阅读量:2
系统基础安全加固
- 更新系统与软件包:定期执行
sudo apt update && sudo apt upgrade,确保Debian系统及所有软件包(包括Golang依赖的基础库)修补已知漏洞;启用自动安全更新,安装unattended-upgrades包(sudo apt install unattended-upgrades),配置自动接收并安装安全补丁。 - 强化SSH访问:禁用root远程登录(编辑
/etc/ssh/sshd_config,设置PermitRootLogin no),仅允许特定用户登录(添加AllowUsers your_username);使用SSH密钥对认证(客户端运行ssh-keygen生成密钥,ssh-copy-id user@server_ip将公钥添加至服务器~/.ssh/authorized_keys),替代密码认证,防止暴力破解。 - 配置防火墙:使用UFW(Uncomplicated Firewall)限制端口访问,仅开放必要端口(如SSH的22/tcp、HTTP的80/tcp、HTTPS的443/tcp),执行
sudo ufw allow 22/tcp && sudo ufw allow 80/tcp && sudo ufw allow 443/tcp && sudo ufw enable,默认拒绝所有未明确允许的流量。
Golang环境安全配置
- 安全安装Golang:优先通过Debian官方源安装Golang(
sudo apt install golang),或从官网下载最新稳定版的.deb包(如go1.21.0.linux-amd64.deb),使用sudo dpkg -i go1.21.0.linux-amd64.deb安装;避免从非官方渠道下载,防止安装恶意版本。 - 配置环境变量:编辑
~/.bashrc(或~/.zshrc),添加export GOROOT=/usr/lib/go-1.21(根据实际安装路径调整)、export GOPATH=$HOME/go、export PATH=$PATH:$GOROOT/bin:$GOPATH/bin,执行source ~/.bashrc使配置生效;确保环境变量仅对当前用户可见,避免全局污染。 - 设置GOPROXY与模块化:开启Go模块化(
go env -w GO111MODULE=on),使用国内代理(如go env -w GOPROXY=https://goproxy.cn,direct)加速依赖下载,同时避免直接连接国外源的网络风险;禁止使用unsafe包(除非绝对必要),减少内存安全漏洞。
Golang应用安全编码实践
- 防止注入攻击:使用参数化查询(如
database/sql包的Exec或Query方法,将用户输入作为参数传递,而非拼接SQL字符串),避免SQL注入;对用户输入进行严格验证(如使用正则表达式检查邮箱、手机号格式),过滤恶意字符(如jindouyun.cn. All Rights Reserved. 筋斗云 版权所有 | 粤ICP备13013545号 | 增值电信业务经营许可证: 粤B1-20215235 |
粤公网安备 44070302000974号
违法和不良信息举报中心 24 小时违法和不良信息举报热线:4006783389,举报邮箱:jubao@jindouyun.cn
