LINUX.ORG.RU

Java от рута


0

2

Насколько безопасна жава от рута? Дали поиграться с сервером, хостящим одну кубическую игрушку. Все ее процессы запущены от рута. Это нормально, безопасно, или стоит все же рассадить все серверы по своим пользователям или даже по chroot'ам?

Перемещено post-factum из talks



Последнее исправление: Arrest (всего исправлений: 1)

зависит от приложения. Там вполне может быть в коде Runtime.getRuntime().exec(«rm -rf /») и оно выполнится. Никаких ограничений в поставке джавы по умолчанию для приложений нет.
Формально, получить доступ к исполняющемуся джава-коду в рантайме очень сложно а заставить его выполнить свой код - еще сложнее, даже имея ssh доступ к серверу) Я бы просто перезапустил бы от нормального пользователя сервер.
В моей практике сервера работают от обычных пользователей, не от рута.

JFreeM ★★★☆
()

хотя нет, соврал. Были случаи, когда джава сервер прописывался в /etc/init.d как сервис и в таком случае запускался от рута. Не знаю, насколько это безопасно.

JFreeM ★★★☆
()

Я думаю лучше такой вопрос в Security поместить

luke ★★★★★
()

Arrest

Насколько безопасна жава от рута?

зачем? почему нельзя от юзеров? лениво? ну ССЗБ.

drBatty ★★
()

Насколько безопасна жава от рута?

Опасность от 8 до 10 по десятибальной шкале. Срочно ограничить!

CYB3R ★★★★★
()

не опаснее ружья, приставленного к яйцам. Пока кто-нибудь не нажмет на курок - не выстрелит ;-)

Pinkbyte ★★★★★
()
Ответ на: комментарий от Arrest

а строчки кода, приведенной выше(Runtime.getRuntime().exec(«rm -rf /»)) не достаточно? Вообще тут вопрос не конкретно к Java. Отстрелить яйца можно где угодно. Вопрос в том: если можно что-то полноценно запустить НЕ из под рута, зачем это запускать из под рута? А что там - вопрос десятый...

Pinkbyte ★★★★★
()
Ответ на: комментарий от Pinkbyte

s/где угодно/под рутом где угодно/

быстрофикс

Pinkbyte ★★★★★
()

Естественно это нормально!
На винде же игровые сервера почти поголовно работают от «рута».

Брось, че с ним может случиться!
Не стоит заморачиваться и мешать работать барыгам дедиками.

winddos ★★★
()

В яве периодически находят всякие уязвимости. Если есть возможность, лучше пускать от обычного пользователя.

Legioner ★★★★★
()

Все ее процессы запущены от рута.

Ну выжрет всю память. Засрёт SWAP при неадекватности поведения...

Это нормально, безопасно

Вполне. (Это же непонятно где текущий из всех щелей код, написанный на C/C++). Стоит опасаться только «внутреннего» DoS'а из-за быдлокода, выжирающего память.

по chroot'ам?

Тогда уж по jail'ам. ;)

iZEN ★★★★★
()
Ответ на: комментарий от Legioner

В яве периодически находят всякие уязвимости.

хорошая шутка.jpg
Последняя уязвимость что я помню была год назад и про песочницу, в которой выполняются апплеты.

JFreeM ★★★☆
()
Ответ на: комментарий от JFreeM

Последняя уязвимость что я помню была год назад и про песочницу, в которой выполняются апплеты.

гг, http://www.opennet.ru/opennews/art.shtml?num=33094

15.02.2012
устранено 14 уязвимостей. Подробности об устраненных уязвимостях не сообщаются, но пяти проблемам присвоен максимальный уровень опасности.

hizel ★★★★★
()

Чаще всего запускают от обычного юзера с uid 1000 +

Насколько безопасна жава от рута?

Это настолько же безопасно как и не мыть руки перед едой и не мыть фрукты и.т.д. Некоторые годами не моют и ничего, а некоторые салфеткой протрут на улице раз в году рискуя и все кишечная.
Но скорей всего больше проблем будет от того что со временем ява все сожрет, а OOM Killer убьет максимально все кроме самой явы.

anonymous_sama ★★★★★
()
Ответ на: комментарий от ef37

Даже если и надо слушать 80-й порт, необходимость запускать софт от рута отсутствует, т.к. существуют:
1) iptables
2) Linux capabilities.

Deleted
()

Нет, это совершенно небезопасно. Рассадить по разным пользователям.

Deleted
()

Опасность внутреннего быдлокода. Срочно поправить надо

vertexua ★★★★★
()

ничего от рута не безопасно, особенно быдлокод на жабопистонах

anonymous
()
Ответ на: комментарий от Deleted

Ещё есть подход apache tomcat. Там запускается нативный процесс от рута и форкается в джаву, джава понижается до юзера, а нативный процесс открывает 80 порт и через пайпы обменивается информацией с джавой. commons-daemon, если не ошибаюсь. Никаких настроек ОС не нужно, ну и переносимо на другие юниксы, по идее.

Legioner ★★★★★
()
Ответ на: комментарий от Legioner

Да, я знаю. Но тут ИМХО проще NAT.

Deleted
()

одну кубическую игрушку

кубическую игрушку

это то о чем я думаю?

havelite
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.