Permisos del archivo filter.policy

La seguridad de Java™ 2 utiliza varios archivos de políticas para determinar qué permisos se han concedido a cada programa Java. El filtro de la política de seguridad de Java 2 sólo se aplica cuando está habilitada la seguridad de Java 2.

Antes de modificar el archivo filter.policy, debe iniciar la herramienta wsadmin.

Consulte el apartado Protección de los recursos y las API del sistema (seguridad de Java 2) para el desarrollo de aplicaciones. La política de filtrado definida en el archivo filter.policy es para toda la célula. El archivo filter.policy es el único archivo de política que se utiliza para restringir el permiso en lugar de otorgarlo. Los permisos listados en el archivo de política de filtro se filtrarán a partir de los archivos app.policy y was.policy. Los permisos definidos en los demás archivos de política no se verán afectados por el archivo filter.policy.

Cuando un permiso se filtra, se registrará un mensaje de auditoría. Sin embargo, si los permisos definidos en los archivos app.policy y was.policy son permisos compuestos como, por ejemplo, el permiso java.security.AllPermission, el permiso no se suprime. Se anota cronológicamente un mensaje de aviso. Si el distintivo Emitir aviso de permiso está habilitado (valor predeterminado) y los archivos app.policy y was.policy contienen permisos personalizados (permiso de la API no Java, el nombre del paquete del permiso empieza por caracteres distintos de java o javax), se registrará un mensaje de aviso y el permiso no se eliminará. Puede cambiar el valor de la opción Avisar si se otorgan permisos personalizados a las aplicaciones en el panel de Seguridad global. No se recomienda utilizar el permisoAllPermission para la aplicación empresarial.

En el archivo filter.policy hay definidos algunos permisos predeterminados. Estos son los permisos mínimos recomendados por el producto. Si se añaden más permisos al archivo filter.policy, algunas de las operaciones de las aplicaciones empresariales pueden fallar. Preste atención cuando añada permisos al archivo filter.policy.

No puede utilizar la herramienta Policy Tool para editar el archivo filter.policy. La edición debe llevarse a cabo en un editor de texto. Preste atención y asegúrese de que el archivo filter.policy no contenga errores de sintaxis. Si hay errores de sintaxis en el archivo filter.policy, la ejecución de la seguridad del producto no lo cargará, lo que significa que el filtro está inhabilitado.

Para extraer el archivo filter.policy, escriba el mandato siguiente utilizando la información del entorno:

[AIX Solaris HP-UX Linux Windows]

set obj [$AdminConfig extract cells/nombre_célula/filter.policy c:/temp/test/filter.policy]

[IBM i][z/OS]

set obj [$AdminConfig extract cells/nombre_célula/filter.policy /temp/test/filter.policy]

Para comprobar el archivo de políticas, escriba el mandato siguiente utilizando la información de su entorno:

[AIX Solaris HP-UX Linux Windows]

[AIX Solaris HP-UX Linux Windows]$AdminConfig checkin cells/nombre_célula/filter.policy c:/temp/test/filter.policy $obj

[IBM i][z/OS]

$AdminConfig checkin cells/nombre_célula/filter.policy /temp/test/filter.policy $obj

El archivo filter.policy actualizado se aplicará a todas las aplicaciones empresariales de WebSphere Application Server después de reiniciar los servidores. El archivo filter.policy lo gestiona la configuración y los servicios de duplicación de archivos.

Los cambios realizados en este archivo se duplican en otros nodos de la célula.

[AIX Solaris HP-UX Linux Windows][z/OS]El archivo filter.policy que se proporciona con WebSphere Application Server se encuentra en: raíz_servidor_aplicaciones/profiles/profile_name/config/cells/nombre_célula/filter.policy.

[IBM i]El archivo filter.policy que se proporciona con WebSphere Application Server se encuentra en: raíz_perfil/config/cells/nombre_célula/filter.policy.

Este archivo contiene estos permisos por omisión:

filterMask {
permission java.lang.RuntimePermission "exitVM";
permission java.lang.RuntimePermission "setSecurityManager";
permission java.security.SecurityPermission "setPolicy";
permission javax.security.auth.AuthPermission "setLoginConfiguration"; };
runtimeFilterMask {
permission java.lang.RuntimePermission "exitVM";
permission java.lang.RuntimePermission "setSecurityManager";
permission java.security.SecurityPermission "setPolicy";
permission javax.security.auth.AuthPermission "setLoginConfiguration"; };

Los permisos definidos en el filtro filterMask son para el filtro de política estática. La ejecución de seguridad intenta eliminar los permisos de las aplicaciones durante el inicio de la aplicación. Los permisos compuestos no se suprimen sino que se emiten con un aviso y se detendrá el despliegue de aplicaciones si las aplicaciones contienen los permisos definidos en el filtro filterMask y se utilizan scripts. El filtro runtimeFilterMask define permisos utilizados por la ejecución de la seguridad para denegar el acceso a dichos permisos a la hebra de la aplicación. No añada más permisos al filtro runtimeFilterMask. Puede producirse un error de arranque de la aplicación o un funcionamiento incorrecto. Preste atención cuando añada más permisos al filtro runtimeFilterMask. Por lo general, sólo es necesario añadir permisos a la stanza filterMask.

WebSphere Application Server se basa en el archivo de política de filtro para restringir o prohibir determinados permisos que pueden comprometer la integridad del sistema. Por ejemplo, WebSphere Application Server considera los permisos exitVM y setSecurityManager como permisos que la mayor parte de las aplicaciones no tienen nunca. Si se conceden estos permisos, es posible que ocurra lo siguiente:
exitVM
Un servlet, un archivo JSP (JavaServer Pages), un enterprise bean u otra biblioteca utilizada por una aplicación podría llamar a la API System.exit() y terminar todo el proceso de WebSphere Application Server.
setSecurityManager
Una aplicación puede instalar su propio gestor de seguridad y otorgar más permisos o ignorar la política por omisión que implementa el gestor de seguridad de WebSphere Application Server.
Importante: En el código de aplicación, no utilice el permiso setSecurityManager para establecer un gestor de seguridad. Cuando una aplicación utiliza el permiso setSecurityManager, hay un conflicto con el gestor de seguridad interno de WebSphere Application Server. Si debe configurar un gestor de seguridad en una aplicación para fines RMI (Remote Method Invocation), también debe seleccionar la opción Utilizar la seguridad de Java 2 para limitar el acceso de las aplicaciones a los recursos locales en el panel Seguridad global en la consola administrativa de WebSphere Application Server. A continuación, WebSphere Application Server registra un gestor de seguridad, que el código de la aplicación puede verificar que está registrado utilizando la interfaz de programación de aplicaciones (API) System.getSecurityManager.

Para que el archivo filter.policy actualizado entre en vigor, reinicie los procesos Java relacionados.


Icon that indicates the type of topic Reference topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rsec_filterpolicy
File name: rsec_filterpolicy.html