Golang在CentOS上的安全设置指南

一、系统级安全配置

1. 账户与权限管理

   • 禁用非必要超级用户，锁定无用账户：passwd -l <用户名>。
   • 强化用户口令复杂度，长度＞10位，包含大小写字母、数字及特殊字符，通过/etc/login.defs设置密码策略。
   • 保护口令文件：chattr +i /etc/passwd /etc/shadow。
   • 限制su命令使用，仅允许特定组用户切换root：编辑/etc/pam.d/su。

2. 防火墙与网络隔离

   • 启用firewalld，开放Golang应用所需端口（如8080）：
     sudo firewall-cmd --permanent --zone=public --add-port=8080/tcp。
   • 限制Golang程序网络访问，仅允许可信IP通信。

3. 系统环境加固

   • 定期更新系统补丁：sudo yum update -y。
   • 禁用不必要的系统服务，减少攻击面。

二、Golang应用级安全配置

1. 代码安全实践

   • 输入验证与输出转义：对用户输入进行校验，输出时转义特殊字符，防止XSS攻击。
   • SQL注入防护：使用参数化查询（如Gorm的Where()方法），避免直接拼接SQL。
   • CSRF防护：集成gorilla/csrf库，添加CSRF令牌。
   • 内容安全策略（CSP）：通过HTTP头Content-Security-Policy限制资源加载。

2. 通信与认证安全

   • 启用TLS加密通信：使用crypto/tls包配置HTTPS，强制跳转HTTP到HTTPS。
   • 密码存储：使用bcrypt等强加密算法哈希密码，避免明文存储。
   • 会话管理：使用安全的随机令牌，设置合理的会话过期时间，防止会话劫持。

3. 依赖与部署安全

   • 定期更新第三方库：通过go get -u更新依赖，使用govulncheck扫描漏洞。
   • 编译时启用安全选项：-ldflags="-s -w"移除调试信息，-race检测数据竞争。
   • 以非root用户运行程序，避免权限滥用：通过setcap赋予二进制文件绑定低端口权限，或使用sudo配置。

三、日志与监控

• 记录应用访问日志、错误日志，定期分析异常行为。
• 配置日志轮转，避免日志文件过大泄露敏感信息。

四、持续维护

• 定期审计系统权限、文件权限及应用配置。
• 制定应急响应计划，及时处理安全漏洞。

参考来源：