我在 ubuntu 服务器上有一个 nodeStatic 应用程序。
域名链接到服务器。
现在我需要添加 SSL 证书:
var fs = require('fs');
var options = {
key: fs.readFileSync('ssl/privatekey.pem').toString(),
cert: fs.readFileSync('ssl/certificate.pem').toString()
};
var fileServer = new(nodeStatic.Server)();
var app = http.createServer(options, function(req, res) {
fileServer.serve(req, res);
}).listen(80);
问题是它们在应用程序文件夹中并不安全,还是我错了?
这是我的文件夹结构:
该应用程序位于var/www/myapp
任何人都可以在浏览器中打开我的证书内容example.com/ssl/privatekey.pem
提供证书并确保一切安全的良好做法是什么?将它们放在与 index.js 相同的级别,甚至更高?这安全吗?
附加问题:
有点笼统的问题,但服务器是新的,我应该如何配置才能保证一切安全?关于该主题的一个好链接可以做到这一点。
答案1
在这种情况下,在应用程序前面安装类似 nginx 的东西可能更有意义。设置如下:
- 证书位于某个地方,不在您的 webroot 中,并且密钥只有 root 可读。
- Nginx 配置为监听端口 80 和 443,并以 root 身份加载证书和密钥。
- Nginx 将通过代理将流量传递到监听其他端口(例如 127.0.0.1:8080)的节点应用程序,该应用程序本身将以非 root 用户身份运行。
这样,节点应用程序:
- 永远看不到证书密钥
- 即使收到请求,也无法提供服务,因为该密钥只有 root 才能读取
- 因此,即使攻击者设法访问任意文件或获得 shell 访问权限,他们也无法在不获得权限提升的情况下访问密钥。
(作为奖励,您可以使用 certbot 自动获取 Let's Encrypt 证书,它将配置 nginx 为您使用它们。)
答案2
- 在该端点添加中间件或重定向到另一个端点
- 使用 robot meta 标记阻止 Google 对该端点进行索引
- 使用加密和解密