Security Manager konfigurieren

[deamon]

Hallo,

ich will per Java Security Manager einem Java-Programm bestimmte Aktionen verbieten (bzw. nicht erlauben). Meine Annahme war, dass alles, was in der Policy-Datei nicht erlaubt ist, verboten ist.

Zum Test habe ich ein Programm geschrieben, dass mit System.exit(0) die JVM beendet. In der Policy-Datei ist nichts erlaubt, sprich im "grant"-Abschnitt wird keine "permission" gewährt. Trotzdem kann sich das Programm ohne Exception beenden.

Die Policy-Datei:

grant{
  //permission java.lang.RuntimePermission "exitVM"; // genau dieses Recht müsste man entziehen
};

Das Java-Programm

public class Ende{

	public static void main(String[] args){
		System.out.println("gleich ist Schluss");
		System.exit(0);
	}
	
}

Aufruf auf der Konsole:

java -Djava.security.manager -Djava.security.policy=mypolicy Ende

Soweit ich verstanden habe, ersetzt die Policy die anderen Policies. Oder kommen dadurch nur Rechte hinzu? Wenn ja, wie entzieht man dann Rechte?

 

[deamon]

Ich habe es nun noch mit einer anderen Variante beim Aufruf propiert und zwei statt einem =-Zeichen verwendet, wodurch andere Policy-Dateien außer Kraft gesetzt werden sollen:

java -Djava.security.manager -Djava.security.policy==mypolicy Ende

Geändert hat das aber nix.

Ich habe sogar noch in der zentralen Policy alle Rechte auskommentiert (obwohl exitVm da nicht mal enthalten war), aber auch das hat nichts gebracht (mit einem oder zwei Gleichheitszeichen beim Aufruf).

 

[deamon]

Neueste Erkenntnis: Prinzipiell geht es nur anscheinend nicht mit allen Berechtigungen. Wenn ich eine Datei schreiben will, wird das mit der obigen Policy verweigert, so lange ich darin nicht explizit das Recht dazu einräume.

Jetzt stellt sich mir die Frage, warum sich das Programm dann selbst beenden darf, ohne dass es erlaubt wurde.