Захист вмісту файлів Express.js при розгортанні на сервері Nginx із Passenger

3 Березня 2024 в 17:21 29

Під час розгортання веб-застосунків, особливо тих, які використовують фреймворк Express.js, безпека є однією з найважливіших аспектів. Один з основних викликів у цьому контексті полягає у захисті вмісту файлів, таких як .js або .env, щоб уникнути витоку конфіденційної інформації. У даній статті ми розглянемо проблему, коли вміст файлів Express.js стає доступним при їх обслуговуванні з використанням сервера Nginx та Passenger, і запропонуємо кілька шляхів вирішення цього питання.

server {
    server_name example.com;
    listen x.x.x.x;
    root /path/public_html/api;
    index index.php index.htm index.html;
    access_log /var/log/virtualmin/example.com_access_log;
    error_log /var/log/virtualmin/example.com_error_log;
    location ^~ /.well-known/acme-challenge/ {
        allow all;
        try_files $uri =404;
    }
    location / {
        proxy_pass http://127.0.0.1:3000;
        proxy_http_version 1.1;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection Upgrade;
        proxy_set_header Host $host;
        passenger_enabled on;
        passenger_app_type node;
        passenger_startup_file server.js;
        passenger_app_root /path/public_html/api;
        passenger_nodejs /home/user/.nvm/versions/node/v20.11.1/bin/node;
    }
    listen x.x.x.x:443 ssl;
    ssl_certificate /etc/ssl/virtualmin/x/ssl.combined;
    ssl_certificate_key /etc/ssl/virtualmin/x/ssl.key;
}

server {

server_name example.com;

listen x.x.x.x;

root /path/public_html/api;

index index.php index.htm index.html;

access_log /var/log/virtualmin/example.com_access_log;

error_log /var/log/virtualmin/example.com_error_log;

location ^~ /.well-known/acme-challenge/ {

allow all;

try_files $uri =404;

}

location / {

proxy_pass http://127.0.0.1:3000;

proxy_http_version 1.1;

proxy_set_header Upgrade $http_upgrade;

proxy_set_header Connection Upgrade;

proxy_set_header Host $host;

passenger_enabled on;

passenger_app_type node;

passenger_startup_file server.js;

passenger_app_root /path/public_html/api;

passenger_nodejs /home/user/.nvm/versions/node/v20.11.1/bin/node;

}

listen x.x.x.x:443 ssl;

ssl_certificate /etc/ssl/virtualmin/x/ssl.combined;

ssl_certificate_key /etc/ssl/virtualmin/x/ssl.key;

}

Забезпечення безпеки у разі використання Nginx разом із Passenger для обслуговування Express.js застосунків є ключовим завданням. У зазначеному конфігураційному файлі ми використовуємо Nginx як обертку, яка передає трафік від клієнта до Express.js застосунку, що працює на порту 3000. Проте, проблема полягає в тому, що при спробі доступу до певних файлів, таких як server.js або .env, можливий витік конфіденційної інформації.

Існує кілька способів вирішення цієї проблеми:

Блокування доступу до файлів через Nginx. Це може бути виконано за допомогою додаткових директив конфігурації Nginx, які забороняють прямий доступ до певних типів файлів.
Використання аутентифікації або авторизації. Застосування методів перевірки ідентифікації може додатково захистити файли від несанкціонованого доступу.
Переміщення конфіденційних даних. Розгляньте можливість перенесення конфіденційних даних, таких як паролі або ключі API, з .env файлу в інші місця, наприклад, як змінні середовища або параметри конфігурації застосунку.

Крім того, слід відзначити, що під час вибору методу захисту важливо враховувати специфіку вашого застосунку та його вимоги до безпеки. Наприклад, у разі, якщо ви переносите конфіденційні дані в інші місця, переконайтеся, що ці дані залишаються зашифрованими та захищеними від несанкціонованого доступу.

У цілому, забезпечення безпеки при розгортанні Express.js застосунків на сервері Nginx з Passenger є важливим завданням, яке вимагає уважного підходу та використання відповідних заходів захисту.