以下是在CentOS上设置Node.js安全策略的关键步骤：

1. 系统基础安全加固

   • 更新系统及软件包：sudo yum update -y。
   • 禁用root远程登录：编辑/etc/ssh/sshd_config，设置PermitRootLogin no，并使用普通用户+密钥认证。
   • 配置防火墙：用firewalld限制仅允许必要端口（如SSH、Node.js应用端口）。

2. Node.js环境安全配置

   • 以非root用户运行：创建专用用户（如myappuser），并确保应用目录权限归属该用户。
   • 使用HTTPS加密通信：通过Let’s Encrypt获取SSL证书，或使用https-express库配置HTTPS。
   • 安装安全中间件：
     • Helmet：设置HTTP安全头（如HSTS、CSP）。
     • helmet-csp：防止XSS攻击，限制脚本来源。

3. 依赖与代码安全

   • 定期更新依赖项：用npm audit或Snyk扫描漏洞，锁定版本号避免意外升级。
   • 输入验证与防护：使用库（如validator）过滤用户输入，防止SQL注入、XSS等攻击。
   • 避免危险函数：禁用eval()，谨慎使用require()加载外部模块。

4. 日志与监控

   • 记录应用日志：使用Bunyan或Winston记录关键操作和异常。
   • 监控系统活动：通过rsyslog或systemd-journald收集日志，部署入侵检测工具（如Snort）。

5. 高级安全措施

   • 启用SELinux：增强系统级访问控制（需根据环境调整策略）。
   • 数据加密：对敏感数据使用AES加密，或通过LUKS加密磁盘。
   • 速率限制：防止DDoS攻击，可使用express-rate-limit中间件。

参考来源：