Ubuntu 上 Postman 的安全设置指南
一 证书与 HTTPS 基础
- 保持默认的SSL certificate verification 开启,仅对明确受信任的内部自签名服务临时关闭,避免中间人风险。
- 当目标服务器启用双向 TLS(mTLS)时,在 Postman 的File → Settings → Certificates中添加客户端证书(支持 CRT/PEM 与 PFX/P12,如私钥有密码需填写),之后对应域名会自动携带客户端证书完成握手。
- 进行接口调试时,优先使用 HTTPS 目标地址,并核对响应面板的证书链与有效期信息,确认连接真实可信。
二 捕获 HTTPS 流量的证书安全
- 使用 Postman 内置代理抓取 HTTPS 时,需要在被代理设备(如 Android/iOS/Linux/macOS/Windows)安装 Postman 的根证书 postman-proxy-ca.crt,否则无法解密 HTTPS。
- 在 Ubuntu 系统浏览器/系统证书库中安装该 CA,仅用于测试环境,生产或公共网络不建议安装:
- 复制证书到系统 CA 目录:
sudo mkdir -p /usr/share/ca-certificates/extra
sudo cp ~/.config/Postman/proxy/postman-proxy-ca.crt /usr/share/ca-certificates/extra/postman-proxy-ca.crt
- 更新系统证书信任:
sudo dpkg-reconfigure ca-certificates
sudo update-ca-certificates
- 可选:为 Chrome/Chromium 导入到“Authorities”并勾选“信任此证书以识别网站”;为 Firefox 在“Authorities”导入并选择“Trust this CA to identify websites”。
- 不再需要时,及时在系统中停用或删除该证书,避免长期扩大攻击面。
三 代理与网络安全
- 如公司或实验室网络需要 HTTP/HTTPS 代理,在 Postman 的Settings → Proxy中配置代理主机与端口;若代理需要身份验证,启用Proxy authentication并填写凭据。
- 避免将敏感信息(如 API Key、密码、令牌)硬编码在请求体或脚本中,建议使用环境变量/环境进行注入与管理,降低泄露风险。
四 运行环境与访问控制
- 安装方式建议:优先使用 Snap 官方包(经典模式)或官方提供的 Linux 发行包,并在需要时通过系统包管理器维护更新,减少供应链风险。
- 桌面环境安全:若通过 .desktop 文件或快捷方式启动,确保仅当前用户可读写相关配置目录,避免其他本地用户读取敏感数据。
- 最小化权限:日常以普通用户运行 Postman;仅在需要系统级证书操作(如导入 CA)时临时使用 sudo,操作完成后立即收回权限。
五 安全设置速查表
| 场景 |
推荐做法 |
关键路径/命令 |
风险提示 |
| 日常请求 |
保持证书校验开启 |
Settings → General → SSL certificate verification = ON |
关闭会暴露于中间人攻击 |
| 双向 TLS |
导入客户端证书 |
Settings → Certificates → Add Certificate(CRT/PEM 或 PFX/P12) |
妥善保管私钥与密码 |
| 抓取 HTTPS |
仅测试机安装 CA |
复制到 /usr/share/ca-certificates/extra/ → sudo update-ca-certificates |
生产/公共网络不要安装 |
| 浏览器抓包 |
分别导入到 Chrome/Firefox 的 Authorities |
选择“信任此证书以识别网站” |
浏览器将信任由 Postman 签发的所有站点证书 |
| 代理环境 |
在 Postman 配置代理与认证 |
Settings → Proxy |
代理凭据不要写入脚本/仓库 |
以上设置可在不影响功能的前提下,显著提升 Ubuntu 上 Postman 的通信与配置安全。
