Linux下Java安全加固清单

一 基础运行环境与账户

• 保持JDK/JRE为受支持的最新安全版本，及时修补已知漏洞；同时定期更新操作系统与依赖组件。
• 以非root账户运行Java进程，遵循最小权限原则；为应用创建专用系统用户与组（如appuser:appgroup）。
• 限制JDK目录访问：将JDK安装目录（如**/usr/lib/jvm/jdk-17**）属主设为root、属组设为java组，权限设为750，仅允许root与java组成员读取/执行：
  sudo chown -R root:java /usr/lib/jvm/jdk-17
  sudo chmod -R 750 /usr/lib/jvm/jdk-17
  sudo usermod -aG java appuser
• 精细化PATH与命令授权：仅在需要用户的**~/.bashrc中配置PATH；如需授权特定用户执行java，可通过sudoers**按需放行：
  dev ALL=(ALL) NOPASSWD: /usr/bin/java
• 运行权限最小化：对JAR与配置设定仅属主读写执行（如chmod 500/600），避免其他用户读取敏感文件。

二 JVM与Java安全配置

• 启用安全管理器与最小权限策略（示例策略按需收敛）：
  java -Djava.security.manager -Djava.security.policy=my.policy MyApp
  策略示例（仅允许/tmp读写与网络解析/连接，生产请进一步收敛）：
  grant {
  permission java.io.FilePermission “/tmp/-”, “read,write”;
  permission java.net.SocketPermission “*”, “connect,resolve”;
  };
• 安全协议与算法：强制使用TLS 1.2+，禁用SSLv3/TLS1.0/1.1；优先使用AES/GCM等现代套件，禁用弱哈希与匿名套件。
• 关键JVM参数：设置**-Xmx限制堆内存，开启-XX:+HeapDumpOnOutOfMemoryError便于事后分析，配置-XX:OnError/-XX:OnOutOfMemoryError**执行告警或优雅停机脚本。
• 禁用过时/危险组件：在**$JAVA_HOME/jre/lib/security/java.security中移除或禁用无限制JCE策略**（如使用受限策略）、关闭RMI Registry与JMX远程（除非明确需要并启用鉴权/SSL）。

三 网络与主机防护

• 仅开放必要端口与协议，使用防火墙（iptables/ufw）限制来源IP与端口访问；对外服务强制HTTPS/TLS。
• 在应用服务器（如Tomcat）启用SSL/TLS，配置keystore并禁用不安全协议/套件：
  
• 基础抗DoS：启用TCP SYN Cookie并优化半连接队列：
  echo 1 > /proc/sys/net/ipv4/tcp_syncookies

  /etc/sysctl.conf

  net.ipv4.tcp_max_syn_backlog = 2048
• 关闭与业务无关的端口/服务与默认示例应用，减少攻击面。

四 应用层安全与依赖管理

• 安全编码：使用PreparedStatement防SQL注入；对输出进行HTML/JSON转义防XSS；校验输入长度/类型/范围；避免反序列化不可信数据。
• 依赖与漏洞治理：定期使用OWASP Dependency-Check等工具扫描第三方库，及时升级存在CVE的依赖版本。
• 敏感配置保护：
  • 使用Jasypt对Spring Boot配置项（如数据库密码、API密钥）进行加密，密钥通过环境变量注入，避免硬编码与代码仓库泄露：
    • 依赖示例：com.github.ulisesbocchio:jasypt-spring-boot-starter:3.0.5
    • 配置示例：spring.datasource.password=ENC(密文)
    • 启动时传入密钥：java -jar app.jar -Djasypt.encryptor.password=${JASYPT_ENCRYPTOR_PASSWORD}
  • 或实现EnvironmentPostProcessor/PropertySourceFactory在启动阶段解密并注入配置。
• 日志与审计：启用访问与应用日志，集中采集并保护日志文件权限，定期审计异常行为。

五 快速检查清单