centos中golang的安全配置有哪些

CentOS上Go语言安全配置清单

一 系统级安全基线

• 保持系统与软件包为最新：执行yum update -y，及时修补内核与基础组件漏洞。
• 防火墙最小化放行：仅开放必要端口，例如仅开放8080/TCP可用命令：
  sudo firewall-cmd --permanent --zone=public --add-port=8080/tcp && sudo firewall-cmd --reload。
• 启用并正确配置SELinux为强制模式，按需编写或调整策略，限制Go进程权限。
• 账户与口令加固：锁定不必要的超级用户、设置复杂口令策略、对**/etc/passwd、/etc/shadow、/etc/group、/etc/gshadow设置不可更改属性（如chattr +i）、为root设置TMOUT自动注销、限制su**使用范围。
• 服务与启动项最小化：仅启用必需服务，谨慎设置开机启动脚本权限，避免信息泄露与提权路径。

二 Go运行环境与依赖管理

• 安装并使用受信任的最新稳定版Go，避免从不可信源下载安装包。
• 正确设置环境变量（示例）：
  export GOROOT=/usr/local/go
  export GOPATH=$HOME/go
  export PATH=$PATH:$GOROOT/bin:$GOPATH/bin
• 采用Go Modules管理依赖，初始化：go mod init ；定期执行go mod tidy清理无用依赖。
• 依赖安全维护：定期更新依赖、关注已知CVE，必要时使用安全扫描工具（如gosec）进行静态检查。

三 应用代码与Web安全

• 输入校验与防注入：对所有用户输入严格校验；数据库使用参数化查询/ORM防SQL注入。
• 输出编码与浏览器防护：使用html/template转义渲染，设置CSP（Content-Security-Policy）头，启用HSTS强制HTTPS。
• 会话与认证：实现安全会话机制（HTTPS传输会话ID、定期轮换），API使用JWT时配置强密钥与合理过期，结合RBAC做细粒度授权。
• 文件上传安全：校验文件类型与大小，必要时隔离存储与访问权限控制。
• 通信加密：服务端启用TLS，禁用弱协议与套件；服务间通信建议使用mTLS双向认证。
• 限流与抗滥用：对登录、注册、短信/邮件发送等接口实施Rate Limiting，缓解DoS与撞库风险。

四 构建部署与运维安全

• 构建与运行权限最小化：构建阶段使用非root账户；运行阶段以最小权限用户启动服务，避免使用特权端口（如以root绑定80/443）。
• 配置与密钥管理：禁止硬编码数据库凭证/密钥，通过环境变量、Vault等外部系统注入；日志中避免输出敏感信息。
• 日志、监控与告警：使用结构化日志（如zap/logrus）记录关键操作与异常，结合Prometheus + Alertmanager设置告警。
• 容器化场景：使用最小基础镜像（如distroless/static）、以非root运行、收紧Capabilities、启用Pod Security准入控制。
• 持续更新与审计：定期更新Go版本与第三方库，开展代码审计与安全测试，形成变更与漏洞修复闭环。