CentOS Node.js如何进行安全配置

在CentOS系统上进行Node.js应用的安全配置，可以遵循以下步骤：

1. 更新系统和软件包

确保系统和所有软件包都是最新的，使用以下命令进行更新：

sudo yum update -y

2. 配置密码策略

编辑 /etc/login.defs 文件，设置密码策略，如密码长度、复杂度等。使用 chage 命令修改用户密码设置，如密码最长使用天数、过期提醒等。

# 编辑 /etc/login.defs 文件
password requisite pam_pwquality.so try_first_pass local_users_only retry=3 minlen=8 dcredit=-1 ucredit=-1 ocredit=-1 lcredit=-1 ocredit=-1

# 使用 chage 命令修改用户密码设置
chage -E -M 90 -R -1 username

3. 限制root用户远程访问

编辑 /etc/ssh/sshd_config 文件，将 PermitRootLogin 设置为 no，禁止root用户通过SSH远程登录。创建普通权限账号并配置密码，防止无法远程登录。

# 编辑 /etc/ssh/sshd_config 文件
PermitRootLogin no

# 创建普通权限账号
useradd -m myuser
passwd myuser

4. 配置SSH登录限制

编辑 /etc/ssh/sshd_config 文件，设置SSH登录限制，如允许的用户、允许的密码错误次数等。配置SSH使用的协议版本，如设置为 Protocol 2。修改SSH的端口，如改为 Port 2222，并配置防火墙允许该端口的访问。

# 编辑 /etc/ssh/sshd_config 文件
AllowUsers myuser
PasswordAuthentication no
PubkeyAuthentication yes

# 配置防火墙
firewall-cmd --permanent --add-port=2222/tcp
firewall-cmd --reload

5. 禁用不必要的服务

禁用不需要的服务以减少潜在的攻击面，使用 systemctl 命令来禁用服务。

# 禁用不必要的服务
systemctl disable <service_name>

6. 配置防火墙

启用并配置防火墙以限制网络流量和服务访问，使用 firewall-cmd 命令进行配置。

# 启用并配置防火墙
firewall-cmd --permanent --zone=public --add-port=3000/tcp
firewall-cmd --reload

7. 实施强身份验证和授权

使用 bcrypt 或 scrypt 等安全密码哈希算法，实施多重身份验证（MFA）和单点登录（SSO）。限制失败的登录尝试以减轻暴力攻击。

# 使用 npm 安装并配置 MFA 库
npm install jsonwebtoken

8. 保持依赖关系更新和安全

使用 npm Audit 和 npm outdated 等工具定期检查和更新依赖项。在 package.json 中指定固定版本以减少意外更改。

# 使用 npm Audit 检查依赖项
npm audit

# 在 package.json 中指定固定版本
"dependencies": {
  "express": "4.17.1"
}

9. 避免暴露过多的错误信息

在生产环境中，避免向用户返回详细的错误消息，以防止泄露敏感信息。

// 在 Node.js 应用中捕获错误并记录
process.on('uncaughtException', (err) => {
  console.error('There was an uncaught error', err);
  process.exit(1); // 强制退出进程
});

10. 设置日志记录和监控

使用日志库如 Bunyan 记录关键操作和异常，以便审计和排查问题。

# 使用 Bunyan 记录日志
const bunyan = require('bunyan');
const log = bunyan.createLogger({
  name: 'myapp',
  level: 'info',
  streams: [{
    level: 'info',
    stream: process.stdout
  }]
});

11. 使用非 root 权限运行 Node.js

创建一个具有运行应用程序所需最低权限的新用户，以限制安全漏洞时的潜在损害。

# 创建新用户
useradd -m myappuser
chown -R myappuser:myappuser /path/to/myapp

12. 配置Node.js应用

对于Node.js应用，还应实施输入验证、使用内容安全策略（CSP）、避免使用 eval() 和 require() 执行不受信任的代码等安全措施。

// 使用 CSP 头
app.use((req, res, next) => {
  res.setHeader('Content-Security-Policy', "default-src 'self'; script-src 'self';");
  next();
});

通过上述步骤，可以显著提高CentOS系统上Node.js应用的安全性，减少受到网络攻击的风险。请注意，这些安全措施需要定期审查和更新，以应对不断变化的安全威胁。