NodeJS在Ubuntu上如何进行安全配置

1. 更新系统与软件包
保持Ubuntu系统和所有软件包（包括Node.js、npm）为最新版本，及时修补已知安全漏洞。执行以下命令更新系统：

sudo apt update &
    &
     sudo apt upgrade -y

2. 使用nvm管理Node.js版本
避免使用Ubuntu默认仓库的旧版本Node.js，通过Node Version Manager（nvm）安装和管理特定版本，支持灵活切换版本并获取安全更新：

curl -o- https://raw.githubusercontent.com/nvm-sh/nvm/v0.39.1/install.sh | bash
source ~/.bashrc
nvm install --lts  # 安装最新的LTS版本（稳定且安全）
nvm use --lts

3. 配置防火墙限制访问
使用ufw（Uncomplicated Firewall）仅开放必要端口（如HTTP 80、HTTPS 443、SSH 22），阻止非法IP访问：

sudo ufw allow 22/tcp   # 允许SSH远程管理
sudo ufw allow 443/tcp  # 允许HTTPS加密流量
sudo ufw enable         # 启用防火墙
sudo ufw status         # 查看防火墙规则

4. 以非root用户运行Node.js
遵循最小权限原则，创建专用用户（如nodeuser）运行应用，避免root权限被滥用导致系统沦陷：

sudo adduser nodeuser   # 创建用户
sudo usermod -aG www-data nodeuser  # 添加到www-data组（可选，便于web服务协作）
# 切换至nodeuser用户，启动应用
su - nodeuser
node app.js

5. 强制使用HTTPS加密传输
通过SSL/TLS证书加密客户端与服务器之间的数据，防止中间人攻击。可使用Let’s Encrypt免费证书，并用helmet中间件强化安全头：

# 安装helmet中间件
npm install helmet
# 在Express应用中配置helmet
const helmet = require('helmet');
    
app.use(helmet());
      // 自动设置X-Frame-Options、X-XSS-Protection等安全头
# 配置HTTPS服务器（需提前获取cert.pem和key.pem）
const https = require('https');
    
const fs = require('fs');

const options = {
 key: fs.readFileSync('key.pem'), cert: fs.readFileSync('cert.pem') }
    ;
    
https.createServer(options, app).listen(443);

6. 严格过滤用户输入
对所有用户输入（如表单、URL参数、请求体）进行验证和清理，防止SQL注入、XSS（跨站脚本）等攻击。使用express-validator等库实现：

const {
 body, validationResult }
     = require('express-validator');

app.post('/submit', 
  body('username').isLength({
 min: 3 }
    ).trim().escape(),  // 验证长度并转义HTML
  body('email').isEmail().normalizeEmail(),             // 验证邮箱格式
  (req, res) =>
 {
    
    const errors = validationResult(req);

    if (!errors.isEmpty()) {

      return res.status(400).json({
 errors: errors.array() }
    );

    }

    // 处理合法输入
  }
    
);
    

7. 监控日志与异常行为
收集系统日志（/var/log/syslog）和应用日志（如使用winston或bunyan），定期检查异常活动（如频繁登录失败、非法请求）：

# 查看系统实时日志
sudo tail -f /var/log/syslog
# 使用winston记录应用日志（示例）
const winston = require('winston');

const logger = winston.createLogger({

  level: 'info',
  format: winston.format.json(),
  transports: [new winston.transports.File({
 filename: 'app.log' }
)],
}
    );
    
logger.info('Application started');
    

8. 定期审计依赖项安全
使用npm audit检查项目依赖中的已知漏洞，自动修复可修复的问题；npm outdated查看过时依赖，及时升级到安全版本：

# 安装npm-audit（可选，增强审计功能）
sudo npm install -g npm-audit
# 运行安全审计
npm audit
# 修复可自动修复的漏洞
npm audit fix
# 升级过时依赖
npm outdated  # 查看过时依赖
npm update   # 升级所有依赖

9. 配置AppArmor限制进程权限
AppArmor是Linux内核安全模块，可限制Node.js进程对文件系统、网络的访问。启用并自定义AppArmor配置文件（通常位于/etc/apparmor.d/）：

# 检查AppArmor状态
sudo aa-status
# 编辑Node.js应用的AppArmor配置文件（如/usr/sbin/node）
sudo nano /etc/apparmor.d/usr.sbin.node
# 添加限制规则（示例：禁止访问/etc/shadow）
deny /etc/shadow rwx,
# 重新加载AppArmor配置
sudo systemctl reload apparmor

10. 安全存储敏感信息
将数据库密码、API密钥等敏感信息存储在环境变量中（通过.env文件或系统环境变量），而非代码中。使用dotenv库加载环境变量：

# 安装dotenv
npm install dotenv
# 创建.env文件（添加敏感信息）
DB_PASSWORD=your_secure_password
API_KEY=your_api_key
# 在代码中加载.env文件
require('dotenv').config();
    
const dbPassword = process.env.DB_PASSWORD;

11. 限制子进程权限
使用child_process模块时，通过cwd（工作目录）、env（环境变量）、stdio（标准流）等选项限制子进程权限，避免执行危险命令：

const {
 spawn }
     = require('child_process');

const child = spawn('ls', ['-la', '/tmp'], {

  cwd: '/tmp',          // 限制工作目录为/tmp
  env: {
 ...process.env, NODE_ENV: 'production' }
,  // 限制环境变量
  stdio: 'pipe',        // 控制标准流（避免继承父进程）
}
    );
    
child.stdout.on('data', (data) =>
 console.log(`Output: ${
data}
    `));
    
child.stderr.on('data', (data) =>
 console.error(`Error: ${
data}
    `));
    
child.on('close', (code) =>
 console.log(`Child process exited with code ${
code}
    `));
    

声明：本文内容由网友自发贡献，本站不承担相应法律责任。对本内容有异议或投诉，请联系2913721942#qq.com核实处理，我们将尽快回复您，谢谢合作！