Linux Node.js应用如何进行安全加固

Linux Node.js 应用安全加固清单

一 运行环境与系统层加固

• 保持运行时与依赖更新：使用 Node.js 最新 LTS，通过 nvm 或系统包管理器升级；依赖使用 npm audit / npm outdated / Snyk 持续巡检与修复。
• 最小权限运行：创建 非 root 专用用户运行应用，禁止在生产启用 调试/REPL。
• 进程隔离与守护：使用 systemd 管理进程，设置 Restart=on-failure，将 工作目录、用户、权限、超时 显式声明；对外仅暴露 80/443，Node 监听 127.0.0.1:3000 由反向代理转发。
• 防火墙与端口：仅放行 22/80/443；云上配合 安全组 限制来源 IP。
• 传输加密：全站 HTTPS/TLS 1.2+，优先 ECDHE 套件，启用 HSTS。
• 请求与资源防护：限制请求体大小（如 50MB 上限），开启 速率限制 抵御暴力与滥用。
• 入侵检测与日志：部署 Snort/Suricata 等 IDS/IPS，集中采集 systemd-journald/rsyslog 日志并配置 日志轮转。
• 备份与加密：定期 离线/异地备份，对静态数据启用 LUKS/dm-crypt 磁盘加密。

二 应用层安全配置

• 安全响应头：使用 Helmet 设置 CSP、X-Frame-Options、X-XSS-Protection、X-Content-Type-Options、Referrer-Policy、HSTS 等头部，降低 XSS、点击劫持、MIME 嗅探 等风险。
• CORS 最小化：仅允许可信源、必要方法与头，避免 **Access-Control-Allow-Origin: ***。
• 输入校验与输出编码：对所有用户输入进行 白名单校验/规范化；模板引擎启用 自动转义；对不可信数据使用 escape-html 等转义库。
• 注入防御：数据库使用 参数化查询/ORM；避免 eval/new Function/child_process.exec 等执行不可信输入。
• 身份认证：优先 JWT（短时效）+ 刷新令牌 或 OAuth2/OIDC；设置 强密钥、显式算法、过期时间 与 令牌撤销 机制。
• 授权控制：采用 RBAC 或 RBAC+ABAC 混合模型，按 资源/操作/租户/环境 等属性细粒度控制；在路由层以中间件统一校验。
• 会话与令牌：启用 HttpOnly、Secure、SameSite Cookie 属性；对敏感操作增加 二次校验/验证码。
• 错误处理：生产环境返回 通用错误信息，将 堆栈与敏感细节 写入受控日志。

三 配置与密钥管理

• 分级配置：使用 config 或 nconf 分层（default/development/production + custom-environment-variables），将 密钥与密码 从代码中剥离。
• 环境变量与模板：开发用 .env（加入 .gitignore），生产通过 环境变量/密钥管理服务 注入；可用 envsubst 做模板渲染。
• 密钥全生命周期：禁止硬编码与提交；使用 KMS/Secrets Manager 集中管理；定期 轮换 并具备 撤销 流程。
• 文件与权限：配置与密钥文件权限 600/640，属主匹配运行用户；禁用明文备份。
• 构建与部署：CI/CD 中校验 密钥未泄露，使用 husky/git-secrets 等工具做提交前拦截。

四 快速落地命令与配置示例

• 系统与防火墙
  • UFW（Debian/Ubuntu）：sudo ufw allow 22,80,443/tcp & & sudo ufw enable
  • firewalld（CentOS/RHEL）：sudo firewall-cmd --permanent --add-service=http,https & & sudo firewall-cmd --reload
• HTTPS 与反向代理（Nginx）
  • 获取证书：sudo certbot --nginx -d yourdomain.com
  • 反向代理示例：
    • listen 443 ssl; ssl_certificate /path/cert.pem; ssl_certificate_key /path/key.pem;
    • location / { proxy_pass http://127.0.0.1:3000; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto $scheme; }
• Node.js 安全中间件（Express）
  • Helmet：app.use(helmet({ contentSecurityPolicy: { directives: { defaultSrc: [“‘self’”], scriptSrc: [“‘self’”], styleSrc: [“‘self’”,“‘unsafe-inline’”], imgSrc: [“‘self’”,“data:”], connectSrc: [“‘self’”], frameSrc: [“‘none’”], objectSrc: [“‘none’”] } } ));
  • CORS：app.use(cors({ origin: ‘https://yourdomain.com’, methods: [‘GET’,‘POST’,‘PUT’,‘DELETE’], allowedHeaders: [‘Content-Type’,‘Authorization’] } ));
  • 限流：const rateLimit = require(‘express-rate-limit’); app.use(‘/api/’, rateLimit({ windowMs: 15601000, max: 100 } ));
  • 请求体限制：app.use(express.json({ limit: ‘50mb’ } )); app.use(express.urlencoded({ limit: ‘50mb’, extended: true } ));
  • 日志：const morgan = require(‘morgan’); app.use(morgan(‘combined’));
• 依赖安全与版本管理
  • 升级与审计：npm install -g n & & sudo n latest；npm audit fix；npm outdated；snyk test/monitor；
  • 运行时：node -v；npm -v。

五 持续化与审计

• 安全测试与监控：在 CI 集成 npm audit/snyk 与 OWASP ZAP 基线扫描；上线后持续 异常流量/登录失败 监控与告警。
• 代码与提交安全：使用 husky 预提交/预推送钩子执行 lint、test、security:check/audit；对密钥与敏感模式进行 预提交拦截。
• 审计与演练：定期 依赖漏洞复盘、权限模型评审 与 应急响应演练；保留 变更审计 与 取证日志。

声明：本文内容由网友自发贡献，本站不承担相应法律责任。对本内容有异议或投诉，请联系2913721942#qq.com核实处理，我们将尽快回复您，谢谢合作！