Linux系统Java安全如何配置

Linux 系统 Java 安全配置清单

一 基础与运行环境

• 保持版本与补丁最新：优先使用受支持的 LTS JDK（如 Java 11/17/21），及时应用安全修复；同时定期更新 Linux 系统与依赖库，降低已知漏洞风险。
• 运行身份最小化：创建专用系统用户（如 javauser）运行应用，禁止以 root 直接启动；必要时通过 sudo -u javauser 切换执行。
• 文件与目录权限收敛：将 JDK/JRE 安装目录（如 /usr/lib/jvm/jdk-17）属主设为 root:java，权限 750，仅授权用户加入 java 组后使用；避免在全局环境暴露可执行路径。
• 环境变量受控：仅在需要的用户环境中设置 JAVA_HOME 与 PATH，避免写入全局配置；示例：
  • 编辑 ~/.bashrc：export JAVA_HOME=/usr/lib/jvm/jdk-17; export PATH=$JAVA_HOME/bin:$PATH
• 资源与稳定性：通过 ulimit 限制进程资源（打开文件数、地址空间等），防止资源耗尽导致拒绝服务；示例（/etc/security/limits.conf）：
  • javauser soft nofile 1000；javauser hard nofile 2000
  • javauser soft as 512M；javauser hard as 1024M
• 网络访问控制：对暴露端口使用 iptables/ufw 白名单与最小端口开放策略，仅放行业务必需协议与来源。

二 JVM 与加密通信

• 安全协议与算法：启用 TLS 1.2+，禁用 SSLv3/TLS1.0/1.1；优先使用 AES/GCM、HMAC-SHA256 等强算法与 ECDHE 等前向保密套件；在 JDK 安装目录/jre/lib/security/java.security 中配置安全提供者顺序与禁用弱算法（如 MD5、DES）。
• 传输加密：对外服务启用 HTTPS，在 Tomcat server.xml 配置 SSL/TLS（示例）：
  • <Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol" SSLEnabled="true" scheme="https" secure="true" clientAuth="false" sslProtocol="TLS" keystoreFile="/path/to/keystore.jks" keystorePass="your_password"/>
• 内存与故障取证：设置 -Xmx 限制堆上限，配置 -XX:+HeapDumpOnOutOfMemoryError、-XX:OnError、-XX:OnOutOfMemoryError 以便 OOM 时取证与自动处置。
• 安全组件最小化：在服务器/容器环境中禁用已淘汰或高风险的 Java Web Start 与浏览器插件组件，减少攻击面。

三 代码与依赖安全

• 安全编码实践：对数据库访问使用 PreparedStatement 防止 SQL 注入；对输出进行适当编码/转义，避免 XSS；对敏感数据在存储前进行加密（如 AES），密钥安全存储与轮换。
• 依赖与漏洞治理：使用 OWASP Dependency-Check 等工具定期扫描第三方依赖，及时升级存在 CVE 的库；建立依赖白名单与版本固定策略。

四 运行时权限与系统加固

• Java 安全管理器（Security Manager，视 JDK 版本可用性）：通过策略文件细粒度控制代码权限，仅授予必需操作；示例策略 my.policy：
  • grant { permission java.io.FilePermission "/tmp/-", "read,write"; permission java.net.SocketPermission "*", "connect,resolve"; };
  • 启动命令：java -Djava.security.manager -Djava.security.policy=my.policy MyApp
• 系统层最小权限：结合 Linux 文件权限、用户组 与 sudo 精细授权；必要时仅允许特定用户以 sudo 执行 /usr/bin/java 运行受控应用，避免无约束访问。
• 日志与监控：启用应用与 JVM 日志，集中采集与审计；对关键操作、登录、权限变更与异常堆栈进行告警与追踪。

五 快速检查清单