"Tomcat Security Manager"をWebで正しく動作させるために必要なアクセス許可の仕様を公開したい非常に大きなWebアプリケーションがあります。応用。Tomcatセキュリティマネージャ - Webアプリケーションに必要なアクセス許可の決定
Webアプリケーションを実行し、必要なすべての権限のリストを自動的に生成する方法はありますか?
これは、Tomcat Security Managerを有効にして、セキュリティの例外を回避し、必要な権限を追加することで、手動でこれを試みました。しかし、この問題は一度に1つのセキュリティ例外しか表示されず、すべての例外の後でcatalina.policyを更新する必要がある場合は、Tomcatを再起動して次の例外に移ります。
私は文字通り、2時間を過ごすためのヒントなしにこれをやりました。より良い方法が必要です。
この質問に対する回答が見つかりました。
必要とされているすべての許可を標準エラー出力にエントリを作成しますTomcatに次のJavaオプションを追加:
-Djava.security.debug = Iはしなかった理由を、私はわからないんだけど、すべて
以前はこれを見つけましたが、Tomcat 6.0のマニュアルに書かれています。
http://tomcat.apache.org/tomcat-6.0-doc/security-manager-howto.html#Troubleshooting
私は同様に大規模なWebアプリケーションを持っているTomcatのセキュリティマネージャと時間だけが実行される権限の問題があったのTomcatがすでに配備されたときに、停止され、セキュリティスイッチが追加されていたし、その後、再起動。
grant codeBase "file:${catalina.home}/path/to/my/application-" {
permission java.net.SocketPermission "IPAddress:Port", "connect";
permission java.security.AllPermission;
};
私はそれを解決し、正確にどのようにされています。 /path/to/my/applicationを次のように置き換えることができます/webapps/mySuperAwesomeApplication
何-Djava.security.debugは=失敗使ってはどうですか?
最終的な目的は、アプリケーションを実行するだけでなく、実行するためにはどのアクセス許可を有効にする必要があるかを文書化することです。残念ながら、あなたのエントリで行ったように、すべての権限を有効にする: 権限java.security.AllPermission; それほど私を助けません。はい、それは動作させることができますが、それは「Tomcat Security Managerを無効にしないのはなぜですか?」とほとんど同じです。 Tomcat Security Managerを有効にしたい環境でも、「すべての権限」を与える環境は許可されていない環境と同じです。 – Doug
実際には、人々が情報を混乱させるのを防ぎますが、これはSTIG要件imhoのように聞こえます。 – Woot4Moo
あなたの提案は、Webアプリケーション用にTomcat Security Managerを無効にしたようなものです。誰かが有効になっているという要件がある場合、Webアプリケーションに「すべてのアクセス許可」が許可されない可能性が高くなります。 たとえば、Webアプリケーションにディレクトリトラバーサルのバグがあった場合、「すべての許可」を追加してもこの問題は発生しません。一方、必要なファイルパスのみにアクセス権を与えることができる場合は、この問題が発生します。これはTomcat Security Managerの目的です。 – Doug