Ubuntu上Node.js如何进行安全配置

在Ubuntu上配置Node.js安全可从系统、依赖、应用层面入手，具体措施如下：

• 系统层面

  1. 使用非root用户运行：创建专用用户（如deploy）运行Node.js应用，避免以root权限启动。
  2. 更新系统与软件包：定期执行sudo apt update && sudo apt upgrade，确保系统补丁最新。
  3. 配置防火墙：用UFW限制端口访问，仅开放必要端口（如HTTP 80、HTTPS 443）。

• 依赖与版本管理

  1. 锁定依赖版本：在package.json中使用固定版本号，避免意外更新引入漏洞。
  2. 定期扫描漏洞：通过npm audit或Snyk工具检查依赖项安全，及时修复漏洞。
  3. 使用版本管理工具：推荐用NVM管理Node.js版本，避免权限问题。

• 应用安全配置

  1. 启用HTTPS：使用SSL/TLS证书加密传输，可通过Let’s Encrypt获取免费证书，或用express-sslify强制HTTPS。
  2. 输入验证与清理：使用validator.js等库验证用户输入，防止SQL注入、XSS攻击。
  3. 安全中间件：集成Helmet设置HTTP安全头（如X-Frame-Options、X-XSS-Protection）。
  4. 限制请求频率：通过express-rate-limit中间件防止DDoS攻击。

• 权限与日志管理

  1. 文件权限控制：用chmod/chown限制Node.js进程对敏感文件的访问权限。
  2. 日志记录与监控：记录应用日志，使用PM2等工具监控进程，及时发现异常。

• 其他安全实践

  • 避免使用eval()等高危函数，优先使用沙箱执行动态代码。
  • 敏感信息（如数据库密码）通过环境变量存储，使用dotenv加载。

参考来源：