Ubuntu上Node.js如何实现安全性配置

Ubuntu上Node.js安全性配置清单

一 系统与账户安全

• 保持系统与软件包为最新：执行sudo apt update && sudo apt upgrade，及时修补漏洞。
• 启用自动安全更新：安装并启用unattended-upgrades，编辑**/etc/apt/apt.conf.d/50unattended-upgrades**以包含安全仓库，减少暴露窗口。
• 强化SSH：修改默认端口、禁用root登录、仅允许密钥认证、设置空闲超时；对外仅开放必要端口（如22/443）。
• 最小权限运行：创建非root专用用户运行Node.js，避免以高权限启动进程。
• 防火墙策略：使用ufw仅放行22/tcp（SSH）、443/tcp（HTTPS），必要时再放行应用端口（如3000/tcp），默认拒绝其他入站。
• 运行时隔离：启用AppArmor并加载合适的Node.js策略（如检查状态：sudo aa-status），限制进程对文件系统与网络的访问能力。

二 Node.js运行环境与依赖管理

• 版本管理：使用nvm安装与切换受支持的Node.js版本，便于快速获得安全修复；避免使用过旧或不再维护的版本。
• 全局包与权限：为npm设置安全的全局包目录，避免以root执行全局安装；必要时使用sudo npm install -g --unsafe-perm仅在特定场景使用。
• 依赖安全：定期执行npm audit / npm audit fix与npm outdated，及时升级存在漏洞的依赖；必要时结合Snyk进行依赖漏洞监控与修复。
• 安全编码：避免使用eval()与setTimeout(string)等不安全用法；对用户输入进行严格校验与清理，防止XSS/SQL注入等常见漏洞。

三 网络与应用层防护

• 加密传输：全站启用HTTPS/TLS，优先通过Let’s Encrypt与certbot获取免费证书，配置自动续期。
• 反向代理与静态资源：使用Nginx作为反向代理与静态资源服务，隐藏应用真实端口与实现HTTP/2、压缩、缓存等；示例：将443转发至localhost:3000。
• 安全响应头：在Express等框架中使用Helmet设置安全头，并按需配置**CSP（内容安全策略）**降低XSS风险。
• 请求与访问控制：启用速率限制（如express-rate-limit）缓解DoS；配置CORS仅允许受信任源与必要方法/头。
• 进程管理：使用PM2托管进程，便于守护、日志轮转与集群模式运行，提升稳定性与可运维性。

四 快速检查清单与常用命令