Debuggen von SecurityManager-Problemen

vorhergehende Artikel in: Java
06.12.2014

In einem vorhergehenden Artikel habe ich beschrieben, wie ich dWb+ um die Möglichkeit erweitert habe, JMS als Schnittstelle zur Kommunikation mit Drittsystemen zu verwenden. Dabei musste ich mühsam ein Problem überwinden, das durch den SecurityManager verursacht wurde. Hier stelle ich das dafür verwendete Hilfsmittel vor.

Java-Anwendungen können mit oder ohne Sicherheitsmanager gestartet werden. Der Sicherheitsmanager ist dafür verantwortlich, zu prüfen, ob der ausgeführte Code sensible Informationen nutzen darf oder nicht.

Dazu gehören API-Funktionen, Umgebungsvariablen, Dateisystemzugriffe, externe Schnittstellen (Netzwerkkommunikation) und weiteres mehr. Zusätzlich kann der Entwickler darüber hinaus auch eigene Gesichtspunkte integrieren und mittels dieses Mechanismus ein Rollen- und Rechte-Konzept für die Anwender der Lösung implementieren - so geschehen beispielsweise in dWb+.

Was geschieht aber, wenn eine Anwendung während der Entwicklung ohne SecurityManager hervorragend zu funktionieren scheint, im Produktiveinsatz mit aktiviertem SecurityManager jedoch versagt? Leider ist es oft so, dass Exceptions wegen fehlender Permissions vom umgebenden Code verschluckt werden. Um diese trotzdem analysieren zu können, bietet es sich an, einen Proxy zu entwickeln, der den ursprünglich benutzten SecurityManager einkapselt und die Security-Violations sichtbar macht.

Einfach einen Proxy-SecurityManager zu nutzen, der sämtliche Security-Violations loggt, ist kontraproduktiv - Als Beispiel verwenden wir ein simples HelloWorld-Programm:

public class Hello 
{
	public static void main(java.lang.String[] args)
	{
		System.out.println("Huhu! ("+args.length+" arguments)");
	}
}
Mit einem SecurityManager-Proxy, der jede verweigerte Permission aufzeigt, erhält man bereits folgende Ergebnisse:
access denied ("java.util.PropertyPermission" "sun.boot.class.path" "read")
access denied ("java.util.PropertyPermission" "java.system.class.loader" "read")
access denied ("java.lang.RuntimePermission" "modifyThreadGroup")
access denied ("java.lang.RuntimePermission" "modifyThread")
access denied ("java.lang.RuntimePermission" "modifyThreadGroup")
access denied ("java.lang.RuntimePermission" "modifyThread")
access denied ("java.lang.RuntimePermission" "modifyThreadGroup")
access denied ("java.lang.RuntimePermission" "modifyThread")
access denied ("java.lang.RuntimePermission" "modifyThreadGroup")
access denied ("java.lang.RuntimePermission" "modifyThread")
access denied ("java.util.PropertyPermission" "java.vm.info" "read")
access denied ("java.util.PropertyPermission" "java.library.path" "read")
access denied ("java.util.PropertyPermission" "java.class.path" "read")
access denied ("java.util.PropertyPermission" "java.endorsed.dirs" "read")
access denied ("java.util.PropertyPermission" "java.ext.dirs" "read")
access denied ("java.util.PropertyPermission" "java.home" "read")
access denied ("java.util.PropertyPermission" "sun.boot.class.path" "read")
access denied ("java.util.PropertyPermission" "sun.boot.library.path" "read")
access denied ("java.util.PropertyPermission" "java.home" "read")
access denied ("java.util.PropertyPermission" "com.oracle.usagetracker.config.file" "read")
access denied ("java.io.FilePermission" "/home/elbosso/work/java/jdk1.7.0_25/jre/lib/management/usagetracker.properties" "read")
access denied ("java.io.FilePermission" "/home/elbosso/work/java/jdk1.7.0_25/jre/lib/management/usagetracker.properties" "read")
access denied ("java.util.PropertyPermission" "sun.jnu.encoding" "read")
Man kann also sagen, dass der Einsatz eines einfachen Proxy für die Analyse fehlender Permissions keine Erleichterung bringt - man muss noch weiter denken.

Ich habe das Problem gelöst, indem ich meinen SecurityManager-Proxy zu einem MXBean machte: Damit kann ich über eine Management-Konsole[3] das Verhalten steuern. Damit ist es dann möglich, die Operation in der Anwendung geziehlt auszulösen, die im Verdacht steht, wegen fehlender Permissions fehlzuschlagen. Erst unmittelbar vor dem Auslösen schalte ich über die Management-Konsole das Debugging ein und sehe so nur die SecurityViolations, die unmittelbar damit im Zusammenhang stehen.

Darüber hinaus habe ich den Proxy noch so verbessert, dass jede Art von Violation nur genau einmal gemeldet wird - alle Meldungen werden gespeichert und beim Auftreten weiterer Violations gecheckt: Schließlich reicht es aus, eine Violation einmal zu sehen und da es vorkommen kann, dass eine Lawine von Violations analysiert werden muss, ist es schön, wenn jede nur einmal auftritt. Die gespeicherten Violations können gelöscht werden.

Eine weitere Anpassung besteht darin, dass man ein Suchmuster angeben kann. Nur wenn der Stacktrace einer Violation dieses Fragment enthält, wird sie gemeldet. Bleibt das Suchmuster leer, werden alle auftretenden Violations gemeldet.

Um das ganze noch ein wenig abzurunden sei angemerkt, dass JMX natürlich ein Bereich der JVM ist, in dem ebenfalls Security-Permissions gecheckt werden. Daher habe ich mich entschieden, die javax.management.MBeanPermission-Checks durchzuwinken, die aus meinem Proxy resultieren. Da es dennoch hinderlich für die Analyse sein kann, alle JMX-Permission-Violations zu sehen, kann man mittels Setzen einer entsprechenden Property an der MXBean alle javax.management.MBeanPermission-Checks durchwinken - das sollte man aber mit Vorsicht einsetzen, denn vielleicht ist es eine solche Violation, die die Probleme verursacht. Daher ist dieses Verhalten auch standardmäßig deaktiviert.


Fußnoten

[3]

wie etwa das im JDK mitgelieferte jconsole

Alle Artikel rss Wochenübersicht Monatsübersicht Github Repositories Gitlab Repositories Mastodon Über mich home xmpp


Vor 5 Jahren hier im Blog

  • Fährnisse des Buildprozesses unter Windows

    17.07.2019

    Nachdem ich begonnen hatte, mich mit der Beschleunigung der Berechnung des Mandelbrot-Fraktals unter Zuhilfenahme der Shadereinheiten in Graphikkarten zu beschäftigen und erste Erfolge feiern konnte, wollte ich das mal auf einer richtigen Graphikkarte ausprobieren...

    Weiterlesen...

Neueste Artikel

  • Datenvalidierung UTF8 mit BiDi-Steuerzeichen (TrojanSource 2.0)

    Ich bin heute nochmal inspiriert worden, weiter über die Trojan Source Vulnerability nachzudenken. Meiner Meinung nach bestehen hier noch Probleme - speziell bei Nutzereingaben oder Daten, die über externe Schnittstellen ampfangen werden.

    Weiterlesen...
  • OpenStreetMap Navi als Docker-Container

    Ich habe die auf OpenStreetMap basierende OpenSource Navigationslösung Graphhopper in einen Docker-Container gepackt und als neuestes Mitglied in meinem Docker-Zoo willkommen geheißen.

    Weiterlesen...
  • SQL-Aggregatfunktionen in SQLite als BeanShell-Scripts

    Ich habe neulich über eine Möglichkeit berichtet, SQLite mittels der sQLshell und Beanshell-Skripten um SQL-Funktionen zu erweitern. In diesem Artikel versprach ich auch, über eine solche Möglichkeit für Aggregatfunktionen zu berichten.

    Weiterlesen...

Manche nennen es Blog, manche Web-Seite - ich schreibe hier hin und wieder über meine Erlebnisse, Rückschläge und Erleuchtungen bei meinen Hobbies.

Wer daran teilhaben und eventuell sogar davon profitieren möchte, muß damit leben, daß ich hin und wieder kleine Ausflüge in Bereiche mache, die nichts mit IT, Administration oder Softwareentwicklung zu tun haben.

Ich wünsche allen Lesern viel Spaß und hin und wieder einen kleinen AHA!-Effekt...

PS: Meine öffentlichen GitHub-Repositories findet man hier - meine öffentlichen GitLab-Repositories finden sich dagegen hier.