Linux 系统中 Node.js 如何进行安全加固

1. 使用非root用户运行Node.js
避免以root用户启动Node.js进程，遵循最小权限原则，降低安全漏洞利用后的系统损害风险。创建专用用户（如nodeapp）和组，将应用目录及日志文件的所有权赋予该用户，并通过--uid（PM2）或process.setuid()（原生）指定运行身份。

2. 定期更新Node.js与依赖项
通过NodeSource PPA或nvm（Node Version Manager）安装特定版本的Node.js，确保及时获取安全补丁；使用npm audit扫描依赖项中的已知漏洞，npm outdated检查过时包，通过package.json固定版本（如"express": "^4.18.2"）并结合package-lock.json锁定依赖树，避免意外升级引入风险。

3. 配置防火墙限制访问
使用ufw（Uncomplicated Firewall）或iptables限制对Node.js应用端口的访问（如HTTP的80端口、HTTPS的443端口），仅允许信任的IP地址（如运维服务器IP）访问，降低DDoS、端口扫描等攻击风险。例如：sudo ufw allow from 192.168.1.100 to any port 443。

4. 启用HTTPS加密传输
使用Let’s Encrypt免费获取SSL/TLS证书，通过Certbot自动配置HTTPS，或在代码中通过https模块加载证书（key和cert文件），强制应用仅通过HTTPS通信，防止中间人攻击窃取敏感数据（如密码、支付信息）。

5. 输入验证与过滤
对用户输入（如表单数据、URL参数、请求体）进行严格验证和清理，防止SQL注入、XSS（跨站脚本攻击）、命令注入等常见攻击。可使用express-validator（定义字段规则，如body('email').isEmail()）、DOMPurify（清理HTML内容）、xss-filters（过滤XSS payload）等库自动化处理。

6. 使用安全中间件强化HTTP头
通过helmet中间件设置安全HTTP头，如Strict-Transport-Security（强制HTTPS）、X-Frame-Options（防止点击劫持）、X-XSS-Protection（启用浏览器XSS过滤器）、Content-Security-Policy（限制资源加载来源），默认移除不安全的X-Powered-By头，提升应用整体安全性。

7. 限制访问IP与速率
在应用层实现IP白名单（如通过express-ipfilter中间件仅允许特定IP访问），减少非法访问；使用rate-limiter-flexible库实施速率限制（如1秒内最多10个请求），防止DDoS攻击和暴力破解（如密码猜测）。

8. 安全存储敏感信息
避免将敏感信息（如数据库密码、API密钥、加密私钥）硬编码在代码中，使用环境变量（通过process.env读取）存储，或使用dotenv库从.env文件加载（确保.env文件不被提交到版本控制系统）。例如：.env文件中DB_PASSWORD=mysecret，代码中const dbPassword = process.env.DB_PASSWORD。

9. 日志管理与权限控制
将日志存放在专用目录（如/var/log/my-node-app），设置目录权限为750（所有者可读写执行，组可读执行，其他用户无权限）；使用fs.createWriteStream创建日志文件时，设置权限为0o640（所有者可读写，组可读）；通过logrotate配置日志轮转（如每天轮转、保留14天、压缩旧日志），避免日志文件过大泄露敏感信息或占用磁盘空间。若使用PM2管理应用，通过--uid和--gid指定PM2运行身份，并设置PM2日志目录权限。

10. 监控与安全审计
使用pm2 monit监控应用运行状态（CPU、内存、请求量），或集成New Relic、Datadog等APM工具实时监控性能指标和安全事件；定期审查系统日志（/var/log/syslog）和应用日志，检测异常行为（如大量404请求、频繁登录失败）；使用Snyk、npm audit等工具持续扫描依赖项，及时修复已知漏洞。

声明：本文内容由网友自发贡献，本站不承担相应法律责任。对本内容有异议或投诉，请联系2913721942#qq.com核实处理，我们将尽快回复您，谢谢合作！