Node.js 在 Linux 上的安全策略清单
一 运行环境与权限
- 保持运行时与依赖的及时更新:使用 Node.js 最新稳定版,定期执行 npm audit / npm update 修复漏洞;必要时用 nvm 管理版本,避免权限与兼容性问题。
- 以非 root 用户运行:为应用创建最小权限专用用户与专属目录,禁止在生产以 root 直接启动进程。
- 强化系统与进程边界:启用 UFW 仅开放 22/80/443 等必要端口;按需使用 AppArmor 对 Node.js 进程做文件系统与能力约束。
- 网络与反向代理:对外暴露尽量收敛到 Nginx/Apache,在代理层终止 TLS 并转发本地端口,减少直接暴露 Node.js 进程。
二 应用层安全控制
- 启用 HTTPS/TLS:全站强制 HTTPS,妥善管理证书与私钥;可用自签或 Let’s Encrypt 等 CA。
- 安全响应头:使用 Helmet 设置 Strict-Transport-Security、X-Frame-Options、X-XSS-Protection、X-Content-Type-Options、Content-Security-Policy 等头部;这些头也可在 Nginx 层统一配置。
- 输入校验与输出编码:对所有用户输入进行严格校验与过滤,防范 XSS/SQL 注入/命令注入;输出到模板时进行HTML 转义。
- 身份认证与授权:采用 bcrypt/scrypt 等强哈希;实现登录失败锁定、限流与必要的 MFA/SSO。
- 限流与防滥用:对登录、注册、API 等接口实施 Rate Limiting(如 express-rate-limit),缓解 DoS/暴力破解。
- 会话与 CSRF:为会话设置安全标志(HttpOnly、Secure、SameSite);在需要状态变更的表单中使用 CSRF Token。
- 错误处理与信息泄露:避免在生产返回堆栈与敏感细节,统一错误响应;记录必要的安全审计日志。
三 依赖与代码安全
- 依赖治理:使用 npm audit、npm outdated、Snyk 持续监测与修复依赖漏洞;在 package.json 中固定版本并使用锁定文件确保可重复构建。
- 安全编码:避免使用 eval()、new Function()、setTimeout(string) 等动态执行路径;谨慎引入第三方库并做来源与维护度审查。
- 反序列化与令牌:对外部数据进行完整性校验与身份校验;使用如 jsonwebtoken 等库安全处理 JWT(校验签名与时效)。
四 日志与监控审计
- 日志权限与隔离:遵循最小权限原则设置日志文件权限(如 644),使用 chown/chgrp/ACL 精细控制;避免使用 777。
- 日志轮转与归档:使用 logrotate 按日/大小切割、压缩与清理,控制磁盘占用并便于取证。
- 日志采集与保留:使用 Winston/Pino/Bunyan 等结构化日志库;结合 PM2 的日志聚合与按日期轮转能力。
- 监控与告警:对异常流量、登录失败激增、错误率上升等设定阈值告警;定期审计日志与权限配置。
五 快速落地清单
| 策略 |
关键动作 |
工具/配置示例 |
| 运行权限 |
非 root、最小权限用户 |
创建 app 用户、目录 750、禁止 root 启动 |
| 端口与防火墙 |
仅开放 22/80/443 |
UFW: allow 22,80,443;默认 deny |
| TLS 与代理 |
全站 HTTPS、代理层终止 TLS |
Nginx 配置 443/ssl、proxy_pass 到 3000 |
| 安全响应头 |
启用 HSTS/XFO/XSS/CTO/CSP |
Helmet 或 Nginx add_header |
| 限流 |
登录/注册/API 限速 |
express-rate-limit:windowMs=15m, max=100 |
| 依赖安全 |
审计与修复、锁定版本 |
npm audit fix、package-lock.json |
| 日志与轮转 |
权限 644、ACL、按日轮转 |
chmod/chown、setfacl、logrotate |
| 监控告警 |
采集与阈值告警 |
Winston/Pino + PM2 + 监控平台 |
以上策略可按“运行时 → 应用 → 依赖 → 日志”的顺序分层实施,并结合实际业务风险做灰度与回滚预案。