CentOS Node.js如何确保安全性

一、系统级安全基础

1. 保持系统与软件包更新：定期执行sudo yum update -y更新CentOS系统内核及软件包，修补已知安全漏洞；使用sudo npm install -g npm升级npm至最新版本，避免因旧版本漏洞引发风险。
2. 使用NVM管理Node.js版本：通过curl -o- https://raw.githubusercontent.com/nvm-sh/nvm/v0.39.1/install.sh | bash安装NVM，再通过nvm install <版本号>（如nvm install 18）安装指定版本的Node.js，便于版本切换和及时升级到安全版本。
3. 配置防火墙限制访问：使用firewalld限制仅开放必要端口（如HTTP的80端口、HTTPS的443端口、Node.js应用的3000端口），命令示例：sudo firewall-cmd --permanent --add-service=https && sudo firewall-cmd --reload；若需更严格控制，可通过--add-rich-rule限制特定IP访问Node.js端口。
4. 禁用root远程登录与强化SSH：编辑/etc/ssh/sshd_config，设置PermitRootLogin no禁止root远程登录，启用PubkeyAuthentication yes（公钥认证）替代密码认证，增加PasswordAuthentication no关闭密码登录；修改默认SSH端口（如Port 2222）并更新防火墙规则，降低暴力破解风险。

二、Node.js应用层安全配置

1. 避免以root权限运行：创建普通用户（如useradd -m myuser），通过chown -R myuser:myuser /path/to/app赋予应用目录权限，使用sudo -u myuser node app.js启动应用，避免进程拥有过高系统权限。
2. 严格验证用户输入：使用validator库对用户输入（如邮箱、URL、字符串长度）进行校验，示例：const validator = require('validator'); if (!validator.isEmail(req.body.email)) throw new Error('Invalid email')；防止SQL注入，优先使用ORM（如Sequelize、TypeORM）或参数化查询，避免拼接SQL语句。
3. 强化会话与身份验证：使用helmet中间件设置安全HTTP头（如Content-Security-Policy、X-Frame-Options），示例：const helmet = require('helmet'); app.use(helmet())；采用bcrypt或scrypt对用户密码进行哈希存储，避免明文保存；实现JWT（JSON Web Token）身份验证，确保API访问需授权。
4. 配置HTTPS加密通信：使用Let’s Encrypt免费获取SSL证书（sudo certbot --nginx -d yourdomain.com），或通过https-express中间件强制HTTPS，示例：const https = require('https'); const fs = require('fs'); const options = { key: fs.readFileSync('key.pem'), cert: fs.readFileSync('cert.pem') }; https.createServer(options, app).listen(443)。
5. 限制访问权限与速率：通过中间件限制API访问来源，示例：app.use((req, res, next) => { if (req.ip !== '192.168.1.100') return res.status(403).send('Forbidden'); next(); })；使用express-rate-limit限制请求速率（如每分钟60次），防止DDoS攻击，示例：const rateLimit = require('express-rate-limit'); app.use(rateLimit({ windowMs: 60 * 1000, max: 60 }))。
6. 安全错误处理：避免在生产环境泄露敏感信息（如堆栈跟踪、数据库错误），通过process.on('uncaughtException')捕获未处理异常并记录到日志（如winston），示例：process.on('uncaughtException', (err) => { console.error('Uncaught error:', err); process.exit(1); })；自定义错误页面，返回通用提示（如“Internal Server Error”）。

三、依赖与持续安全维护

1. 定期更新依赖项：使用npm audit检查项目依赖的安全漏洞，npm outdated查看过时依赖，及时更新到安全版本；在package.json中锁定依赖版本（如"express": "4.17.1"），避免意外升级引入漏洞。
2. 日志监控与应急响应：使用journalctl -u your-app.service监控应用日志，结合winston或morgan记录详细访问日志（如请求IP、方法、路径）；设置告警规则（如异常请求量激增），及时响应安全事件（如漏洞利用、数据泄露）。