Sichere Debugging für die Produktion JVMs

Wir haben einige Anwendungen, die manchmal in einem schlechten Zustand, aber nur in der Produktion (natürlich!). Während der Einnahme ein heap-dump kann helfen, sammeln Sie Status-Informationen, ist es oft einfacher, einen remote-debugger. Die Einstellung ist leicht -- man muss nur hinzufügen, dass dies auf seinen Befehl Linie:

-Xdebug -Xrunjdwp:transport=dt_socket,server=y,suspend=n,address=PORT

Scheint es keine verfügbaren Sicherheits-Mechanismus, also einschalten debugging in der Produktion würde der effektive Ausführung von beliebigem code ermöglichen (via hotswap).

Haben wir einen mix von 1.4.2 und 1.5 Sun-JVM unter Solaris 9 und Linux (Redhat Enterprise 4). Wie können wir ermöglichen das sichere debugging? Andere Wege, unser Ziel zu erreichen, Produktions-server inspection?

Update: Für JDK 1.5+ JVMs, kann man angeben, ein interface und port, an den der debugger sollte binden. So, KarlP Vorschlag von Bindung auf loopback und nur mit einem SSH-tunnel zu einem lokalen Entwickler-box funktionieren sollte gegeben SSH korrekt eingerichtet ist, auf den Servern.

Allerdings scheint es, dass JDK1.4x nicht erlauben, eine Schnittstelle spezifiziert, die für die debug-port. So können wir entweder blockieren Sie den Zugriff auf den debug-port irgendwo im Netz oder einige system-spezifische Blockierung im Betriebssystem selbst (IPChains als Jared vorgeschlagen, etc.)?

Update #2: Dies ist ein hack, lassen Sie uns begrenzen unser Risiko, auch auf 1.4.2 JVM:

Befehl Linie params:

-Xdebug
-Xrunjdwp:
    transport=dt_socket,
    server=y,
    suspend=n,
    address=9001,
    onthrow=com.whatever.TurnOnDebuggerException,
    launch=nothing

Java-Code zu aktivieren debugger:

try {
    throw new TurnOnDebuggerException();
} catch (TurnOnDebugger td) {
   //Nothing
}

TurnOnDebuggerException werden kann-ohne Ausnahme garantiert nicht geworfen werden, sonst nirgends.

Getestet habe ich diese auf einer Windows box um zu beweisen, dass (1) der debugger-port keine verbindungen empfangen werden zunächst, und (2) werfen die TurnOnDebugger Ausnahme, wie oben gezeigt, bewirkt, dass der debugger lebendig zu werden. Der Start-parameter erforderlich war (zumindest auf JDK1.4.2), aber einen Müll-Wert behandelt wurde, die sich anmutig durch die JVM.

Planen wir für Sie eine kleine servlet, das sich hinter entsprechende Sicherheit, kann es uns ermöglichen, schalten Sie den debugger. Natürlich kann man ihn nicht ausschalten danach, und der debugger noch hört promiscuously einmal seine auf. Aber, dies sind die Einschränkungen, die wir bereit sind zu akzeptieren, wie das Debuggen eines Produktionssystems wird immer nur ein Neustart danach.

Update #3: ich landete schriftlich drei Klassen: (1) TurnOnDebuggerException, ein plain 'ol Java-Ausnahme, (2) DebuggerPoller, einen hintergrund-thread, der überprüft das Vorhandensein einer bestimmten Datei auf dem Dateisystem, und (3) DebuggerMainWrapper, a-Klasse, startet das polling-thread und dann nachdenklich ruft die main-Methode der anderen Klasse.

Dies ist, wie Ihre verwendet:

  1. Ersetzen "main" - Klasse mit DebuggerMainWrapper in Ihrem start-up-Skripte
  2. Fügen Sie zwei system (-D) params, eine Angabe, die eigentliche Haupt-Klasse und das andere die Angabe einer Datei auf dem filesystem.
  3. Konfigurieren Sie den debugger von der Kommandozeile mit der onthrow=com.was auch immer.TurnOnDebuggerException Teil Hinzugefügt
  4. Fügen Sie ein Glas mit den drei Klassen, die oben erwähnten, um den classpath.

Nun, wenn Sie, starten Sie die JVM ist alles das gleiche, außer, dass ein hintergrund-poller-thread gestartet wird. Vorausgesetzt, dass die Datei (von uns genannt wird TurnOnDebugger) nicht ursprünglich vorhanden ist, die poller überprüft es alle N Sekunden. Wenn der poller zunächst bemerkt es, wirft es und sofort ins TurnOnDebuggerException. Dann wird der agent gestartet.

Können Sie nicht schalten Sie ihn wieder aus, und die Maschine ist nicht sehr sicher, wenn seine auf. Auf der anderen Seite, ich glaube nicht, dass der debugger ermöglicht mehrere gleichzeitige verbindungen, so dass die Wartung eine debugging-Verbindung ist die beste Verteidigung. Wir wählten die Datei notification-Methode, denn es erlaubt uns, um mit der Bahn aus der vorhandenen Unix-Authentifizierung/Autor durch die Angabe der trigger-Datei in ein Verzeichnis, auf das nur die richtigen verwendet haben Rechte. Sie könnte leicht zu bauen ein wenig Krieg-Datei, erreicht den gleichen Zweck über eine socket-Verbindung. Natürlich, da können wir nicht schalten Sie den debugger, wir werden es nur verwenden, um Daten zu sammeln, bevor das töten von Kranken-Anwendung. Wenn jemand möchte, dass dieser code, lassen Sie es mich bitte wissen. Jedoch, es dauert nur ein paar Minuten, werfen Sie es selbst zusammen.

InformationsquelleAutor ShabbyDoo | 2009-05-28
  1. 8

    Wenn Sie die SSH verwenden, können Sie mit tunneling und tunnel einen port auf Ihrem lokalen host. Keine Entwicklung notwendig, alle fertig mit sshd, ssh-und/oder putty.

    Den debug-Buchse auf dem java-server kann auf dem lokalen interface 127.0.0.1.

    • Wenn das funktioniert (testen), es scheint die beste option für uns. Es ist nicht so, dass wir debug regelmäßig, aber wir wollen die Möglichkeit zu fangen eine JVM in einem fehlerhaften Zustand.
    • Ich denke, das funktioniert nur auf JDK 1.5+: java.sun.com/j2se/1.5.0/docs/guide/jpda/enhancements.html Finden Sie unter "der transport dt_socket wurde geändert, um zu nehmen, eine lokale Adresse, wenn im server-Modus" in den obigen link.
    • yep - sieht aus wie es funktionieren würde 1.5+, und ist eine gute Lösung. Die Alternative ist, sperren Sie den debug-ports über eine firewall (software oder hardware). Vielleicht checkout ipchains für Ihre linux-hosts? (tldp.org/HOWTO/IPCHAINS-HOWTO.html)
    • Eines unserer Infrastruktur-Leute darauf hingewiesen, dass die Bindung an die loopback-beschränkt den Zugriff auf diejenigen Rechte auf der Maschine in Frage-vielleicht ein bisschen zu breit für einige Anwendungen. Dies ist jedoch wahrscheinlich gut genug, in vielen Fällen.
    InformationsquelleAutor KarlP
  2. 2

    Du hast absolut Recht: die Java Debugging-API ist von Natur aus unsicher. Sie können jedoch eine Begrenzung auf UNIX-domain-sockets auf, und schreiben einen proxy mit SSL - /SSH zu lassen, haben Sie die authentifizierte und verschlüsselte verbindungen von außen werden dann umgeleitet in die UNIX-domain-socket. Dass zumindest reduziert Ihre Exposition gegenüber jemandem, der kann sich einen Prozess in den server, oder jemanden, der kann das knacken von SSL.

    • Kann man die Karte ein-port über die Standard-Schnittstelle eines domain-socket? Das problem habe ich auch (die fand ich heraus, nach meinem ersten post) ist, dass die 1.4.x Sun JVM kann nur binden, um die Standard(?) - Schnittstelle. Daher einige Magische Zuordnung erforderlich wäre, so dass dieser port würde nicht ausgesetzt werden, die außerhalb der VM.
    InformationsquelleAutor Charlie Martin
  3. 0

    Export Informationen/services in JMX und dann RMI+SSL-Zugriff aus der Ferne. Ihre situation ist, was JMX ist entwickelt für (das M steht für Management).

    • Ich bin damit einverstanden, dass die gemeinsamen Metriken sollten ausgesetzt werden, die über JMX. Wir sind eigentlich mit einem leichten Produktions-profiler (Wily), aber es ist nicht sehr gut bei der Erfassung Status-Informationen, und können nur gut ausführen, wenn beschränkt auf grobe Spuren. Das andere Problem ist, dass einige dieser apps (teilweise) von Dritten, so werden wir Sie das Debuggen mit der dekompilierte Quellcode am besten.
    • Ich behaupte immer noch, dass hook up your debugger, um eine Produktion-Anwendung ist eine schlechte Idee. Die Benutzer haben keine Ahnung, was passiert, wenn Sie einen Haltepunkt erreicht und verbringen Sie ein paar Momente grepping durch das Gedächtnis. Ich würde versuchen, die Flecken in Ihrem code, der Probleme-und setzen den aktuellen Stand via JMX und detaillierte audit-logs, was passiert ist.
    • Wir hatten eigentlich nehmen die sich schlecht benehmen-Instanz aus unserem cluster mit Lastenausgleich vor dem Debuggen. Ich bin damit einverstanden, dass das Debuggen einer app w/ aktive Benutzer wäre eine wirklich schlechte Idee.
    InformationsquelleAutor Kevin
  4. 0

    Gute Frage.

    Ich bin mir nicht bewusst, eine integrierte Möglichkeit zur Verschlüsselung von verbindungen der debugging-port.

    Möglicherweise gibt es eine viel bessere/einfachere Lösung, aber ich würde Folgendes tun:

    1. Die Produktion der Maschine hinter einer firewall, die blockiert den Zugriff auf die debugging-port(s).
    2. Führen Sie einen proxy-Prozess auf dem host selbst, die Verbindung zu dem port und verschlüsselt die Eingabe und Ausgabe von der Buchse.
    3. Führen Sie einen proxy-client im debugging-workstation, die auch verschlüsselt/entschlüsselt die Eingabe. Haben diese die Verbindung zum server-proxy. Die Kommunikation zwischen Ihnen verschlüsselt werden.
    4. Verbinden Sie Ihre debugger an den proxy-client.
    • Als Anmerkung: Unsere Produktions-Server hinter einer firewall, aber Sie ausgesetzt sind, einige interne Netzwerk-Segmenten.
    InformationsquelleAutor Jared
Schreibe einen Kommentar