在CentOS系统上进行Node.js应用的安全配置,可以遵循以下步骤:
确保系统和所有软件包都是最新的,使用以下命令进行更新:
sudo yum update -y
编辑 /etc/login.defs
文件,设置密码策略,如密码长度、复杂度等。使用 chage
命令修改用户密码设置,如密码最长使用天数、过期提醒等。
# 编辑 /etc/login.defs 文件
password requisite pam_pwquality.so try_first_pass local_users_only retry=3 minlen=8 dcredit=-1 ucredit=-1 ocredit=-1 lcredit=-1 ocredit=-1
# 使用 chage 命令修改用户密码设置
chage -E -M 90 -R -1 username
编辑 /etc/ssh/sshd_config
文件,将 PermitRootLogin
设置为 no
,禁止root用户通过SSH远程登录。创建普通权限账号并配置密码,防止无法远程登录。
# 编辑 /etc/ssh/sshd_config 文件
PermitRootLogin no
# 创建普通权限账号
useradd -m myuser
passwd myuser
编辑 /etc/ssh/sshd_config
文件,设置SSH登录限制,如允许的用户、允许的密码错误次数等。配置SSH使用的协议版本,如设置为 Protocol 2
。修改SSH的端口,如改为 Port 2222
,并配置防火墙允许该端口的访问。
# 编辑 /etc/ssh/sshd_config 文件
AllowUsers myuser
PasswordAuthentication no
PubkeyAuthentication yes
# 配置防火墙
firewall-cmd --permanent --add-port=2222/tcp
firewall-cmd --reload
禁用不需要的服务以减少潜在的攻击面,使用 systemctl
命令来禁用服务。
# 禁用不必要的服务
systemctl disable <service_name>
启用并配置防火墙以限制网络流量和服务访问,使用 firewall-cmd
命令进行配置。
# 启用并配置防火墙
firewall-cmd --permanent --zone=public --add-port=3000/tcp
firewall-cmd --reload
使用 bcrypt
或 scrypt
等安全密码哈希算法,实施多重身份验证(MFA)和单点登录(SSO)。限制失败的登录尝试以减轻暴力攻击。
# 使用 npm 安装并配置 MFA 库
npm install jsonwebtoken
使用 npm Audit
和 npm outdated
等工具定期检查和更新依赖项。在 package.json
中指定固定版本以减少意外更改。
# 使用 npm Audit 检查依赖项
npm audit
# 在 package.json 中指定固定版本
"dependencies": {
"express": "4.17.1"
}
在生产环境中,避免向用户返回详细的错误消息,以防止泄露敏感信息。
// 在 Node.js 应用中捕获错误并记录
process.on('uncaughtException', (err) => {
console.error('There was an uncaught error', err);
process.exit(1); // 强制退出进程
});
使用日志库如 Bunyan
记录关键操作和异常,以便审计和排查问题。
# 使用 Bunyan 记录日志
const bunyan = require('bunyan');
const log = bunyan.createLogger({
name: 'myapp',
level: 'info',
streams: [{
level: 'info',
stream: process.stdout
}]
});
创建一个具有运行应用程序所需最低权限的新用户,以限制安全漏洞时的潜在损害。
# 创建新用户
useradd -m myappuser
chown -R myappuser:myappuser /path/to/myapp
对于Node.js应用,还应实施输入验证、使用内容安全策略(CSP)、避免使用 eval()
和 require()
执行不受信任的代码等安全措施。
// 使用 CSP 头
app.use((req, res, next) => {
res.setHeader('Content-Security-Policy', "default-src 'self'; script-src 'self';");
next();
});
通过上述步骤,可以显著提高CentOS系统上Node.js应用的安全性,减少受到网络攻击的风险。请注意,这些安全措施需要定期审查和更新,以应对不断变化的安全威胁。