Ubuntu中如何配置Java安全策略

Ubuntu中配置Java安全策略

一 准备与环境确认

• 确认已安装 OpenJDK（以 OpenJDK 11 为例）：
  • 检查版本：java -version
  • 安装命令：sudo apt update && sudo apt install openjdk-11-jdk
• 建议优先使用自定义策略文件，避免直接改动系统级配置；系统级策略文件位于：/usr/lib/jvm/java-/lib/security/java.policy（如 /usr/lib/jvm/java-11-openjdk-amd64/lib/security/java.policy）。

二 创建自定义策略文件

• 在项目目录创建策略文件，例如 myapp.policy，按需授予最小权限：
  • 示例（仅授予对应用目录与临时目录的读写，以及在本地 8080 端口监听）：

    grant codeBase "file:/path/to/your/app/-" {
        permission java.io.FilePermission "/path/to/your/app/-", "read,write";
        permission java.io.FilePermission "/tmp/*", "read,write";
        permission java.net.SocketPermission "localhost:8080", "listen";
    };
    

  • 如需对打包后的 JAR 按代码源授权，可使用 codeBase "jar:file:/path/to/app.jar!/-"。
  • 仅在确实需要时再使用 permission java.security.AllPermission;（开发/调试阶段慎用）。

三 指定策略并启用安全管理器

• 启动时通过系统属性指定策略文件，并按需启用安全管理器（多数现代应用服务器/框架会自行安装并启用 SecurityManager，若未启用可显式设置）：
  • 基本用法：

    java -Djava.security.manager -Djava.security.policy=/path/to/myapp.policy -jar your-app.jar
    

  • 若已在代码中设置策略与安全管理器（不推荐在库代码中设置，避免与容器/框架冲突）：

    System.setProperty("java.security.policy", "/path/to/myapp.policy");
    System.setSecurityManager(new SecurityManager());
    

  • 说明：
    • 指定策略文件时可使用绝对路径；若策略文件与 JAR 同目录，也可使用相对路径。
    • 某些环境（如 Tomcat、Spring Boot 可执行 JAR）可能已有安全管理器配置，需遵循其文档进行策略集成。

四 验证与调试

• 验证策略是否生效：运行应用并执行会触发受限操作的代码路径（如文件读写、端口监听），确认未抛出 AccessControlException。
• 启用调试日志以定位权限问题：

  java -Djava.security.debug=all -Djava.security.policy=/path/to/myapp.policy -jar your-app.jar
  

• 常见问题排查：
  • 路径匹配问题：确保 codeBase 的 file: URL 与实际路径一致，目录尾部斜杠与通配符使用正确。
  • 策略叠加顺序：自定义策略会与系统策略合并，注意是否因其他已授予权限而掩盖问题。
  • 代码来源判定：对 JAR 文件授权时优先使用 jar: URL，避免因类加载来源不一致导致策略不命中。

五 生产实践与安全建议

• 最小权限原则：仅授予应用运行所必需的权限，避免使用 AllPermission。
• 变更可控：修改系统级 java.policy 前先备份；优先采用项目级策略并通过启动参数注入。
• 运行环境加固：
  • 保持 Java 与系统补丁 更新（sudo apt update && sudo apt upgrade）。
  • 使用 UFW 限制暴露端口（如仅开放 80/443）：sudo ufw allow 80/tcp; sudo ufw allow 443/tcp; sudo ufw enable。
  • 结合 AppArmor/SELinux 对 Java 进程做强制访问控制，进一步收敛文件系统与网络访问面。