JRun 環境の保護

このセクションでは、共有ホスティング環境での JRun アプリケーションサーバの保護に関する問題について説明します。

Java アプリケーションサーバの概要

各 JRun サーバは、JRun サーバ起動時、サーバ独自の Java Virtual Machine (JVM) にロードされます。その JVM は、JRun サーバがコンパイルして、実行するサーブレット、EJB、および JSP のみを実行します。これにより、各 JRun サーバがほかの JRun サーバの動作に影響を与えることがなくなり、JRun サーバが保護されます。その結果、default JRun サーバとその JVM が応答を停止しても、ほかのすべての JRun サーバとその JVM は問題なく動作します。

次は、JVM およびサーブレットエンジンの特性の一部を示した概要で、JRun サーバがそれらの関連 JVM とどのように対話するかについて説明します。

JRun サーバは、サーブレット、EJB、および JSP スレッドを処理します。
JVM は、オブジェクトクラスファイルをロードして検証します。これにより、クラスの不正な動作を防ぐことができます。
JVM は、アプリケーションのメモリ管理を処理します。JVM メモリ使用率の監視方法の詳細は、"リソース使用率の制限"を参照してください。
JVM はガーベッジコレクションを実行します。
Java の例外処理によって、例外は捕捉されるまで、呼び出し元のスタックに伝搬されます。例外が明示的に捕捉されない場合は、JVM がクラッシュすることなく例外を捕捉します。
JVM 命令セットはメモリを直接示さず、それ自体の入出力命令はありません。その代わり、JVM は、ネイティブライブラリを介して下位システムと通信します。これらのネイティブライブラリは、Java セキュリティマネージャでの権限の検証後にのみアクセスできます。Java セキュリティマネージャの使用方法の詳細は、"Java セキュリティについて"を参照してください。

Java セキュリティについて

サーブレット/JSP ホスティングを提供する場合は、Java アプリケーション環境に対して厳密なセキュリティマネージャおよびポリシーファイルを設定することでメリットが得られます。これにより、JVM のシャットダウンやシステムファイルへの書き込みなど、望ましくない結果を生じるサーブレットまたは JSP を顧客が実行できないようにすることができます。

メモ

ただし、ファイアウォール、OS レベルのセキュリティ、およびその他の従来の方法などのセキュリティ方法に代わるものはありません。

このセクションでは、Java セキュリティマネージャを使用して、代表的な ISP アーキテクチャに対して JRun インストールを設定する方法を説明します。ただし、このトピックは内容が膨大で複雑なため、ほかの参考資料も参照する必要があります。

Java セキュリティマネージャの使用

Java 言語で構築されたセキュリティマネージャを使用して、ユーザがアクセスするクラスおよびメソッドを制御できます。これを行うには、java.policy ファイルを作成し、そのポリシーファイルを JRun サーバの Java 引数で指定します。

Java セキュリティマネージャを使用するには

目的の権限が含まれている java.policy ファイルを編集します。
JRE の java.security ファイルに、この新規 java.policy ファイルを参照する policy.url を追加します。
JMC の Java Arguments プロパティを変更します。
JRun サーバを再起動します。

次のセクションで、手順 1 ～ 3 を詳しく説明します。

java.policy ファイルの編集

既定の java.policy ファイルは、<jdk>¥jre¥lib¥security にあります。新規のポリシーファイルを作成し、目的の場所にそのファイルを格納します。ただし、この場合は、java.security ファイル内に新規の場所を指定する必要があります。既定の場所を使用する場合も、java.security ファイル内でその場所を明示的に示す必要があります。後で、Java 引数として java.security ファイルの場所を JMC 内で指定します。

既定のポリシーファイルでは、Java 拡張ディレクトリからロードされたすべてのクラスに対してすべてのアクセス権が与えられます。システム以外のクラスには、リストされているシステムプロパティに対する読み取り権が与えられ、1024 より大きいポート番号を持つソケットを使用して応答できます。その他のクラスはすべて、スレッドの stop
メソッドを呼び出すことができます。

ポリシーファイルは、手作業で編集するか、Sun の JDK に含まれている policytool アプリケーションを使って編集できます。policytool 使用方法の詳細は、Sun の Java マニュアルを参照してください。

ポリシーファイルのサンプル

このセクションに記載するサンプルポリシーファイルには、ISP に適している設定値が一部含まれています。サンプルでは、顧客がサーブレットと JSP の処理に default JRun サーバを使用することを前提としています。

このポリシーファイルは、JRun の基本機能に必要な権限を提供します。この権限には、JSP の処理、サーブレットの動的な再ロード、システムおよび JRun プロパティの読み取り、ログへの書き込み、サーブレット/JSP での sendRedirect および RequestDispatcher の使用があります。ただし、複数ユーザのためのポリシー、JDBC ドライバを使用するデータベースへの接続に対するアクセス権、JNI のためのネイティブライブラリのロードなど、より複雑な設定には対応していません。

このファイルを使用するには、自分のファイルシステムと JRun インストールに一致するように、すべてのディレクトリとポートを変更します。このファイルは、admin JRun サーバ (8000)、default JRun サーバ (8100)、および proxyport (55555) については既定のポートを想定していますが、設定に適合するようにポートを変更できます。

java.policy ファイルのカスタマイズ、独自の java.policy ファイルの作成、および Java セキュリティアーキテクチャの知識に関する追加情報については、Java のマニュアルを参照してください。

java.policy ファイルのサンプル

/* このファイルは例示を目的としており、実際の実装には適していません。 */ grant { permission java.io.FilePermission "D:＼＼JRun3", "read"; permission java.io.FilePermission "D:＼＼JRun3＼＼-", "read"; permission java.io.FilePermission "D:＼＼JRun3＼＼logs＼＼*", "read,write"; permission java.io.FilePermission "D:＼＼JRun3＼＼lib＼＼*", "read"; /* /servlets ディレクトリにサーブレットを格納する旧式メソッドをサポートするには、次のアクセス権をコメント解除します。*/ // permission java.io.FilePermission "D:＼＼JRun3＼＼servlets", "read, write"; permission java.io.FilePermission "C:＼＼jdk1.2.2＼＼jre＼＼lib＼＼-", "read"; permission java.io.FilePermission "C:＼＼jdk1.2.2＼＼lib＼＼tools.jar", "read"; permission java.io.FilePermission "D:＼＼JRun3＼＼servers＼＼default＼＼default-app＼＼WEB-INF＼＼-", "read, write"; permission java.io.FilePermission "D:＼＼JRun3＼＼servers＼＼default＼＼default-app＼＼WEB-INF＼＼jsp, "delete"; permission java.io.FilePermission "<<ALL FILES>>", "execute"; /* JRun を介してネイティブ Web サーバからドキュメントを使用可能にする場合は、次のアクセス権をコメント解除し、Web サーバのドキュメントルートに一致させます。*/ // permission java.io.FilePermission "C:＼＼Inetpub＼＼wwwroot＼＼-", "read"; permission java.net.SocketPermission "127.0.0.1:8000", "accept,listen,resolve"; permission java.net.SocketPermission "127.0.0.1:8100", "accept,listen,resolve"; permission java.net.SocketPermission "127.0.0.1:1024-", "accept,resolve"; permission java.net.SocketPermission "127.0.0.1:51000", "accept,listen,resolve"; permission java.net.SocketPermission "*.com", "connect,resolve"; permission java.net.SocketPermission "*.org", "connect,resolve"; permission java.net.SocketPermission "*.net", "connect,resolve"; permission java.util.PropertyPermission "*", "read"; permission java.lang.RuntimePermission "setIO"; permission java.lang.RuntimePermission "exitVM"; permission java.lang.RuntimePermission "stopThread"; permission java.lang.RuntimePermission "createClassLoader"; }

java.policy ファイルのサンプル
/* このファイルは例示を目的としており、実際の実装には適していません。 / grant { permission java.io.FilePermission "D:＼＼JRun3", "read"; permission java.io.FilePermission "D:＼＼JRun3＼＼-", "read"; permission java.io.FilePermission "D:＼＼JRun3＼＼logs＼＼", "read,write"; permission java.io.FilePermission "D:＼＼JRun3＼＼lib＼＼", "read"; / /servlets ディレクトリにサーブレットを格納する旧式メソッドをサポートするには、次のアクセス権をコメント解除します。/ // permission java.io.FilePermission "D:＼＼JRun3＼＼servlets", "read, write"; permission java.io.FilePermission "C:＼＼jdk1.2.2＼＼jre＼＼lib＼＼-", "read"; permission java.io.FilePermission "C:＼＼jdk1.2.2＼＼lib＼＼tools.jar", "read"; permission java.io.FilePermission "D:＼＼JRun3＼＼servers＼＼default＼＼default-app＼＼WEB-INF＼＼-", "read, write"; permission java.io.FilePermission "D:＼＼JRun3＼＼servers＼＼default＼＼default-app＼＼WEB-INF＼＼jsp, "delete"; permission java.io.FilePermission "<<ALL FILES>>", "execute"; / JRun を介してネイティブ Web サーバからドキュメントを使用可能にする場合は、次のアクセス権をコメント解除し、Web サーバのドキュメントルートに一致させます。/ // permission java.io.FilePermission "C:＼＼Inetpub＼＼wwwroot＼＼-", "read"; permission java.net.SocketPermission "127.0.0.1:8000", "accept,listen,resolve"; permission java.net.SocketPermission "127.0.0.1:8100", "accept,listen,resolve"; permission java.net.SocketPermission "127.0.0.1:1024-", "accept,resolve"; permission java.net.SocketPermission "127.0.0.1:51000", "accept,listen,resolve"; permission java.net.SocketPermission ".com", "connect,resolve"; permission java.net.SocketPermission ".org", "connect,resolve"; permission java.net.SocketPermission ".net", "connect,resolve"; permission java.util.PropertyPermission "*", "read"; permission java.lang.RuntimePermission "setIO"; permission java.lang.RuntimePermission "exitVM"; permission java.lang.RuntimePermission "stopThread"; permission java.lang.RuntimePermission "createClassLoader"; }

java.security への policy.url の追加

JRE が新規のセキュリティファイルを認識する前に、JRE の <java_home>/jre/lib/security/java.security ファイル内に、java.policy ファイルの policy.url を追加する必要があります。たとえば、ファイルに次の3 行を追加します。

policy.url.1=file:${java.home}/lib/security/java.policy

policy.url.2=file:${user.home}/.java.policy
policy.url.3=file:/D:/path/to/your_jrun.policy

既定の java.policy ファイルを変更し、それを既定の場所に配置しておいた場合は、java.security ファイル内に新しい場所を指定する必要はありません。

JMC での Java 引数の変更

新規のポリシーファイルを参照する java.security ファイルを JVM が読み込めるように、JVM への引数として java.security.manager を追加する必要があります。

JRun サーバにはそれぞれ独自の Java 引数セットがあり、JVM の初期設定時に JVM に渡されます。この設定値は、JRun サーバの local.properties ファイル内に user.javaargs として格納されています。このセクションでは、JMC を使用して user.javaargs プロパティの設定を変更する方法について説明します。

JVM の java.policy ファイルを指定するには

JMC の左側のペインで、[マシン名] > [JRun サーバ名] > [Java の設定] を選択します。
[Java の設定] パネルが表示されます。
右側のペインで [編集] をクリックします。
Java 設定値の編集ウィンドウが表示されます。
[Java 引数] フィールドで、JRun が JVM を起動するときに JVM 実行可能モジュールに渡す引数を入力します。次に例を示します。
```
-Djava.security.manager
```
変更を適用するには、[更新] ボタンをクリックします。
JRun サーバを再起動します。

ポリシーファイルの保護

ポリシーファイルを保護するには次のような方法があります。

JRun プロセスがファイルへの書き込み権限を持っていないファイルシステム上に java.policy および java.security ファイルを保存します。
ユーザがポリシーファイルを制御できないように、JMC へのアクセス権をユーザに与えないようにします。
user.javaargs プロパティは、JRun サーバの local.properties ファイルに保存されています。JRun サーバの local.properties ファイルを読み取り専用にすることによって、ユーザがポリシーファイルを制御できないようにすることができます。この方法を使用すると、ユーザに JMC へのアクセス権を与える一方で、それらの設定値をユーザが変更できないようにすることが可能です。

ページのサンプルポリシーファイルでは、JMC を介して JRun のプロパティファイルを変更する権限は設定されていません。ユーザ独自の JRun サーバの設定値をユーザが変更できるようにするには、JMC へのアクセス権をユーザに与え、プロパティファイルのディレクトリ内のファイルへの書き込み権限を追加します。

JMC ユーザの詳細は、"JMC ユーザの管理"を参照してください。

JRun システムの保護

分散環境でセキュリティを実装する場合には検討事項がいくつかありますが、このセクションでは、ユーザが実行できる次の JRun 固有のアクションについて説明します。

admin サーバの JWS をオフにします。既定の JRun インストールでは、admin JRun サーバなどの JRun サーバごとに Web サーバがセットアップされます。JWS のシャットダウンの詳細は、"JWS をオフにする方法"を参照
してください。
ホストベース認証を設定します。JRun には、JRun サーバと外部 Web サーバ間の通信を他者から防御する基本的なメカニズムが用意されています。この設定の詳細は、"コネクタのホストベース認証の設定"を参照してください。
admin サーバの JWS を SSL 対応にします。JRun では、Sun の JDK を使用する場合に JRun Web サーバ (JWS) を拡張するための Secure Socket Layer (SSL) プロトコルの使用がサポートされています。これにより、ユーザが安全なソケットを介してアクセスできるように、admin JRun サーバに SSL を適用できます。詳細は、『JRun セットアップガイド』を参照してください。
既定サーブレットを無効にします。

JWS をオフにする方法

JRun をインストールすると、default および admin の 2 つの JRun サーバと、これらのサーバに接続された 2 つの all-Java JWS が作成されます。既定では、これらの Web サーバはそれぞれポート 8000 と8100 で応答します。ほとんどの ISP では受信ポートアクセスをファイアウォールで制限していますが、使用しないサービスはオフにする必要があります。このセクションでは、JRun サーバの JWS をオフにする方法について説明します。

メモ

admin サーバの JWS をオフにすると、JMC を開くことができなくなります。JRun のリモート管理を行うには、admin JRun サーバをより強力な外部 Web サーバに接続する必要があります。リモート管理の詳細は、"外部 Web サーバを介した JMC へのリモートアクセス"を参照してください。

JWS をオフにするには

JRun サーバの local.properties ファイルを開きます。このファイルは、JRun のルートディレクトリ/servers/サーバ名/local.properties にあります。
サーブレットサービスの一覧から web を削除することによって、servlet.services プロパティからweb サービスを削除します。次に例を示します。
```
# was:servlet.services=jndi,jdbc,web,mail,url,{servlet.webapps},jcp
servlet.services=jndi,jdbc,mail,url,{servlet.webapps},jcp
```
JRun サーバを再起動します。

コネクタのホストベース認証の設定

JRun を実行するマシンと Web サーバを実行するもう 1 台のマシン間の接続を作成したら、承認されていないユーザが JRun サーバにアクセスできないようにする必要があります。これを行うために、JRun には、JRun コネクタ用のホストベース認証が用意されています。これにより、IP アドレスの定義済みセットのホストだけが、JRun サーバに要求を送信できるようになります。

JRun 管理コンソール (JMC) の [外部 Web サーバ] パネルを使用すると、特定の JRun サーバと通信可能な IP アドレスを指定できます。現在、外部 Web サーバと JRun サーバの間のトラフィックを保護するための SSL やその他の暗号化テクノロジを使用することはできません。

メモ

既定の設定では、JRun サーバは「すべての」 IP アドレスからの要求を受け付けます。

Web サーバと JRun 間の接続をロックするには

JMC の左側のペインで、[マシン名] >[JRun サーバ名] > [外部 Web サーバ] を選択します。

メモ

外部 Web サーバに JRun サーバを接続する際に、コネクタウィザードをまだ実行していない場合は、コネクタウィザードを実行するように要求されます。

[外部 Web サーバ] パネルが表示されます。

右側のペインで、[外部 Web サーバアドレス] フィールドをクリックします。
外部 Web サーバの編集ウィンドウが表示されます。
IP アドレスを入力します (複数の場合はカンマで区切ります)。JRun サーバは、それらの IP アドレスを持っている Web サーバからの要求にのみ応答します。「*」を入力すると、すべての Web サーバが JRun に要求を送信できるようになります。
変更を適用するには、[更新] ボタンをクリックします。
JRun サーバを再起動します。

既定のサーブレットの無効化

セキュリティ上の理由から、JRun に付属およびインストールされている既定のサーブレットを無効にできます。これらのサーブレットには次のものがあります。

allaire.jrun.servlets.JRunStats (global.properties 内でのエイリアスは JRunStats)
allaire.jrun.servlets.MetricsServlet

これらのサーブレットは、すべての JRun サーバにインストールされ、アクティブになっています。既定値 "True" を使用して、これらのサーブレットに対して新しい初期化パラメータ “enabled” を指定できます。このパラメータを False に設定すると、サーブレット初期化時に UnavailableException が返されます。これによって、サーブレットの起動が阻止されます。ブラウザでは、このサーブレットにユーザがアクセスしようとすると、内部サーバエラー(500) が表示されます。

"enabled" パラメータを False に設定するには次の方法があります。

global.properties または local.properties ファイル内にグローバルサーブレットエイリアスを作成し、"enabled" 初期化パラメータを False に設定します。たとえば、次の行をプロパティファイルに追加します。
```
allaire.jrun.servlets.MetricsServlet.class=allaire.jrun.servlets.
MetricsServlet
allaire.jrun.servlets.MetricsServlet.enabled=false
```
プロパティファイル内でサーブレットの初期化パラメータのエイリアスを作成し、設定するための構文は次のとおりです。
[alias].class=[class] [alias].[initParam1]=[value1]
次に例を示します。
file.class=allaire.jrun.file.FileServlet file.enabled=false
すでにエイリアスが作成されている JRunStats の場合は、次の行のみを追加してください。
JRunStats.enabled=false
PropertyScript ツールを使用すると、JRun プロパティファイルをプログラムで変更できます。詳細は、30 ページの「JRun プロパティのカスタマイズ」を参照
してください。

web.xml ファイル内で初期化パラメータを設定します。たとえば、次の行を web.xml ファイルに追加します。

<servlet>
 <servlet-name>allaire.jrun.servlets.MetricsServlet</servlet-name>
 <servlet-class>allaire.jrun.servlets.MetricsServlet</servlet-class>
 <init-param>
  <param-name>enabled</param-name>
  <param-value>false</param-value>
 </init-param>
</servlet>

invoker サーブレットの無効化

JRun は、文字列/サーブレットが含まれている URI を JRun invoker サーブレットに関連付ける、暗黙的なサーブレットマッピング機能を備えています。invoker サーブレットを使用すると、サーブレットのクラスファイルを、Web アプリケーションのクラスパス内の任意のディレクトリにコピーし、サーブレットを登録せずに参照できます。未登録のサーブレットを参照するには、フォーム内で URL を使用します。

http://local_host/app1/servlet/サーブレットのクラス名

セキュリティおよびパフォーマンス上の理由から、必ず、すべてのサーブレットについて明示的なマッピングを定義してください。invoker サーブレットに全面的に依存しないでください。運用アプリケーションでは、次のマッピングを global.properties ファイルからコメント化してください。

webapp.servlet-mapping./servlet=invoker

JRun 拡張設定ガイド
ホスティング/ISP