1. 系统与Java环境更新
保持Debian系统和Java运行时环境(JRE/JDK)为最新版本是安全基础。定期执行sudo apt update && sudo apt upgrade安装所有安全补丁;通过unattended-upgrades工具开启自动更新(编辑/etc/apt/apt.conf.d/50unattended-upgrades启用Java相关更新);优先使用Debian官方仓库的OpenJDK(如openjdk-11-jdk),避免手动添加非官方PPA以降低风险。
2. 用户与权限管理
禁用直接root登录,创建普通用户并通过sudo提升权限:sudo adduser <username> → sudo usermod -aG sudo <username>;配置强密码策略(安装libpam-pwquality,编辑/etc/security/pwquality.conf设置密码复杂度,如最小长度、特殊字符要求);限制SSH访问(修改/etc/ssh/sshd_config,设置PermitRootLogin no、PasswordAuthentication no,更改默认端口并使用密钥对认证)。
3. Java特定安全配置
HtmlUtils.htmlEscape),启用内容安全策略(CSP)限制资源加载来源,防止XSS攻击。PreparedStatement)避免SQL注入;对敏感数据(如密码)进行加盐哈希处理(如BCrypt);启用HTTPS(通过Let’s Encrypt获取免费证书,配置Tomcat/Nginx)确保传输安全。DocumentBuilderFactory.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true));禁止对不可信数据进行反序列化(如使用JSON替代XML,或验证反序列化对象的合法性)。4. 防火墙与网络隔离
使用ufw(Uncomplicated Firewall)限制入站/出站流量:sudo apt install ufw → sudo ufw enable → sudo ufw allow OpenSSH(仅允许必要端口,如SSH的22/tcp、HTTP的80/tcp、HTTPS的443/tcp);避免Java应用直接暴露在公网,通过反向隧道或负载均衡器隔离。
5. 监控与审计
使用Logwatch或Fail2ban监控系统日志(如/var/log/auth.log),自动检测暴力破解、异常登录等行为;定期进行安全审计(如检查Java进程权限、未授权的网络连接、过期的证书),识别并修复潜在漏洞。
6. 安全工具与最佳实践
update-alternatives管理多Java版本(如sudo update-alternatives --config java切换默认版本),避免旧版本漏洞。