java - 将 JBoss AS 作为 *nix 服务运行时创建文件的权限被拒绝

Question

主要问题

我已经成功设置了一个 JBoss 临时服务器作为 Linux 服务运行(Debian 发行版，更具体地说是 Linux Mint 15)。

当我运行服务时(不使用根配置文件 = no sudo):

~ $ service jboss start

一切工作正常，除了一个模块，我曾经在其中创建一个文件来写入一些报告内容，并且似乎由于权限限制而拒绝创建文件。

我创建新文件的代码来源如下:

// My Report class constructor
public class Report

   private BufferedWriter writer;

   public Report() throws IOException
   {
      final File reportFile =
         new File("report-" + new SimpleDateFormat("dd-MMM-yy-HH-mm").format(new Date()) + ".txt");

      AccessController.doPrivileged(new PrivilegedExceptionAction<Void>()
      {
         public Void run() throws IOException
         {
            writer = new BufferedWriter(new OutputStreamWriter(new FileOutputStream(reportFile)));
            return null;
         }
      });
   }
...
}

public class ReportGenerator {
   ...
   public void createNewReport() {
      //Here is where the Report is created
      Report report = new Report();
      ...
   }
}

所有的痛苦显然来自于我将 AS 作为 *nix 服务启动这一事实，但这对我来说似乎很奇怪，因为我已经完成了我可以做的所有说明，下面是一些小提示。

我尝试绕过此安全限制的方法

• 我已将jboss-user设置为jboss服务脚本的所有者:

  ~ $ sudo chown jboss-user:jboss-group /etc/init.d/jboss
  

• 我尝试以简单的方式运行该服务:

  ~ $ service jboss start
  

  然后尝试确保它以 jboss-user 作为用户运行:

  ~ $ sudo -u jboss-user service jboss start
  

• After some debugging sessions, I realized that initially the reportFile was created under the root folder ("/"), so I managed to initialize the user.dir system property and set it up to a directory path (/report) under jboss-user home directory (to make sure the user have read/write permissions):

  JAVA_OPTS="${JAVA_OPTS} -Duser.dir="/home/jboss-user/report""
  

  ls -l/home/jboss-user 显示 report 文件下的所有用户都允许执行所有操作:

  drwxrwxrwx 9 jboss-user jboss-user 4096 juil. 21 10:16 report

• 我添加了一个 SecurityManager 并声明了一个安全策略文件:

  JAVA_OPTS="${JAVA_OPTS} -Djava.security.manager -Djava.security.policy=/home/jboss-user/.java.policy"
  

  /home/jboss-user/.java.policy 具有以下内容(授予所有权限):

  grant {
    permission java.security.AllPermission;
  };
  

  还尝试显式添加文件权限

  grant codeBase "file:${jboss.home}/*" {
    permission java.io.FilePermission "${user.home}${/}*", "write, read";
  };
  grant {
    permission java.security.AllPermission;
  };
  

应用上述所有技巧后，我仍然无法创建文件，并且仍然堆栈有:

PrivilegedExceptionAction: Permission Denied

我也尝试过使用目录权限、jboss 服务脚本所有者、java 策略规则，但这些都没有成功。

我应该指出的另一个附录是，基本上从启动脚本运行 JBoss AS 时没有问题，并且我可以成功创建我的文件。

Answer 1

假设您在系统上创建了一个 jboss 用户。我认为这是因为您使用的是路径 /home/jboss-user/report。

这意味着，如果您运行命令 grep -n "jboss-user"/etc/passwd，您应该在输出中看到一些内容，表明 1) 系统上有一个 jboss-user，2) 该用户的用户主目录是 /home/jboss-user。

您在OP中提到您正在尝试使用命令sudo -u exo service jboss start启动服务。

但是这个命令实际上并不是用 jboss-user 启动服务，而是用 exo 用户启动服务。试试这个:

sudo -u jboss-user service jboss start

此外，ls -a/home/jboss-user 的输出是什么？看起来 /home/jboss-user/report 目录上的文件权限应该允许该操作，但如果 /home/jboss-user 上的权限不允许 exo 用户访问 /home/jboss-user/report 目录，则可能是问题所在。