Postman在Linux上的安全设置清单

一证书与HTTPS安全

启用证书校验：在Postman的设置中保持SSLcertificateverification为启用状态，避免“关闭校验”成为常态；仅对自测或调试场景临时关闭。

客户端证书用于mTLS：在File>Settings>General>SSLcertificateverification>AddCertificate导入CRT/PFX及私钥，用于服务端要求的双向TLS认证；证书变更后及时更新。

捕获HTTPS流量的CA证书管理：使用Postman内置代理抓包时，目标设备需安装postman-proxy-ca.crt。Linux桌面环境通常将证书放在~/.config/Postman/proxy/postman-proxy-ca.crt；如要让系统或浏览器信任，按发行版导入并更新CA信任库：

RHEL/CentOS：

复制证书：

sudocp~/.config/Postman/proxy/postman-proxy-ca.crt/etc/pki/ca-trust/source/anchors/

更新信任库：

sudoupdate-ca-trustextract

Ubuntu/Debian：

创建目录：

sudomkdir-p/usr/share/ca-certificates/extra

复制证书：

sudocp~/.config/Postman/proxy/postman-proxy-ca.crt/usr/share/ca-certificates/extra/postman-proxy-ca.crt

配置并生效：

sudodpkg-reconfigureca-certificates&&sudoupdate-ca-certificates

浏览器信任（可选）：

Chrome：访问chrome://settings/certificates，在Authorities导入并勾选“信任此证书以识别网站”。

Firefox：设置>隐私与安全>证书>查看证书>Authorities导入，选择“TrustthisCAtoidentifywebsites”。

安全提示：仅在需要时安装代理CA，抓包结束后及时在设备和浏览器中停用或删除该证书，避免长期扩大攻击面。

二凭据与敏感信息管理

使用环境/全局变量隔离配置：在ManageEnvironments中为Development/Staging/Production分别维护baseUrl、APIKey、Token等；变量以{{变量名}}在URL/Header/Body中引用，避免将敏感信息硬编码到请求或脚本。

区分初始值与当前值：环境变量的InitialValue用于同步与协作，CurrentValue仅本地生效；提交变更时注意只推送必要信息，避免泄露生产凭据。

脚本中动态写入需受控：在Tests/Pre-requestScript使用

pm.environment.set("key","value")

导入/导出谨慎：环境变量可JSON导入/导出共享，传输与存储时加密，避免将包含明文密钥的文件纳入版本控制。

三运行与系统集成安全

最小权限运行：日常使用普通用户启动Postman；仅在安装/更新时提权。避免在/root下运行或存放工作区数据。

目录权限收敛：将Postman程序目录（如/opt/Postman）设为755，仅属主可写；用户数据目录（如~/.config/Postman）限制为仅当前用户访问，避免其他用户读取Cookies、历史、证书等敏感数据。

代理与网络：如通过公司代理访问外网，在系统或Postman代理设置中仅允许必要目标；避免将内部服务地址暴露在不受控网络。

更新与校验：从官方渠道获取安装包，保留SHA256/签名校验记录；定期更新Postman以获取最新安全修复。

四操作建议与常见误区

避免全域信任：不要将postman-proxy-ca.crt长期加入系统或浏览器的根信任库；抓包完成即移除，减少中间人风险。

避免777权限：为任何目录或文件设置777都会显著降低安全性，遵循最小权限原则（如目录755、文件644）。

客户端证书妥善保管：PFX/CRT与私钥包含可用于身份认证的敏感材料，设置文件权限为仅属主可读（如600），并限制导出与共享范围。

校验开关不是“长期关闭”：将SSLcertificateverification关闭只应作为临时排障手段，问题定位后应恢复开启。