Java环境搭建与配置教程

Java安全并非“安装即安全”，而是需通过版本更新、协议算法加固、远程代码执行限制和最小权限策略四大维度协同防护——从禁用TLSv1.0/1.1及弱加密算法、彻底移除deploy.jar与浏览器插件，到启用定制化安全管理器策略、利用jlink精简运行时，每一步都直击常见漏洞根源；关键在于主动配置而非依赖默认，持续维护而非一劳永逸，让安全真正落地为可控、可验、可演进的日常实践。

Java运行环境（JRE）或开发环境（JDK）本身不自带“开箱即用”的强安全策略，安全依赖于合理配置与持续维护。关键不是“装上就安全”，而是控制执行来源、限制权限、关闭冗余服务、及时更新。

禁用不安全的旧协议和算法

Java 8u161+ 默认禁用 TLS 1.0/1.1 和部分弱加密套件，但老旧应用可能强制启用。需主动检查并加固：

• 在 java.security 文件（位于 $JAVA_HOME/jre/lib/security/）中，确认以下行已启用且配置严格：

jdk.tls.disabledAlgorithms=SSLv3, TLSv1, TLSv1.1, RC4, DES, MD5withRSA, DH keySize < 2048, EC keySize < 224

jdk.certpath.disabledAlgorithms=MD2, MD5, SHA1 jdkCA && usage TLSServer

• 如需临时兼容旧系统，仅在明确风险可控时，局部调整（例如启动参数加 -Dhttps.protocols=TLSv1.2,TLSv1.3），切勿全局放开。

限制Applet、Web Start和远程代码执行

Java Web Start（JNLP）和浏览器插件（Applet）已被彻底移除（自 Java 11 起），但若仍在使用旧版 JDK（如 8u202 之前），必须手动关闭：

• 删除或重命名 $JAVA_HOME/jre/lib/deploy.jar（禁用 Web Start）
• 在控制面板 → Java → 安全选项卡中，取消勾选“启用 Java 内容在浏览器中运行”（JDK 8 控制面板）
• 通过策略文件禁止远程代码加载：在 java.policy 中移除或注释掉 permission java.net.SocketPermission "*:1024-", "connect,resolve"; 等宽泛授权

启用安全管理器并定制策略（适用于服务端/可信内网场景）

安全管理器（SecurityManager）虽在 Java 17+ 中被标记为废弃，但在 Java 8–16 的关键后台服务中仍可作为纵深防御手段：

• 启动时显式启用：java -Djava.security.manager -Djava.security.policy==/path/to/my.policy MyApp（双等号表示覆盖默认策略）
• 最小化策略示例（my.policy）：

grant codeBase "file:/opt/myapp/-" {
  permission java.io.FilePermission "/opt/myapp/logs/-", "read,write";
  permission java.net.SocketPermission "api.example.com:443", "connect,resolve";
  permission java.util.PropertyPermission "user.dir", "read";
};

不给 ALL PERMISSION，不开放 * 通配符路径，按需精确授权。

保持JDK版本更新并精简安装

官方长期支持版本（LTS）如 JDK 8u391+、JDK 11.0.23+、JDK 17.0.9+、JDK 21.0.2+ 已修复大量 CVE 漏洞。配置建议：

• 卸载所有非必需的 JDK/JRE 版本，避免多版本共存导致误用旧版
• 使用 jlink 构建最小化运行时镜像（JDK 9+），只包含应用实际需要的模块，缩小攻击面
• 定期扫描：用 java -version 和 java -XshowSettings:properties -version 核对实际生效版本与预期一致

基本上就这些。安全不是一次性开关，而是版本控制、权限收敛、协议收紧、运行隔离四者结合。不复杂但容易忽略。

本篇关于《Java环境搭建与配置教程》的介绍就到此结束啦，但是学无止境，想要了解学习更多关于文章的相关知识，请关注golang学习网公众号！