Ubuntu 环境下 JavaScript 安全实践指南
一 系统层加固
- 保持系统与软件包为最新:执行sudo apt update && sudo apt upgrade,及时修补漏洞。
- 启用自动安全更新:安装并配置unattended-upgrades,编辑**/etc/apt/apt.conf.d/50unattended-upgrades**以自动安装安全更新。
- 最小权限运行:创建非 root专用用户运行服务,避免以高权限启动 Node.js。
- 进程隔离:使用 AppArmor 限制 Node.js 的文件、网络等访问能力,检查状态用aa-status。
- 防火墙与 SSH:用 ufw 仅放行必要端口(如 22/80/443);SSH 禁用 root 登录、仅允许密钥认证、可修改默认端口并设置空闲超时。
二 Node.js 运行时与依赖管理
- 版本管理:使用 nvm 安装与切换 Node.js,便于快速获得安全修复版本。
- 运行方式:始终以非 root用户启动应用;生产环境建议用 PM2 守护进程管理。
- 反向代理与传输安全:用 Nginx 作为反向代理,对外仅暴露 80/443,Node.js 监听本地端口;全站启用 HTTPS/TLS,证书可用 Let’s Encrypt。
- 依赖安全:定期执行npm audit / npm outdated,及时升级;必要时结合 Snyk 等工具进行漏洞扫描与修复。
- 安全编码:避免使用eval、new Function与setTimeout(string);严格校验与清理用户输入,启用 CSRF、CORS 等安全中间件;为密码存储使用bcrypt/scrypt;限制请求大小并使用express-rate-limit缓解 DoS。
三 前端与浏览器侧安全
- 内容安全策略 CSP:限制脚本来源与执行方式,减少 XSS 攻击面。
- 输入输出安全:对用户输入进行严格校验与转义,输出到页面前进行HTML 转义;富文本内容使用 DOMPurify 等库清理。
- 传输与证书:全站启用 HTTPS/TLS,确保证书有效并开启 HSTS。
- 安全响应头:启用 X-Frame-Options、X-XSS-Protection、X-Content-Type-Options、Referrer-Policy 等头部提升浏览器防护能力。
四 日志监控与审计
- 日志定位与检索:Node/系统日志常位于**/var/log/(如 /var/log/syslog、/var/log/apache2/error.log**);用grep -i “error” /var/log/syslog等命令检索异常关键词。
- 持续监控与告警:结合 logwatch 或 ELK Stack 做自动化分析与报表;对异常登录、频繁失败、非法请求等进行告警。
- 应用内日志:使用结构化日志(如 Bunyan),集中采集并脱敏敏感信息,避免在生产环境暴露堆栈与内部路径。
五 快速检查清单
| 领域 |
关键动作 |
命令或要点 |
| 系统与更新 |
更新与自动安全更新 |
sudo apt update && sudo apt upgrade;配置 unattended-upgrades |
| 访问控制 |
防火墙与 SSH 加固 |
ufw allow 22,80,443/tcp;SSH 禁用 root、仅密钥、改端口、超时 |
| 运行身份 |
非 root 与进程隔离 |
专用用户启动;AppArmor 策略(aa-status) |
| Node 运行时 |
版本与进程管理 |
nvm;PM2;监听 127.0.0.1:3000 |
| 反向代理 |
Nginx + TLS |
仅暴露 80/443;HTTP→HTTPS 跳转;证书用 Let’s Encrypt |
| 依赖安全 |
审计与修复 |
npm audit / npm outdated;必要时用 Snyk |
| 前端安全 |
CSP、转义、安全头 |
CSP 策略;输入校验与转义;X-Frame-Options/X-XSS-Protection 等 |
| 日志监控 |
收集、检索、告警 |
/var/log/;grep;logwatch/ELK;结构化日志(Bunyan) |