2. 程式人生 > 其它 >ES外掛程式碼的執行許可權問題

ES外掛程式碼的執行許可權問題

阿新 發佈:2021-10-27

一、問題描述

es的ik外掛需要使用jdbc訪問資料庫,所以需要在plugin-security.policy裡配置SocketPermission,但是配置好並重啟es卻依然出現了下列錯誤:

Caused by: java.security.AccessControlException: access denied ("java.net.SocketPermission" "172.16.20.213:3306" "connect,resolve")
  at java.security.AccessControlContext.checkPermission(AccessControlContext.java:472) ~[?:?]
  at java.security.AccessController.checkPermission(AccessController.java:1036) ~[?:?]
  at java.lang.SecurityManager.checkPermission(SecurityManager.java:408) ~[?:?]
  at java.lang.SecurityManager.checkConnect(SecurityManager.java:910) ~[?:?]
  at java.net.Socket.connect(Socket.java:599) ~[?:?]
  at com.mysql.jdbc.StandardSocketFactory.connect(StandardSocketFactory.java:213) ~[mysql-connector-java-5.1.34.jar:5.1.34]

看樣子配置是沒有起作用,多次重啟後還是這個錯誤,在網上搜索相關解決方案,臨時在es自帶的jdk裡修改jdk/conf/security/java.policy後才解決。

二、原因分析

可能的原因:

  • es讀取的外掛許可權策略不適用於外掛的依賴包?
    • 依賴包裡有httpclient依賴包,且網路請求都正常,不可能只針對jdbc做特殊限制
    • 檢視許可權校驗的相關程式碼得知,許可權策略適用於本外掛目錄下的所有jar包,所以排除此猜測
  • mysql的依賴包不在本外掛目錄下,導致許可權策略沒載入上?
    • 仔細查詢jdbc的依賴包,在本外掛目錄下確實不存在,最後發現放在了es的lib目錄下(官方安裝包裡並沒有此JDBC依賴),雖然啟動時不會報ClassNotFoundException
      異常,但是配置的許可權卻沒有賦給此jar包,最終出現在jdk裡配置才有效的錯覺。

ES外掛的許可權配置及許可權校驗的大致流程:

  • 首先在org.elasticsearch.bootstrap.Bootstrap的setup方法裡會呼叫org.elasticsearch.bootstrap.Security.configure方法
  • 例項化ESPolicy替換Java的安全策略。過程中呼叫getPluginAndModulePermissions方法獲取各外掛和模組中jar包的訪問策略,最終ESPolicy.plugins裡儲存的KV:<外掛或模組目錄下的每個Jar包路徑, Jar包所屬外掛或模組目錄下配置的策略
    >
  • 執行時會通過ESPolicy.implies方法校驗目的碼是否有許可權,原始碼如下:
// 程式碼位置:org.elasticsearch.bootstrap.ESPolicy
public boolean implies(ProtectionDomain domain, Permission permission) {
    CodeSource codeSource = domain.getCodeSource();
    // codesource can be null when reducing privileges via doPrivileged()
    if (codeSource == null) {
        return false;
    }

    URL location = codeSource.getLocation();
    // https://bugs.openjdk.java.net/browse/JDK-8129972
    if (location != null) {
        // run scripts with limited permissions
        if (BootstrapInfo.UNTRUSTED_CODEBASE.equals(location.getFile())) {
            return untrusted.implies(domain, permission);
        }
        // plugins已經儲存了每個Jar包路徑對應的Policy
        // 這裡根據目的碼所屬的Jar包路徑,找到對應的Policy進行許可權校驗
        Policy plugin = plugins.get(location.getFile());
        if (plugin != null && plugin.implies(domain, permission)) {
            return true;
        }
    }

    // 省略後續程式碼片段...
}

三、解決及總結

最終解決方式:

  1. 把ES_HOME下lib裡的JDBC移動到當前外掛目錄下
  2. 還原在jdk裡配置的訪問策略(按需在各自模組中配置許可權更安全)
  3. 重啟ES後,問題解決

總結:
由於ES啟動後在程式裡設定了自定義的Java許可權策略,所以在各外掛裡必須配置用到的許可權。JDBC的網路許可權配置不生效的原因是沒有按規範把JDBC的jar包放在外掛目錄下,導致JDBC的訪問策略為空,最終在執行時報無許可權的錯誤。所以在未知影響範圍的情況下,禁止往ES的lib目錄下放依賴Jar包,避免Jar包衝突和程式碼許可權等問題。

相關推薦

ES外掛程式碼執行許可權問題

一、問題描述 es的ik外掛需要使用jdbc訪問資料庫,所以需要在plugin-security.policy裡配置SocketPermission,但是配置好並重啟es卻依然出現了下列錯誤:

如何使用VSCode 執行除錯外掛程式碼

VSCode 執行外掛,現在我們對這個外掛的實現方式和註冊方式已經有了瞭解,下面就到了執行和除錯程式碼的時候了。VS Code 的外掛程式碼腳手架已經為我們提供了 launch.json ,所以我們只需要按下 F5 即可啟動程式碼

如何基於python測量程式碼執行時間

這篇文章主要介紹瞭如何基於python測量程式碼執行時間,文中通過示例程式碼介紹的非常詳細,對大家的學習或者工作具有一定的參考學習價值,需要的朋友可以參考下

解析PyCharm Python執行許可權問題

先通過 which python 獲得 python 指令所在路徑: $ which python /usr/bin/python 如上得到了其所在路徑是 /usr/bin/python ,因此我建立了一個檔案 ~/bin/python-sudo.sh ,然後填入:

mysql程式碼執行結構例項分析【順序、分支、迴圈結構】

本文例項講述了mysql程式碼執行結構。分享給大家供大家參考,具體如下: 本文內容:

Java註釋程式碼執行方法解析

直接上程式碼: @Test public void testUnicode() { String a = \"Hello\"; // \\u000d a=\"world\"; System.out.println(a);

使用Jacoco獲取 Java 程式的程式碼執行覆蓋率

Jacoco是Java Code Coverage的縮寫,顧名思義,它是獲取Java程式碼執行覆蓋率的一個工具,通常用它來獲取單元測試覆蓋率。它通過分析Java位元組碼來得到程式碼執行覆蓋率,因此它還可以分析任何基於JVM的語言(如Cro

Python程式碼執行時間測量模組timeit用法解析

1.timeit模組 timeit模組可以用來測試一小段python程式碼執行速度 class timeit.Timer(stmt = \'pass\',setup = \'pass\',timer=<timer function>)

python如何使用程式碼執行助手

python程式碼執行助手是能在網頁上執行python語言的工具。因為python的執行環境在很多教程裡都是用dos的,黑乎乎的介面看的有點簡陋,所以出了這python程式碼執行助手,作為ide。

Apache Shiro反序列化遠端程式碼執行復現

最近也是看shiro漏洞比較多,所以自己也在本地復現了一下,拿出來與大家一起分享

CVE-2020-5902 F5 BIG-IP 遠端程式碼執行RCE

cve-2020-5902 : RCE:curl -v -k \'https://[F5 Host]/tmui/login.jsp/..;/tmui/locallb/workspace/tmshCmd.jsp?command=list+auth+user+admin\'

python如何監控PostgreSQL程式碼執行

如何監控PostgreSQL儲存過程/函式程式碼執行?本文介紹用python+微信/郵件的方式進行報警、監控。

CVE-2020-5902 F5 BIG-IP 遠端程式碼執行漏洞

CVE-2020-5902 F5 BIG-IP 遠端程式碼執行漏洞復現 漏洞介紹 F5 BIG-IP 是美國 F5 公司的一款集成了網路流量管理、應用程式安全管理、負載均衡等功能的應用交付平臺。

CVE-2020-5902 F5 BIG-IP 遠端程式碼執行漏洞復現

CVE-2020-5902 F5 BIG-IP 遠端程式碼執行漏洞復現 漏洞介紹 F5 BIG-IP 是美國 F5 公司的一款集成了網路流量管理、應用程式安全管理、負載均衡等功能的應用交付平臺。

F5 BIG-IP 遠端程式碼執行漏洞復現(CVE-2020-5902)

0x01 漏洞詳情 F5 BIG-IP 是美國F5公司一款整合流量管理、DNS、出入站規則、web應用防火牆、web閘道器、負載均衡等功能的應用交付平臺。

F5 BIG-IP 遠端程式碼執行RCE(CVE-2020-5902)復現

漏洞簡介 F5 BIG-IP 是美國``F5公司一款整合流量管理、DNS、出入站規則、web應用防火牆、web閘道器、負載均衡等功能的應用交付平臺。

CVE-2020-0674 IE遠端程式碼執行漏洞

0x00 漏洞描述 該漏洞影響元件為jscript.dll,該動態連結庫是微軟Internet Explorer瀏覽器的Javascript引擎之一,其中IE8及以下使用jscript.dll,IE9及以上預設使用jscript9.dll,但網頁可以通過《script》標籤指定

Joomla-3.4.6遠端程式碼執行漏洞復現

#01 Joomla簡介 Joomla!是一套自由、開放原始碼的內容管理系統,以PHP撰寫,用於釋出內容在全球資訊網與內部網,通常被用來搭建商業網站、個人部落格、資訊管理系統、Web 服務等,還可以進行二次開發以擴充使用範圍。

OrientDB <= 2.22程式碼執行

0x01 關於OrientDB 今天腦子疼,過來複現下這個古老的漏洞,全程借鑑網上大佬分析,主要還是加強對OrientDB的瞭解。OrientDB是一個分散式圖形資料庫引擎,具有文件資料庫的擴充套件,整合的產品。第一個也是最好的可

Jenkins-CI 遠端程式碼執行漏洞復現(CVE-2017-1000353)

0x01 環境 使用vulhub搭建漏洞環境 /vulhub-master/jenkins/CVE-2017-1000353 http://192.168.255.130:8080/