告别公开部署:Linux Dash生产环境安全加固指南
项目地址: https://gitcode.com/gh_mirrors/li/linux-dash 你是否还在直接暴露服务器监控面板?是否担心攻击者通过管理界面入侵系统?本文将通过6个实用步骤,帮助你安全部署Linux Dash监控工具,在保留易用性的同时构建企业级安全防护。读完本文你将掌握:端口限制、访问控制、数据加密、进程守护、日志审计五大核心安全配置,以及针对Node.js/Go/Python不同部署方式的加固方案。
环境准备与基础安装
Linux Dash作为轻量级系统监控工具,支持多语言后端部署。生产环境建议优先选择Node.js或Go版本,两者在性能和安全性上表现更优。
标准安装流程
# 克隆仓库(国内用户推荐)
git clone --depth 1 https://link.gitcode.com/i/b41f49f55075cf34c41b77cf6084429a.git
cd linux-dash/app/server
根据后端选择对应部署方式:
Node.js部署(推荐):
npm install --production
# 测试启动(默认80端口,生产环境需修改)
LINUX_DASH_SERVER_PORT=8080 node index.js
Go部署:
# 直接运行
go run index.go
# 或编译二进制
go build -o linux-dash-server
./linux-dash-server -listen 127.0.0.1:8080
项目核心文件结构:
- 后端服务:app/server/
- 前端资源:app/index.html、app/linuxDash.min.js
- 配置文件:ecosystem.config.js(PM2部署配置)
网络层安全加固
端口与监听地址限制
默认配置下,Linux Dash会监听所有网络接口(0.0.0.0)和80端口,这在生产环境极其危险。修改监听地址为本地回环接口,仅允许通过反向代理访问:
Go版本修改(app/server/index.go):
// 将默认监听地址从0.0.0.0:80修改为
listenAddress = flag.String("listen", "127.0.0.1:8080", "Where the server listens for connections. [interface]:port")
Node.js版本修改:
# 启动时指定监听地址和端口
LINUX_DASH_SERVER_HOST=127.0.0.1 LINUX_DASH_SERVER_PORT=8080 node index.js
Nginx反向代理与访问控制
生产环境必须通过Nginx等Web服务器进行反向代理,实现端口隐藏和访问控制。典型配置示例:
server {
listen 443 ssl;
server_name monitor.yourdomain.com;
# SSL配置
ssl_certificate /path/to/cert.pem;
ssl_certificate_key /path/to/key.pem;
# 限制来源IP
allow 192.168.1.0/24; # 允许内部网段
allow 123.45.67.89; # 允许管理员IP
deny all; # 拒绝其他所有IP
location / {
proxy_pass http://127.0.0.1:8080;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
# 启用基本认证
auth_basic "Linux Dash Access";
auth_basic_user_file /etc/nginx/.htpasswd;
}
}
生成密码文件:
htpasswd -c /etc/nginx/.htpasswd admin
应用层安全配置
敏感模块访问控制
Linux Dash默认暴露大量系统信息,生产环境需限制敏感模块访问。通过修改后端代码实现模块级权限控制:
Node.js版本(app/server/index.js)添加过滤逻辑:
// 在路由处理前添加
const allowedModules = ['cpu_utilization', 'ram', 'disk_space', 'network'];
app.get('/server/', (req, res) => {
const module = req.query.module;
if (!allowedModules.includes(module)) {
return res.status(403).send('Forbidden module');
}
// 原有处理逻辑...
});
数据传输加密
所有监控数据必须通过HTTPS传输。除了Nginx层配置SSL外,还可在应用层对敏感数据进行二次加密。修改前端请求逻辑(src/js/core/server.service.js):
// 添加请求拦截器
function secureRequest(module) {
return $http.get('/server/?module=' + module, {
headers: {
'X-Request-Timestamp': Date.now(),
'X-Signature': generateHmac(module + Date.now(), 'your-secret-key')
}
});
}
进程管理与服务守护
使用PM2实现进程守护
Node.js部署推荐使用PM2进行进程管理,配置文件ecosystem.config.js示例:
module.exports = {
apps: [{
name: 'linux-dash',
script: './app/server/index.js',
instances: 1, // 单实例模式
exec_mode: 'fork',
env: {
NODE_ENV: 'production',
LINUX_DASH_SERVER_HOST: '127.0.0.1',
LINUX_DASH_SERVER_PORT: '8080'
},
// 日志配置
log_date_format: 'YYYY-MM-DD HH:mm:ss',
merge_logs: true,
log_file: './logs/linux-dash.log',
error_file: './logs/error.log',
out_file: './logs/output.log'
}]
};
启动与管理命令:
# 安装PM2
npm install -g pm2
# 启动应用
pm2 start ecosystem.config.js
# 设置开机自启
pm2 startup
pm2 save
Systemd服务配置(Go版本)
Go编译版可通过Systemd管理,创建服务文件/etc/systemd/system/linux-dash.service:
[Unit]
Description=Linux Dash Monitoring Service
After=network.target
[Service]
User=www-data
Group=www-data
WorkingDirectory=/opt/linux-dash/app/server
ExecStart=/opt/linux-dash/app/server/linux-dash-server -listen 127.0.0.1:8080
Restart=on-failure
RestartSec=5s
PrivateTmp=true
NoNewPrivileges=true
[Install]
WantedBy=multi-user.target
启用与管理:
sudo systemctl daemon-reload
sudo systemctl enable --now linux-dash
sudo systemctl status linux-dash
日志审计与安全监控
访问日志配置
Nginx访问日志建议包含详细客户端信息:
log_format security '$remote_addr [$time_local] "$request" $status '
'$request_time $body_bytes_sent "$http_referer" '
'"$http_user_agent" "$http_x_forwarded_for" '
'$ssl_protocol $ssl_cipher';
access_log /var/log/nginx/linux-dash-access.log security;
关键操作审计
通过监控日志文件检测异常访问:
# 实时监控访问日志
tail -f /var/log/nginx/linux-dash-access.log | grep -E '403|404|500'
# 统计IP访问频率
awk '{print $1}' /var/log/nginx/linux-dash-access.log | sort | uniq -c | sort -nr | head -10
不同部署方式的安全对比
| 部署方式 | 安全性 | 性能 | 配置复杂度 | 适用场景 |
|---|---|---|---|---|
| Node.js + PM2 | ★★★★☆ | ★★★★☆ | 中等 | 常规服务器 |
| Go编译版 | ★★★★★ | ★★★★★ | 低 | 资源受限环境 |
| Python + Gunicorn | ★★★☆☆ | ★★★☆☆ | 高 | 已有Python生态 |
| PHP + Apache | ★★★☆☆ | ★★☆☆☆ | 高 | 共享主机环境 |
安全检查清单
部署完成后,使用以下命令验证安全配置:
# 检查监听地址(应仅监听127.0.0.1)
netstat -tulpn | grep -E '8080|linux-dash'
# 验证文件权限
ls -la /path/to/linux-dash/app/server/
# 测试访问控制
curl -I http://服务器公网IP:8080 # 应返回403或拒绝连接
通过以上步骤,Linux Dash将从"公开"状态转变为符合企业安全标准的监控系统。关键在于遵循"最小权限原则":限制监听地址、控制访问来源、加密传输数据、记录操作日志。定期更新项目仓库获取安全补丁,并结合系统防火墙(如UFW)和入侵检测工具(如Fail2ban)构建纵深防御体系。
创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考
