Debian JS如何进行权限管理

Debian 上 Node.js 的权限管理实践

一 运行身份与最小权限

• 始终以普通用户运行 Node.js，避免使用 root。创建专用用户并加入 sudo（仅在需要时提权）：
  • 创建用户：sudo useradd -m -s /bin/bash nodeapp
  • 加入 sudo：sudo usermod -aG sudo nodeapp
• 禁止 root 远程登录，改用 SSH 密钥认证，降低提权与暴力破解风险：
  • 编辑 /etc/ssh/sshd_config：PermitRootLogin no，PasswordAuthentication no
  • 将公钥写入 ~/.ssh/authorized_keys，重启 sshd：sudo systemctl restart sshd
• 如运行前端构建（npm/yarn），同样以普通用户执行，避免全局安装到系统目录引发权限问题。

二 进程隔离与系统服务权限

• 使用 systemd 以最小权限托管进程，并通过 Linux 能力（capabilities） 精确授权，避免赋予完整 root 能力：
  • 示例服务文件 /etc/systemd/system/nodeapp.service：

    [Unit]
    Description=Node.js App
    After=network.target
    
    [Service]
    Type=simple
    User=nodeapp
    Group=nodeapp
    WorkingDirectory=/opt/nodeapp
    ExecStart=/usr/bin/node /opt/nodeapp/app.js
    Restart=on-failure
    # 仅授予绑定低端口的能力（如 80/443），避免 root
    CapabilityBoundingSet=CAP_NET_BIND_SERVICE
    AmbientCapabilities=CAP_NET_BIND_SERVICE
    # 安全增强
    NoNewPrivileges=yes
    ProtectSystem=strict
    PrivateTmp=yes
    ProtectHome=yes
    RestrictAddressFamilies=AF_INET AF_INET6
    
    [Install]
    WantedBy=multi-user.target
    

  • 启用服务：sudo systemctl daemon-reload && sudo systemctl enable --now nodeapp
• 如需全局可读日志，可将日志目录属主设为 root:adm，服务以 nodeapp 运行并赋予组写权限（见下节）。

三 文件与目录权限

• 日志目录与文件：创建专用目录并设定属主/权限，便于审计与轮转
  • 创建与授权：

    sudo mkdir -p /var/log/myapp
    sudo chown -R root:adm /var/log/myapp
    sudo chmod 750 /var/log/myapp
    sudo setfacl -m u:nodeapp:rwx /var/log/myapp   # 仅对 nodeapp 开放写入
    

  • 日志轮转（/etc/logrotate.d/myapp）：

    /var/log/myapp/*.log {
        daily
        missingok
        rotate 7
        compress
        notifempty
        create 640 root adm
    }
    

• 应用目录：代码与配置以 nodeapp:nodeapp 拥有，仅对必要目录授予写权限（如 uploads、cache），其余只读：

  sudo chown -R nodeapp:nodeapp /opt/nodeapp
  sudo find /opt/nodeapp -type d -exec chmod 755 {} \;
  sudo find /opt/nodeapp -type f -exec chmod 644 {} \;
  sudo chmod 700 /opt/nodeapp/.env
  

• 如启用 AppArmor，为 Node.js 进程添加日志写入规则（示例）：
  • /etc/apparmor.d/usr.bin.node 片段：

    /var/log/myapp/ r,
    /var/log/myapp/** rwk,
    

  • 重新加载：sudo systemctl reload apparmor。

四 网络与端口访问控制

• 使用 UFW 或 iptables 限制入站访问，仅暴露必要端口（如 22/80/443）：

  sudo ufw allow OpenSSH
  sudo ufw allow 80,443/tcp
  sudo ufw enable
  

• 对外服务优先使用 反向代理（Nginx） 终止 TLS，Node.js 仅监听 127.0.0.1:3000 等本地端口，减少直接暴露面。

五 依赖与运行时的安全加固

• 保持系统与依赖更新：sudo apt update && sudo apt upgrade -y
• 依赖漏洞扫描：npm audit fix，或使用 Snyk 持续监测供应链风险
• 避免以 root 运行 npm/yarn 全局安装，优先本地安装或使用 nvm 管理版本与权限
• 启用 HTTPS（如 Certbot + Nginx），并配置安全响应头（如 helmet）与 CSP 策略，降低 XSS 与数据泄露风险。