CentOS Java如何配置安全策略

CentOS 上配置 Java 安全策略

一 前置准备

• 确认 Java 已安装并可用：执行命令 java -version。如未安装，可用 sudo yum install java-1.8.0-openjdk 安装 OpenJDK 8。
• 确认 JAVA_HOME 与策略文件路径：常见路径为 /usr/lib/jvm/java--openjdk；策略文件位于 $JAVA_HOME/jre/lib/security/java.policy（JDK 8）或 $JAVA_HOME/lib/security/java.policy（JDK 9+）。
• 建议为自定义策略文件设置安全权限（仅属主可读写）：例如 chmod 600 /opt/app/myapp.policy。

二 配置方式与常用权限示例

• 方式 A 使用自定义策略文件（推荐）
  1. 创建策略文件（示例：/opt/app/myapp.policy）

  // 仅允许应用 JAR 读取自身目录
  grant codeBase "file:/opt/app/lib/myapp.jar" {
      permission java.io.FilePermission "/opt/app/conf/-", "read";
      permission java.io.FilePermission "/opt/app/logs", "read,write";
      permission java.util.PropertyPermission "file.encoding", "read";
  };
  
  // 允许本机回环访问指定端口（示例：应用监听 8080）
  grant {
      permission java.net.SocketPermission "localhost:8080", "listen,accept";
      permission java.net.SocketPermission "127.0.0.1:8080", "listen,accept";
  };
  

  2. 启动应用时指定策略与安全管理器

  java -Djava.security.manager \
       -Djava.security.policy=/opt/app/myapp.policy \
       -jar /opt/app/lib/myapp.jar
  

  说明：如不显式启用安全管理器（即不写 -Djava.security.manager），自定义策略不会生效。
• 方式 B 修改系统级策略文件（影响全局，谨慎）
  • 编辑 $JAVA_HOME/jre/lib/security/java.policy（JDK 8）或 $JAVA_HOME/lib/security/java.policy（JDK 9+），在默认 grant { … } 块中追加所需权限（如文件、网络、属性读取等）。
• 常用权限与写法
  • 文件访问：java.io.FilePermission “/var/log/app.log”, “read,write”；目录用通配：“/var/log/-”, “read,write,delete”。
  • 网络访问：java.net.SocketPermission “localhost:1024-”, “connect,resolve”；仅本机监听：“localhost:8080”, “listen,accept”。
  • 属性读取：java.util.PropertyPermission “file.encoding”, “read”。
  • 反射/类加载等：java.lang.RuntimePermission “accessDeclaredMembers”、“createClassLoader”。

三 典型场景与命令示例

• 场景 1 文件读写与属性读取

  grant codeBase "file:/opt/app/lib/myapp.jar" {
      permission java.io.FilePermission "/opt/app/conf", "read";
      permission java.io.FilePermission "/opt/app/data", "read,write";
      permission java.util.PropertyPermission "user.dir", "read";
  };
  

• 场景 2 仅本机访问的 HTTP 服务

  grant {
      permission java.net.SocketPermission "localhost:8080", "listen,accept";
      permission java.net.SocketPermission "127.0.0.1:8080", "listen,accept";
  };
  

• 场景 3 远程监控 VisualVM 的 jstatd（RMI）
  1. 创建 $JAVA_HOME/bin/jstatd.all.policy

  grant codebase "file:${java.home}/../lib/tools.jar" {
      permission java.security.AllPermission;
  };
  

  2. 启动 jstatd（将 xxx.xx.xx.xx 替换为服务器可达 IP）

  jstatd -J-Djava.security.policy=$JAVA_HOME/bin/jstatd.all.policy \
         -J-Djava.rmi.server.hostname=xxx.xx.xx.xx
  

  提示：生产环境不建议对监控授予 AllPermission，应按需最小化授权。

四 排错与加固建议

• 排错
  • 出现 AccessControlException 时，检查策略文件是否生效（是否启用安全管理器）、codeBase 路径是否与实际 JAR 路径精确匹配（建议使用 file: URL 且以 /- 结尾匹配目录）、以及目标路径与端口的权限是否声明。
  • 如需观察策略加载细节，可在启动命令中添加 -verbose:class 或 -Djava.security.debug=access,failure 获取更详细的访问检查日志。
• 加固
  • 遵循最小权限原则：仅授予应用必需的 FilePermission、SocketPermission、PropertyPermission 等。
  • 避免使用 java.security.AllPermission；仅在受控环境（如临时监控）中短期使用。
  • 将自定义策略文件权限设为 600，并纳入版本管理与审计。
  • 保持 JDK 与依赖组件更新（如 sudo yum update java-1.8.0-openjdk），及时获取安全修复。