Java Part 3: SecurityManager

翻译自:securitymanager

Intro

在 Java 中可以用 sun.misc.Unsafe 类为所欲为。而 SecurityManager 就像是一个保护装置,帮助你阻止某些敏感动作(io,网络,反射,访问等)。

SecurityManager manager = System.getSecurityManager();
if (manager != null) { 
  manager.checkAction(action);
}

如果某个动作是不被允许的,那么会抛出 SecurityExeption

Use Case

假设我们正在构建 在线评分 程序,该程序接受 java 代码,运行代码,取出结果并且验证结果是否正确。

显然,运行不受信的代码是不安全的。因此,我们需要确认代码提交者不会中断/危及整个评分系统。例如,某个提交者可以读取密码修改数据库中的评分项。又或者更坏地,耗尽整个文件系统,RAM 或消耗所有线程以至于无法为其他提交者评分。

** SecurityManager ** 解决这些问题。

扩展这个类并覆盖所需要的策略,指明什么是允许的,什么是不允许的。

class MySecurityManager extends SecurityManager { 
  @Override 
  public void checkRead(FileDescriptor fd) { 
    throw new SecurityException("File reading is not allowed"); 
  } 

  @Override 
  public void checkWrite(FileDescriptor fd) { 
    throw new SecurityException("File writing is not allowed"); 
  }

 @Override 
  public void checkConnect(String host, int port) { 
    throw new SecurityException("Socket connections are not allowed"); 
  }
}

可以在运行时这样设置security manager:

System.setSecurityManager(new MySecurityManager());

Note: setSecurityManager 同样也可以用 security manager 控制。

如果某个的受限制的动作被执行,那么会抛出 SecurityException

Inspect methods fromSecurityManager which starts with check prefix. There are plenty of checks JVM may run before your code.

尽管,security manager 对于配置子系统的访问,阻止不受信的代码做错误的事情十分好用,但是有些动作并不受 security manager 的控制。

Memory Allocation

内存分配并不受编程人员控制,同样 SecurityManager 也不限制对象的创建。如果你需要校验不受信的代码是否满足内存要求,可以在另一个 JVM 上执行,并给定该 JVM 最大的内存使用量 java -Xmx128m。如果超出内存要求,那么会抛出 OutOfMemory 异常。

对于更精确的内存管理,你需要附加 instrumentation agent 到 java 进程。

Threads

并没有什么方式用来限制 java 进程派生出的线程个数。如果只使用 ExecutorService 来创建线程,那么可以通过使用 ExecutorService.newFixedThreadPool(limit) 来限制线程个数。

否则,你需要编写一个自定义的 agent 跟踪活动线程的个数。�

Timeouts

保证某个算法可以在指定间隔内完成,需要使用一些外部的工具为其设置一个超时时间。linux 下可以使用 coreutils。

Libraries

可以通过使用 SecurityManager.checkPackageAccess 阻止使用某整个包。同样,也可以从整个架构上阻止使用某些外部的库或产品。但是,如果你想要阻止使用某些特定的方法,例如 java.lang.Math.min() 那么你可能需要手动扫描 java 源文件,并检测这样的调用。

你可能感兴趣的:(Java Part 3: SecurityManager)