CentOS Golang项目如何进行安全加固

CentOS上Golang项目安全加固清单

一 系统级加固

• 账户与登录安全
  • 仅保留必要的root账户，锁定或删除不必要的UID=0账户；为管理用户使用sudo并纳入wheel组，限制su仅对wheel组开放：编辑**/etc/pam.d/su加入“auth required pam_wheel.so use_uid”。设置root自动注销：在/etc/profile中配置TMOUT=300**（单位秒）。强化口令策略：在**/etc/login.defs设置复杂度与有效期，并通过chage强制周期更换。保护关键口令文件：对/etc/passwd、/etc/shadow、/etc/group、/etc/gshadow**执行“chattr +i”防篡改。
• 防火墙与端口
  • 启用firewalld仅放行必要端口（如22/80/443）：firewall-cmd --permanent --zone=public --add-port=443/tcp && firewall-cmd --reload。
• SSH安全
  • 禁止root直登：在**/etc/ssh/sshd_config设置PermitRootLogin no**；仅允许特定用户/组登录：配置AllowUsers/AllowGroups；必要时更改默认端口并配合防火墙策略。
• SELinux与系统最小化
  • 将SELinux置为enforcing并依据业务配置策略：setenforce 1 与 /etc/selinux/config；卸载或禁用不必要的服务与端口，减少攻击面。
• 日志与审计
  • 集中采集与分析系统与应用日志（如rsyslog/ELK），对**/var/log/secure**、应用日志设置轮转与访问控制，便于入侵溯源。

二 Golang应用层安全

• 传输与协议
  • 全站启用TLS：使用crypto/tls配置证书与强加密套件；设置HSTS：Strict-Transport-Security: max-age=63072000; includeSubDomains; preload；配置CSP：Content-Security-Policy: default-src ‘self’; script-src ‘self’ cdn.example.com。
• 输入与输出安全
  • 对所有用户输入进行校验；输出使用html/template自动转义防XSS；表单/接口集成CSRF Token（如gorilla/csrf）。
• 数据与存储安全
  • 防SQL注入：使用database/sql参数化查询或预编译语句；密码存储使用bcrypt（如golang.org/x/crypto/bcrypt），默认成本bcrypt.DefaultCost=10，用CompareHashAndPassword避免时序攻击；敏感配置与密钥使用环境变量或加密配置，禁止硬编码。
• 会话与访问控制
  • 会话Cookie启用HttpOnly、Secure、SameSite=Strict；定期轮换会话密钥；实施基于角色/资源的最小权限访问控制。
• 速率限制与抗滥用
  • 使用golang.org/x/time/rate对登录、注册、短信/邮件发送等接口限流，缓解暴力破解与滥用。

三 依赖与构建安全

• 依赖管理与可复现构建
  • 使用Go Modules管理依赖，执行go mod tidy清理无用依赖；将go.mod/go.sum纳入版本控制；通过go list -m all / go mod graph / go mod why分析依赖树与冲突，锁定版本避免“漂移”。
• 漏洞扫描与代码审计
  • 官方工具：使用govulncheck定位项目实际调用链中的已知漏洞（govulncheck ./…）；第三方工具：使用gosec检测不安全API、硬编码、TLS配置等问题，并纳入CI。
  • 供应链补充：使用Grype扫描依赖与文件系统漏洞，支持JSON输出与阈值失败策略，便于在CI/CD阻断高危依赖合并。
• 构建与运行用户
  • 采用多阶段构建减小镜像/包体积；运行容器或进程以非root用户执行（如Dockerfile中 USER 65534:65534）；为发布产物启用镜像签名与可验证构建流程。

四 部署与运行时防护

• 进程与权限
  • 服务以最小权限运行，避免使用root；通过systemd配置User/Group、CapabilityBoundingSet、ProtectKernelTunables/ProtectSystem=strict、只读根文件系统（如可行）等隔离选项；对外仅暴露必要端口。
• 网络与访问控制
  • 在主机或边界防火墙仅放行80/443与内部治理端口；对管理接口绑定内网地址或启用mTLS；在容器/K8s场景使用NetworkPolicy限制东西向流量。
• 监控与响应
  • 记录访问与错误日志（避免泄露敏感信息），接入Prometheus+Grafana监控异常（如登录失败激增、异常路径访问），并设置告警；定期复盘依赖与系统更新，执行补丁与配置基线核查。

五 快速实施清单与命令示例

• 系统基线
  • 更新系统与内核：yum update -y；防火墙放行：firewall-cmd --permanent --zone=public --add-port=443/tcp && firewall-cmd --reload；SSH加固：PermitRootLogin no；SELinux：setenforce 1；关键文件加固：chattr +i /etc/{passwd,shadow,group,gshadow}；root超时：echo “TMOUT=300” >> /etc/profile；限制su：编辑**/etc/pam.d/su**加入“auth required pam_wheel.so use_uid”。
• Go依赖与扫描
  • go mod tidy；govulncheck ./…；gosec ./…；grype . --fail-on high -o json > grype-report.json。
• 应用最小示例（TLS与HSTS）
  • 使用crypto/tls加载证书启动HTTPS，并在响应头写入Strict-Transport-Security与Content-Security-Policy。