SSL 证书的位置,如何保护它们?

SSL 证书的位置,如何保护它们?

我在 ubuntu 服务器上有一个 nodeStatic 应用程序。

域名链接到服务器。

现在我需要添加 SSL 证书:

var fs = require('fs');
var options = {
    key: fs.readFileSync('ssl/privatekey.pem').toString(),
    cert: fs.readFileSync('ssl/certificate.pem').toString()
};

var fileServer = new(nodeStatic.Server)();
var app = http.createServer(options, function(req, res) { 
  fileServer.serve(req, res);
}).listen(80); 

问题是它们在应用程序文件夹中并不安全,还是我错了?

这是我的文件夹结构:

在此处输入图片描述

该应用程序位于var/www/myapp

任何人都可以在浏览器中打开我的证书内容example.com/ssl/privatekey.pem

提供证书并确保一切安全的良好做法是什么?将它们放在与 index.js 相同的级别,甚至更高?这安全吗?

附加问题:

有点笼统的问题,但服务器是新的,我应该如何配置才能保证一切安全?关于该主题的一个好链接可以做到这一点。

答案1

在这种情况下,在应用程序前面安装类似 nginx 的东西可能更有意义。设置如下:

  • 证书位于某个地方,不在您的 webroot 中,并且密钥只有 root 可读。
  • Nginx 配置为监听端口 80 和 443,并以 root 身份加载证书和密钥。
  • Nginx 将通过代理将流量传递到监听其他端口(例如 127.0.0.1:8080)的节点应用程序,该应用程序本身将以非 root 用户身份运行。

这样,节点应用程序:

  1. 永远看不到证书密钥
  2. 即使收到请求,也无法提供服务,因为该密钥只有 root 才能读取
  3. 因此,即使攻击者设法访问任意文件或获得 shell 访问权限,他们也无法在不获得权限提升的情况下访问密钥。

(作为奖励,您可以使用 certbot 自动获取 Let's Encrypt 证书,它将配置 nginx 为您使用它们。)

答案2

  1. 在该端点添加中间件或重定向到另一个端点
  2. 使用 robot meta 标记阻止 Google 对该端点进行索引
  3. 使用加密和解密

相关内容