager());
    System.exit(1);

%>

lukkes der stadig ned, og Resin genstarter.

Har du enablet security manager i Resin konfigurationen ?

jeps, men resin.conf ser således ud - groft skrevet ->

<caucho.com>
<iis priority='high'/>
  <security-manager/> 
  <!-- <log id='/' href='stderr:'/> -->
 
 
 
<log id='/log' href='stderr:' timestamp='[%Y-%m-%d %H:%M:%S.%s]'/>
<java compiler="internal" compiler-args=""/>
<jsp precompile='true' static-encoding='true' recompile-on-error='true'/>


  <http-server app-dir='d:\www' class-update-interval='2'>
  <ignore-client-disconnect>false</ignore-client-disconnect>


    <srun port='6802'/>
    <!-- automatically compile Java in WEB-INF -->
    <classpath id='WEB-INF/classes' source='WEB-INF/source' compile='true'/>
      <error-log id='log/error.log'/>


  </http-server>
 

</caucho.com>

Det er godt nok lidt sjovt, for når jeg spørger på:

System.getSecurityManager()

skriver den null somom den ikke var til stede, men åbner jeg mit policy tool får jeg ikke nogen fejl. Det vil sige, har jeg læst, at policy-filen eksisterer, men mere har jeg ikke fundet ud af...

Policy tool er en policy fil editor.

Den har intet med en SecurityManager at gøre.

Den skal aktiveres inden i applikationen.

Hvis System.getSecurityManager returnerer null, så har du ingen
SecurityManager.

Se f.eks.:
  http://www.caucho.com/support/resin-interest/0203/0230.html

Hmmm, det fik jeg nu ikke meget ud af, men jeg har fundet: C:\j2sdk1.4.1_01\jre\lib\security hvor der ligger en policy fil også, udover den jeg selv har lavet i: C:\Documents and Settings\mit home user dir\
Men den går jeg ikke ud fra jeg skal bruge?

Der står noget om at man skal lave lidt om i wrapper.pl men det findes der ikke en fil på mit system der hedder.

Heller ikke på mit.

:-(

http://localhost:8080/ref/security.xtp#security-manager

siger også at det skulle være nok at adde det tag.

Jeg ser endnu et problem i denne:

BufferedReader fin = new BufferedReader(new
FileReader("c:\\boot.ini"));
String str=null;
while ((str=fin.readLine()) != null){
out.println (str);
}

Der må da være en mulighed for at disable dette. ALT kan jo lade sig gøre ;)
Men hvordan...

Hvis jeg læser http://java.sun.com/j2se/1.4/docs/guide/security/PolicyFiles.html#DefaultLocs
korrekt, så kan du ligge en:

C:\Documents and Settings\username\.java.policy fil som skulle blive brugt.

Men det vil muligvis have lidt bivirkninger for andre apps.

java -Djava.security.manager -Djava.security.policy=someURL SomeApp

modellen ville jo nok være bedre, men jeg kan bare ikke lige se, hvor
man angiver JVM parametre til Resin.

Hvis du kan få testet på exitVm til at virke, så kan du også forhindre
diverse andet.

http://localhost:8080/ref/security.xtp#security-manager

har eksempel på hvordan man restricter fil-adgangen.

Jo, men det kan jeg ikke. Der er ikke rigtig nogen gode tutorials jeg kan læse om det på, i hvert fald ikke noget der virker...