Debian系统Java安全设置怎么做

Debian系统Java安全设置实操指南

一 基础环境与安全基线

• 更新系统与JDK
  • 执行：sudo apt update && sudo apt full-upgrade && sudo apt autoremove
  • 安装受支持的 OpenJDK（如：openjdk-11-jdk 或 openjdk-17-jdk）：sudo apt install openjdk-11-jdk
  • 验证：java -version、javac -version
• 管理默认Java版本
  • 列出与切换：sudo update-alternatives --config java（按提示选择版本）
• 设置环境变量（全局示例）
  • 建议写入 /etc/profile.d/java.sh（系统级、登录会话生效）：
    • export JAVA_HOME=/usr/lib/jvm/java-11-openjdk-amd64
    • export PATH=$JAVA_HOME/bin:$PATH
  • 使生效：source /etc/profile.d/java.sh
• 系统安全基线
  • 启用防火墙：sudo apt install ufw && sudo ufw enable
  • 仅放行必要端口：sudo ufw allow 22/tcp, sudo ufw allow 80/tcp, sudo ufw allow 443/tcp
  • 强化SSH：禁用root登录（PermitRootLogin no）、使用密钥登录、按需更改端口
  • 最小权限：使用普通用户+sudo，禁用不必要的服务与端口
  • 日志与入侵防护：部署 Fail2ban、定期审计日志与系统状态

二 Java运行时安全配置

• 使用受支持的JDK版本
  • 优先选择 OpenJDK 11/17 LTS，避免使用已EOL的旧版本（如 Java 8 已结束公共更新，仅在确有兼容性需求时考虑企业版或延长支持）。
• 限制类与代码来源
  • 生产环境建议禁用或严格限制 JNLP/Web Start（Java Web Start 已被弃用，存在较大攻击面）。
  • 如必须使用第三方库，仅从可信仓库获取，校验 GPG/SHA-256，并在隔离目录运行。
• 启用Security Manager（如应用兼容）
  • 在启动脚本中加入：-Djava.security.manager -Djava.security.policy=/opt/app/policy.policy
  • 示例最小策略（仅允许读取应用目录与临时目录）：
    • grant codeBase “file:/opt/app/-” {
      • permission java.io.FilePermission “/opt/app/-”, “read”;
      • permission java.io.FilePermission “/tmp/-”, “read,write,delete”;
      • permission java.util.PropertyPermission “*”, “read”;
      • permission java.lang.RuntimePermission “getenv.*”;
      • };
• 细粒度权限控制
  • 结合 Security Manager 与自定义策略，按需授予 SocketPermission、PropertyPermission、ReflectPermission 等，遵循最小权限原则。
• 网络与加密
  • 禁用不安全的协议/套件：在 $JAVA_HOME/conf/security/java.security 中设置
    • jdk.tls.disabledAlgorithms=SSLv3, TLSv1, TLSv1.1, RC4, DES, MD5withRSA
    • jdk.certpath.disabledAlgorithms=MD2, MD5, SHA1 jdkCA & usage TLSServer
  • 如为服务端，优先启用 TLS 1.2+，并使用有效证书（如 Let’s Encrypt）。
• 内存与执行限制
  • 容器/服务化部署时，设置容器内存与JVM堆上限一致，避免被置换或OOM；按需开启 -XX:+UseContainerSupport（JDK 8u191+）。
• 日志与审计
  • 打开JVM日志：在启动参数中加入
    • -XX:+UnlockDiagnosticVMOptions -XX:+LogVMOutput -XX:LogFile=/var/log/jvm.log
    • -XX:+TraceClassLoading -XX:+TraceClassUnloading（排障期临时使用，避免性能影响）

三 应用层安全要点

• 输入校验与输出编码
  • 对来自前端/外部系统的数据进行严格校验（白名单），对输出到页面/接口的内容进行编码，防止 SQL注入/XSS。
• 安全框架与机制
  • 使用成熟框架（如 Spring Security）启用 CSRF、CSP、X-Frame-Options、X-Content-Type-Options、Strict-Transport-Security 等安全头。
• 会话与认证
  • 启用安全的会话管理（会话固定防护、超时、仅限Cookie传输）、强口令策略与多因素认证（如适用）。
• 依赖与漏洞管理
  • 使用 Maven/Gradle 依赖审计（OWASP Dependency-Check）、定期升级第三方库，及时修补已知漏洞。
• 错误处理
  • 生产环境关闭堆栈泄露，统一异常处理与错误码，避免信息暴露。

四 运行与运维加固

• 以最小权限运行
  • 创建专用系统用户运行Java进程，禁止root直跑；目录与文件权限最小化（如：/opt/app 750，日志目录 700）。
• 进程隔离与资源控制
  • 使用 systemd 服务隔离与资源限制（示例）：
    • [Service]
      • User=appuser
      • Group=appgroup
      • ExecStart=/usr/bin/java -Xms512m -Xmx1g -Djava.security.manager -Djava.security.policy=/opt/app/policy.policy -jar /opt/app/app.jar
      • Restart=on-failure
      • LimitNOFILE=65536
      • MemoryLimit=2G
  • 容器化场景：设置容器内存/CPU限额，开启只读根文件系统与最小挂载。
• 网络与端口
  • 仅暴露必要端口，使用反向代理/负载均衡终止TLS，后端服务监听 127.0.0.1（如无需对外直连）。
• 密钥与机密
  • 证书、密钥、数据库凭证等使用 Vault 或文件权限（600）管理，禁止硬编码与提交到代码仓库。
• 监控与告警
  • 收集与监控 JVM GC/内存/线程、应用日志与访问日志；结合 Fail2ban、入侵检测与基线巡检，异常即告警。

五 快速检查清单