Linux Golang配置安全注意事项

系统级安全配置

• 用户权限管理：禁用非必要超级用户，强化口令复杂度（含大小写字母、数字、特殊字符，长度＞10位），保护口令文件（chattr +i /etc/passwd等），设置root账户自动注销时限。
• 防火墙配置：使用firewalld或ufw限制端口访问，仅开放必要服务端口。

Golang应用级安全配置

• 传输安全：使用crypto/tls包配置TLS加密通信，启用HSTS强制HTTPS。
• 防注入攻击：对用户输入进行验证，使用参数化查询或ORM框架（如GORM）防止SQL注入。
• 防XSS/CSRF攻击：设置CSP头限制资源加载，使用gorilla/csrf等中间件防止CSRF，禁用不必要的JavaScript。
• 敏感数据保护：对密码等敏感信息使用强加密算法（如bcrypt、PBKDF2）存储，避免硬编码密钥。
• 依赖管理：定期更新Golang版本及第三方库，使用go mod管理依赖，避免使用过时或有漏洞的库。
• 日志与监控：记录安全相关日志，配置日志轮换，监控异常行为。

其他注意事项

• 最小权限原则：以非root用户运行应用，通过systemd配置服务时指定User和Group。
• 镜像安全：使用官方或可信的Docker镜像，避免自定义镜像引入漏洞。