CentOS下Node.js安全配置指南

在CentOS系統上配置Node.js以增強安全性是一個涉及多個方面的過程。以下是一些關鍵的安全配置步驟和建議：

一般安全配置步驟

• 更新系統：保持系統更新以修補已知的安全漏洞。

  sudo yum update -y
  

• 安裝Node.js和npm：使用EPEL倉庫安裝Node.js和npm。

  sudo yum install -y epel-release
  sudo yum install -y nodejs npm
  

• 配置環境變量：編輯 /etc/profile 或 ~/.bashrc 文件，設置Node.js和npm的路徑。

  export NODE_HOME=/usr/local/node
  export PATH=$NODE_HOME/bin:$PATH
  source /etc/profile
  

• 使用NVM管理Node.js版本：安裝NVM以管理不同版本的Node.js。

  curl -o- https://raw.githubusercontent.com/nvm-sh/nvm/v0.39.1/install.sh | bash
  source ~/.bashrc
  nvm install 14
  nvm use 14
  

• 配置防火墻：使用Firewalld配置防火墻規則，限制對Node.js應用的訪問。

  sudo firewall-cmd --permanent --add-service=http
  sudo firewall-cmd --permanent --add-service=https
  sudo firewall-cmd --reload
  

• 使用HTTPS：為你的Node.js應用啟用HTTPS，以加密通信。

  sudo npm install -g https-express
  

針對Node.js應用的安全建議

• 數據驗證：使用驗證庫（如validator）驗證用戶輸入。

  const validator = require('validator');
  const email = 'foo@bar.com';
  console.log(validator.isEmail(email)); // true
  

• 防止SQL注入：使用參數化查詢或ORM框架（如Sequelize）防止SQL注入。

  const mysql = require('mysql');
  const connection = mysql.createConnection({ host: 'localhost', user: 'me', password: 'secret', database: 'my_db' });
  connection.connect();
  connection.query('UPDATE users SET ? WHERE id = ?', [req.body.first_name, 1001], function (err, result) { /* ... */ });
  

• 使用安全的會話管理：對會話數據進行簽名和加密，使用安全的會話存儲（如Redis）。

  const crypto = require('crypto');
  const secret = 'your-secret-key';
  function signSession(sessionData) {
    const hmac = crypto.createHmac('sha256', secret);
    hmac.update(JSON.stringify(sessionData));
    return hmac.digest('hex');
  }
  function verifySession(sessionData, signature) {
    const newSignature = signSession(sessionData);
    return newSignature === signature;
  }
  

• 限制訪問權限：僅允許必要的IP地址或域名訪問你的API。

  app.use((req, res, next) => {
    if (req.ip !== '123.123.123.123') {
      return res.status(403).send('Forbidden');
    }
    next();
  });
  

• 錯誤處理：捕獲異常并記錄到日志中，避免泄露敏感信息。

  app.use((err, req, res, next) => {
    console.error(err.stack);
    res.status(500).send('Something broke!');
  });
  

• 使用安全框架和庫：使用Express框架的安全中間件（如helmet）。

  const express = require('express');
  const helmet = require('helmet');
  const app = express();
  app.use(helmet());
  

系統級安全措施

• 防火墻配置：使用 firewalld 或 iptables 控制網絡流量，僅允許必要端口和服務訪問。
• SELinux啟用：配置SELinux限制進程權限，增強系統安全性。
• 數據備份：定期備份重要數據，防止數據丟失或損壞。
• 日志監控：使用 journalctl 等工具監控系統日志，及時發現并處理異常行為。

通過以上步驟和建議，你可以顯著提高在CentOS上運行的Node.js應用的安全性，降低遭受攻擊的風險。記住，安全是一個持續的過程，需要定期審查和更新你的安全策略。