0

我正在尝试分析此处的 JAAS 示例程序。(http://www.devx.com/getHelpOn/Article/9915/0/page/4)。我下载了代码并运行它。没有分析它运行得很好。运行该程序的命令如下所示:

java -cp SimpleAction.jar:SimpleAuthz.jar:SimpleLogMod.jar -Djava.security.manager -Djava.security.policy==SimpleJAAS.policy -Djava.security.auth.login.config==SimpleJAAS.config  com.gabhart.security.SimpleAuthz

但是当我尝试使用 java 代理运行它(对其进行分析)时,它给了我如下异常:

java.security.AccessControlException: access denied (java.util.PropertyPermission ch.usi.dag.jborat.liblist read)
    at java.security.AccessControlContext.checkPermission(AccessControlContext.java:374)
    at java.security.AccessController.checkPermission(AccessController.java:546)
    at java.lang.SecurityManager.checkPermission(SecurityManager.java:532)
    at java.lang.SecurityManager.checkPropertyAccess(SecurityManager.java:1285)
    at java.lang.System.getProperty(System.java:650)
    at ch.usi.dag.jborat.agent.JavaAgent.premain(JavaAgent.java:19)
    at sun.reflect.NativeMethodAccessorImpl.invoke0(Native Method)
    at sun.reflect.NativeMethodAccessorImpl.invoke(NativeMethodAccessorImpl.java:39)
    at sun.reflect.DelegatingMethodAccessorImpl.invoke(DelegatingMethodAccessorImpl.java:25)
    at java.lang.reflect.Method.invoke(Method.java:597)
    at sun.instrument.InstrumentationImpl.loadClassAndStartAgent(InstrumentationImpl.java:323)
    at sun.instrument.InstrumentationImpl.loadClassAndCallPremain(InstrumentationImpl.java:338)

但是程序运行良好,分析器不产生输出。我使用的 java profiler 并没有被广泛使用。它正确地描述了其他 java 程序/应用程序,但不是这个。

我使用以下命令与分析器一起运行示例 JAAS 程序:(请注意,它是从脚本文件中复制的)

 **java  -javaagent:lib/jborat-agent.jar \
     -Dch.usi.dag.jborat.exclusionList="conf/exclusion.lst" \
      -Dch.usi.dag.jborat.liblist="conf/lib.lst" \
       -Dch.usi.dag.jp2.outputFilePrefix="JAAZexample_output" \
       -Dch.usi.dag.jborat.instrumentation="ch.usi.dag.jp2.instrument.AddInstrumentation" \
       -Dch.usi.dag.jp2.dumpers="ch.usi.dag.jp2.dump.xml.XmlDumper" \
         -Dch.usi.dag.jborat.codemergerList="conf/codemerger.lst" \
          -Xbootclasspath/p:./lib/Thread_JP2.jar:lib/jborat-runtime.jar:lib/jp2-runtime.jar/jp2.jar/jborat-agent.jar/jborat.jar**:SimpleAction.jar:SimpleAuthz.jar:SimpleLogMod.jar \
          -Djava.security.manager -Djava.security.policy==SimpleJAAS.policy \
          -Djava.security.auth.login.config==SimpleJAAS.config  com.gabhart.security.SimpleAuthz

有人可以告诉我为什么抛出指定的异常以及为什么我的探查器不产生输出吗?

谢谢。

4

1 回答 1

0

您已启用 SecurityManager (-Djava.security.manager) 并指定了特定的安全策略 (-Djava.security.policy==SimpleJAAS.policy)。您的代理代码违反了该安全策略,因此失败。您需要在策略文件中添加一个授权部分,以允许代理执行它需要执行的操作。

出于测试目的,您可能会在您的安全策略中添加类似这样的内容(将允许代理做任何它想做的事情):

grant codeBase "file:lib/jborat-agent.jar" {
  permission java.security.AllPermission;
};

您可能需要调整 codeBase 行以包含所有必要的 jar。

显然,在一个真正安全的应用程序中,您可能不想这样做,而是授予代理它执行所需的最低权限。

于 2012-08-23T15:06:57.393 回答