Linux Node.js 安全配置要注意什么

Linux 上部署 Node.js 的安全要点

一 运行环境与权限

• 使用非 root用户运行应用，遵循最小权限原则；通过 NVM 或 NodeSource 安装与切换版本，便于及时获得安全修复。
• 进程前台运行并纳入进程管理（如 systemd），设置自动重启与运行用户/工作目录/权限；禁止在生产启用 –inspect 调试端口。
• 示例 systemd 片段（请按实际路径与用户调整）：

  [Unit]
  Description=my-node-app
  After=network.target
  
  [Service]
  Type=simple
  User=nodeapp
  WorkingDirectory=/opt/myapp
  ExecStart=/usr/bin/node /opt/myapp/index.js
  Restart=on-failure
  RestartSec=10
  Environment=NODE_ENV=production
  
  [Install]
  WantedBy=multi-user.target
  

  以上做法有助于降低权限提升风险并提升可运维性与可审计性。

二 传输加密与反向代理

• 全站启用 HTTPS/TLS，优先使用 Let’s Encrypt 等可信证书并配置自动续期；如用自签证书仅限测试。
• 建议前置 Nginx/Apache 作为反向代理与 TLS 终止，Node.js 监听本地端口；在代理上设置头部：
  • X-Forwarded-For、X-Real-IP、X-Forwarded-Proto: https
  • 在 Node.js（如 Express）中调用 app.set(‘trust proxy’, true) 以正确识别客户端 IP 与协议。
• 使用工具对 TLS 配置做基线核查（如 Qualys SSL Labs、nmap、sslyze），确保协议/套件/密钥长度合规。
  通过反向代理与严格传输安全可显著降低暴露面与中间人攻击风险。

三 应用层安全控制

• 启用 Helmet 设置安全响应头，并配置**内容安全策略（CSP）**以缓解 XSS；仅允许受信源与必要指令。
• 严格 CORS 策略：明确 origin、methods、allowedHeaders，避免使用通配的 **Access-Control-Allow-Origin: ***。
• 实施输入校验/清理（如 Joi、express-validator），对输出进行适当转义，防止 SQL 注入/XSS。
• 启用速率限制（如 express-rate-limit）抵御暴力破解与滥用；表单场景启用 CSRF 保护。
• 安全的身份认证与授权：使用 bcrypt/scrypt 哈希密码，支持 MFA/SSO，基于 RBAC 控制资源访问；对 JWT 采用强密钥、短有效期与 HTTP-only Cookie 存储。
• 安全的错误处理：生产环境不暴露堆栈与敏感细节，统一错误码与日志审计。
  这些措施覆盖常见 Web 漏洞的关键面，显著降低攻击成功率。

四 依赖与代码安全

• 固定依赖版本（使用 package-lock.json/npm-shrinkwrap.json），避免意外升级引入风险；定期执行 npm audit fix 与 npm outdated，结合 Snyk 持续监控供应链风险。
• 移除或替换存在已知漏洞的第三方库，保持 Node.js 运行时与依赖库为最新稳定版。
• 安全编码：避免使用 eval()、不安全的反序列化与拼接 SQL；对外部数据与配置进行完整性校验。
  持续依赖治理与安全审计是降低 0day 与依赖投毒风险的核心。

五 系统与网络防护

• 使用 ufw/iptables 实施最小端口放行（如仅开放 22/80/443），对管理口与数据库端口设置来源限制与访问控制。
• 部署 Fail2ban 监控暴力登录与异常访问；结合 Logwatch 或集中化日志平台进行审计与告警。
• 对公网服务启用 WAF/IDS/IPS（如可行），并定期备份与演练恢复，确保可观测性与业务连续性。
  系统层面的加固与网络边界控制为应用提供纵深防御。