在运行用户提供的Java代码时，应该防范哪些安全风险？

Question

是否有在服务器上运行用户提供的Java代码的安全问题的全面列表？我已经

在具有有限可用内存的单独进程中使用seconds

• running代码超时的
• 使用SecurityMangager来防止文件和网络IO
• 在文件系统权限极其有限的帐户下运行代码

如果这重要的话，我将在FreeBSD服务器上运行这个程序。

Answer 1

看起来是一个非常好的开端--安全性管理器对于沙箱处理其他一些您没有明确提到的东西是必不可少的(当然，防止用户禁用Security，并且能够调用任意命令，或者使用本机代码，或者让OS执行文件等等)。我假设您是从零权限开始，只是授予所需的显式权限。

安全管理器无法通过过度使用资源来处理拒绝服务，但您的其他控件可能会解决这个问题(防止网络连接、控制磁盘使用、超时以防止占用CPU --如果超时就是这样的话)。

您说的是“非常有限的文件系统权限”--希望这也包括磁盘配额？您是否正在运行多个不受信任的进程，它们是否共享磁盘空间？文件句柄的耗尽可能是一个问题(不确定如何为有限的帐户管理这些句柄)。

仍然存在偶尔出现的JVM漏洞，因此风险取决于服务器上还有什么，以及问题的实际后果是什么(如果必须清除服务器，情况会有多糟？)

另见：Sandbox against malicious code in a Java application和Execute external Java source code on server - limit security and resources?

Answer 2

我会问自己的问题是，‘我有多信任人们，有多少信任他们的代码不会破坏我的系统？’总的来说，我的回答不是太多，也不是我能扔的那么远。但是，从我的头顶上看，下面是一些我想要防范的事情。

here)

• Reading/writing resource

• Expecting权限提升代码(限制帐户只能在特定上下文中执行，或者具有特定权限是一个巨大的加)

• 创建过多的对象/删除内存(限制可用内存和/或资源是从套接字到套接字的加号，而不是从STDIN释放resource

• Expecting输入，如果服务器是无头的

< code >F 213)

还有很多值得警惕的地方，所以我会小心行事。尽可能保护每个帐户和/home目录(简单的chmod 700 $HOME经常会这样做)，并在公开部署之前尝试使用您认为不可靠的代码。一旦您对服务器的性能感到满意，就允许其他人测试您的服务器，看看它运行得有多好。