Java安全性:通过URLClassLoader加载的沙盒插件

问题摘要:如何修改以下代码,以便不受信任的动态加载代码在安全沙箱中运行,而应用程序的其余部分保持不变?为什么URLClassLoader不像它所说的那样处理它?

编辑:更新以响应Ani B。

编辑2:添加了更新的插件安全管理器。

我的应用程序有一个插件机制,第三方可以提供一个JAR,其中包含一个实现特定接口的类。使用URLClassLoader,我能够加载该类并实例化它,没问题。由于代码可能不受信任,因此我需要防止其行为异常。例如,我在单独的线程中运行插件代码,以便在它进入无限循环或花费的时间太长时可以杀死它。但是,试图为他们设置一个安全沙箱,这样他们就无法做一些事情,比如建立网络连接或访问硬盘上的文件,这让我很生气。我的努力总是导致要么对插件没有影响(它具有与应用程序相同的权限),要么也会限制应用程序。我希望主应用程序代码能够执行它想要的几乎任何操作,但插件代码将被锁定。

有关该主题的文档和在线资源是复杂,令人困惑和矛盾的。我已经在很多地方读到过(比如这个问题),我需要提供一个自定义的安全管理器,但是当我尝试它时,我遇到了问题,因为JVM延迟加载JAR中的类。所以我可以很好地实例化它,但是如果我在加载的对象上调用一个方法,该方法从同一JAR实例化另一个类,它就会爆炸,因为它被剥夺了从JAR读取的权利。

从理论上讲,我可以在SecurityManager中检查FilePermission,看看它是否试图加载自己的JAR。这很好,但是URLClassLoader文档说:“默认情况下,加载的类仅被授予访问创建URL时指定的URL的权限。那么,为什么我甚至需要一个自定义的安全管理器呢?URLClassLoader不应该只处理这个问题吗?为什么不呢?

下面是一个重现问题的简化示例:

主要应用(受信任)

插件测试.java

package test.app;

import java.io.File;
import java.net.URL;
import java.net.URLClassLoader;

import test.api.Plugin;

public class PluginTest {
    public static void pluginTest(String pathToJar) {
        try {
            File file = new File(pathToJar);
            URL url = file.toURI().toURL();
            URLClassLoader cl = new URLClassLoader(new java.net.URL[] { url });
            Class<?> clazz = cl.loadClass("test.plugin.MyPlugin");
            final Plugin plugin = (Plugin) clazz.newInstance();
            PluginThread thread = new PluginThread(new Runnable() {
                @Override
                public void run() {
                    plugin.go();
                }
            });
            thread.start();
        } catch (Exception ex) {
            ex.printStackTrace();
        }
    }
}

插件.java

package test.api;

public interface Plugin {
    public void go();
}

PluginSecurityManager.java

package test.app;

public class PluginSecurityManager extends SecurityManager {
    private boolean _sandboxed;

    @Override
    public void checkPermission(Permission perm) {
        check(perm);
    } 

    @Override
    public void checkPermission(Permission perm, Object context) {
        check(perm);
    }

    private void check(Permission perm) {
        if (!_sandboxed) {
            return;
        }

        // I *could* check FilePermission here, but why doesn't
        // URLClassLoader handle it like it says it does?

        throw new SecurityException("Permission denied");
    }

    void enableSandbox() {
    _sandboxed = true;
    }

    void disableSandbox() {
        _sandboxed = false;
    }
}

PluginThread.java

package test.app;

class PluginThread extends Thread {
    PluginThread(Runnable target) {
        super(target);
    }

    @Override
    public void run() {
        SecurityManager old = System.getSecurityManager();
        PluginSecurityManager psm = new PluginSecurityManager();
        System.setSecurityManager(psm);
        psm.enableSandbox();
        super.run();
        psm.disableSandbox();
        System.setSecurityManager(old);
    }
}

插件 JAR(不可信)

MyPlugin.java

package test.plugin;

public MyPlugin implements Plugin {
    @Override
    public void go() {
        new AnotherClassInTheSamePlugin(); // ClassNotFoundException with a SecurityManager
        doSomethingDangerous(); // permitted without a SecurityManager
    }

    private void doSomethingDangerous() {
        // use your imagination
    }
}

更新:我更改了它,以便在插件代码即将运行之前,它会通知PluginSecurityManager,以便它知道它正在使用哪个类源。然后,它将仅允许对该类源路径下的文件进行文件访问。这也有一个很好的优势,我可以在应用程序开始时设置一次安全管理器,并在我输入和离开插件代码时更新它。

这几乎解决了这个问题,但没有回答我的另一个问题:为什么URLClassLoader没有像它所说的那样为我处理这个问题?我会把这个问题再开放一段时间,看看是否有人对这个问题有答案。如果是这样,该人将获得可接受的答案。否则,我会把它授予Ani B.,前提是URLClassLoader文档是谎言,并且他关于创建自定义SecurityManager的建议是正确的。

PluginThread 必须在 PluginSecurityManager 上设置 classSource 属性,这是类文件的路径。PluginSecurityManager现在看起来像这样:

package test.app;

public class PluginSecurityManager extends SecurityManager {
    private String _classSource;

    @Override
    public void checkPermission(Permission perm) {
        check(perm);
    } 

    @Override
    public void checkPermission(Permission perm, Object context) {
        check(perm);
    }

    private void check(Permission perm) {
        if (_classSource == null) {
            // Not running plugin code
            return;
        }

        if (perm instanceof FilePermission) {
            // Is the request inside the class source?
            String path = perm.getName();
            boolean inClassSource = path.startsWith(_classSource);

            // Is the request for read-only access?
            boolean readOnly = "read".equals(perm.getActions());

            if (inClassSource && readOnly) {
                return;
            }
        }

        throw new SecurityException("Permission denied: " + perm);
    }

    void setClassSource(String classSource) {
    _classSource = classSource;
    }
}

答案 1

从文档中:
The AccessControlContext of the thread that created the instance of URLClassLoader will be used when subsequently loading classes and resources.

The classes that are loaded are by default granted permission only to access the URLs specified when the URLClassLoader was created.

URLClassLoader完全按照它所说的去做,AccessControlContext是你需要关注的。基本上,在 AccessControlContext 中引用的线程没有权限执行您认为它执行的操作。


答案 2

我在应用程序中运行一些Groovy脚本时使用以下方法。我显然想阻止脚本运行(有意或无意地)System.exit

我以通常的方式安装java SecurityManager:

-Djava.security.manager -Djava.security.policy=<policy file>

在 I 授予我的应用程序所有权限(我完全信任我的应用程序),即:<policy file>

grant {
    permission java.security.AllPermission;
};

我限制了运行 Groovy 脚本的部分的功能:

list = AccessController.doPrivileged(new PrivilegedExceptionAction<List<Stuff>> () {
    public List<Stuff> run() throws Exception {
        return groovyToExecute.someFunction();
    }
}, allowedPermissionsAcc);

不会改变,因此我在静态块中创建它们allowedPermissionsAcc

private static final AccessControlContext allowedPermissionsAcc; 
static {    // initialization of the allowed permissions
    PermissionCollection allowedPermissions = new Permissions();
    allowedPermissions.add(new RuntimePermission("accessDeclaredMembers"));
    // ... <many more permissions here> ...

    allowedPermissionsAcc = new AccessControlContext(new ProtectionDomain[] {
        new ProtectionDomain(null, allowedPermissions)});
}

现在棘手的部分是找到正确的权限。

如果你想允许访问某些库,你很快就会意识到它们在编写时没有考虑到安全管理器,并且不能非常优雅地处理一个库,并且找出它们需要哪些权限可能非常棘手。如果您想通过Maven Surefire插件运行UnitTests,或者在不同的平台(如Linux / Windows)上运行,您将遇到其他问题,因为行为可能会有所不同:-(.但这些问题是另一个话题。


推荐