我可以使用Java策略文件安全地運行帶有sudo的不受信任的應用程序

Question

我正在運行一個值得信賴的（我的世界）J2SE應用程序，但可能包含完全不受信任的（甚至可能是一些敵對的）插件。

我想創建一個可以訪問Raspberry PI上的GPIO引腳的插件。

我見過的每個解決方案都要求爲sudo-superpowers提供這樣的應用程序，因爲可以通過直接內存訪問來訪問gpio。

看起來正確的解決方案是提供一個命令行選項是這樣的：

-Djava.security.policy=java.policy 

這似乎是你默認是沒有權限（甚至訪問文件和高端口），然後添加那些您的應用需要重新加入策略文件。

實際上，你似乎給了Java「sudo」權力，然後信任java的安全模型，只給予各種類適當的權力。我猜這使得應用程序安全地與sudo一起運行 - 這是正確的嗎？

有趣的是，自從1.0以來我每天都在使用Java，而且從未需要這些......每天都會學到新的東西。

Answer 1

[免責聲明：我不是由Java安全模型很不服氣。]

我會解決這個問題的方法是有一個需要訪問硬件運行作爲一個獨立的特權過程代碼，然後讓Java應用程序作爲非特權進程運行，並連接到特權進程以使其代表它執行某些操作。

在特權進程中，您應該檢查每個請求最大程度的不信任是否安全執行。如果您擔心其他未經授權的進程也可能連接到守護進程並使其執行不應該執行的命令，那麼您可以通過一個用C編寫的小封裝器將它的套接字歸入特定組，它開始了。

Unix域套接字可能是最好的選擇，但如果你想要chroot() Java應用程序，可能需要TCP/IP套接字。