CentOS上Node.js如何进行安全防护

CentOS上Node.js安全防护全流程指南

一、系统级安全基础

1. 强化系统底层防护

   • 更新系统与软件：定期执行sudo yum update -y更新CentOS内核、软件包及安全补丁，修复已知漏洞；
   • 精简超级用户权限：定期检查/etc/passwd，禁用非必要超级用户账户；
   • 强化密码策略：修改/etc/login.defs，要求密码包含大小写字母、数字和特殊字符（长度≥10位）；
   • 保护关键文件：使用chattr +i命令锁定/etc/passwd、/etc/shadow、/etc/group等文件，防止未授权修改；
   • 限制su命令使用：编辑/etc/pam.d/su，仅允许wheel组用户切换至root。

2. 配置防火墙规则

   • 安装与启动firewalld：sudo yum install -y firewalld启动服务并设置开机自启（sudo systemctl enable --now firewalld）；
   • 开放必要端口：默认HTTP（80）、HTTPS（443）端口可通过sudo firewall-cmd --permanent --zone=public --add-service={http,https}添加，自定义端口（如Node.js应用的3000端口）用sudo firewall-cmd --permanent --zone=public --add-port=3000/tcp；
   • 限制访问源：通过sudo firewall-cmd --permanent --zone=public --add-rich-rule='rule family="ipv4" source address="192.168.1.100" port protocol="tcp" port="3000" accept'仅允许可信IP访问；
   • 重载配置：每次修改后执行sudo firewall-cmd --reload使规则生效。

二、Node.js应用层安全防护

1. 依赖项安全管理

   • 使用NVM管理Node.js版本：通过curl -o- https://raw.githubusercontent.com/nvm-sh/nvm/v0.39.1/install.sh | bash安装NVM，用nvm install --lts安装最新稳定版，避免旧版本漏洞；
   • 审计与更新依赖：定期运行npm audit或snyk test识别依赖项中的安全漏洞，优先修复高危问题；
   • 避免硬编码敏感信息：使用dotenv库加载.env文件，将数据库密码、API密钥等敏感信息存储在环境变量中，切勿提交至版本控制系统。

2. 应用代码安全实践

   • 输入验证与过滤：使用validator库验证用户输入（如邮箱、手机号），防止SQL注入、XSS攻击（如const validator = require('validator'); if (!validator.isEmail(email)) throw new Error('Invalid email')）；
   • 参数化查询：使用ORM（如Sequelize）或参数化查询（如mysql库的?占位符），避免直接拼接SQL语句（如connection.query('SELECT * FROM users WHERE id = ?', [userId], callback)）；
   • 安全会话管理：使用express-session结合Redis存储会话数据，设置secret密钥（如app.use(session({ secret: process.env.SESSION_SECRET, resave: false, saveUninitialized: false }))），并对会话数据进行签名验证。

3. 安全中间件配置

   • Helmet.js：通过const helmet = require('helmet'); app.use(helmet())设置HTTP安全头部（如Content-Security-Policy、X-Frame-Options），防止XSS、点击劫持等攻击；
   • 速率限制：使用express-rate-limit限制客户端请求频率（如const rateLimit = require('express-rate-limit'); app.use(rateLimit({ windowMs: 15 * 60 * 1000, max: 100 }))），防范DDoS攻击；
   • CORS策略：使用cors库精确控制允许访问的域名（如app.use(cors({ origin: 'https://trusted-domain.com' }))），避免跨域攻击。

4. HTTPS加密通信

   • 申请SSL证书：通过Let’s Encrypt免费获取证书（sudo certbot --nginx -d yourdomain.com）；
   • 配置Node.js应用：使用https模块加载证书（如const https = require('https'); const fs = require('fs'); const options = { key: fs.readFileSync('/etc/letsencrypt/live/yourdomain.com/privkey.pem'), cert: fs.readFileSync('/etc/letsencrypt/live/yourdomain.com/fullchain.pem') }; https.createServer(options, app).listen(443)）；
   • 重定向HTTP：通过app.use((req, res, next) => { if (!req.secure) res.redirect(https://${req.headers.host}${req.url}); else next(); })将HTTP请求重定向至HTTPS。

三、运维与监控

1. 权限与用户管理

   • 非root运行应用：创建专用用户（如nodeuser），通过chown -R nodeuser:nodeuser /path/to/app设置应用目录权限，使用sudo -u nodeuser node app.js启动应用，避免以root权限运行；
   • 设置文件权限：应用代码目录权限设为755（chmod -R 755 /path/to/app），敏感文件（如.env）权限设为600（chmod 600 /path/to/.env）。

2. 日志与监控

   • 结构化日志记录：使用winston或morgan记录请求、响应及错误信息（如const winston = require('winston'); const logger = winston.createLogger({ transports: [new winston.transports.File({ filename: 'error.log', level: 'error' })] });），避免日志泄露敏感信息；
   • 实时监控与告警：将日志发送至ELK Stack（Elasticsearch+Logstash+Kibana）或Splunk，设置异常告警（如频繁的401错误、大量POST请求），及时响应安全事件。

3. 持续安全维护

   • 定期安全审计：通过npm audit、snyk或第三方工具（如SonarQube）定期扫描代码，修复潜在漏洞；
   • 漏洞响应机制：建立安全漏洞报告渠道（如security.txt文件），及时处理第三方报告的漏洞，发布补丁更新。