Ubuntu Apache日志权限管理

Ubuntu 上 Apache 日志权限管理

一 运行身份与目录基线

• 确认 Apache 运行身份为 www-data:www-data（Debian/Ubuntu 常见），可在 /etc/apache2/envvars 中查看或设置 APACHE_RUN_USER 与 APACHE_RUN_GROUP。
• 日志默认目录为 /var/log/apache2，建议基线权限：
  • 目录：755（root:root），保证服务账号可进入并遍历。
  • 日志文件：640（root:adm 或 root:www-data），仅服务账号与管理员可读写，其他用户无权限。
• 如目录或文件被误改，可用：
  • 目录：sudo chown -R root:root /var/log/apache2 && sudo chmod 755 /var/log/apache2
  • 文件：sudo chown root:adm /var/log/apache2/*.log && sudo chmod 640 /var/log/apache2/*.log
• 注意：不要将日志目录整体改为 777，也不要把日志文件所有者长期设为 www-data，以免扩大攻击面。

二 自定义日志路径的权限设置

• 在 /etc/apache2/apache2.conf 或虚拟主机配置中使用变量 ${APACHE_LOG_DIR} 指定日志路径，例如：
  • ErrorLog ${APACHE_LOG_DIR}/my_error.log
  • CustomLog ${APACHE_LOG_DIR}/my_access.log combined
• 创建目录并设定安全权限：
  • sudo mkdir -p /var/log/my_apache
  • sudo chown -R root:adm /var/log/my_apache
  • sudo chmod 755 /var/log/my_apache
• 让轮转后新日志继承正确权限：在 /etc/logrotate.d/apache2 的对应段使用 create 640 root adm。
• 使配置生效：sudo systemctl restart apache2

三 使用 logrotate 安全轮转

• 推荐 /etc/logrotate.d/apache2 示例：
  • /var/log/apache2/*.log {
    • daily
    • missingok
    • rotate 7
    • compress
    • delaycompress
    • notifempty
    • create 640 root adm
    • sharedscripts
    • postrotate
      • systemctl reload apache2 > /dev/null 2>&1 || true
    • endscript
  • }
• 要点：
  • 使用 create 明确新日志的所有者与权限，避免轮转后权限错乱。
  • 使用 postrotate 触发 Apache 重新打开日志文件，避免日志句柄占用。
  • 避免使用 copytruncate，以减少日志丢失风险。

四 常见故障排查清单

• 出现 “Permission denied”：
  • 核对运行身份：ps aux | grep apache2，应为 www-data。
  • 核对目录可写：namei -l /var/log/apache2 与 ls -ld /var/log/apache2，目录需 755，日志文件 640（属主 root，属组 adm 或 www-data）。
  • 若日志被外部程序（如脚本）写入，确保该程序也以 www-data 运行或显式赋予写权限。
• 自定义目录仍报无权限：
  • 检查父目录权限链是否允许 www-data 进入；必要时仅对日志目录设 755，文件保持 640。
• 修改配置后未生效：执行 sudo systemctl reload apache2 或重启服务。

五 安全加固要点

• 运行专用低权限账号（如 www-data），禁止以 root 运行。
• 日志文件与配置分离权限：配置文件建议 600/644，日志文件 640，日志目录 755。
• 避免使用 777；不要长期将日志文件属主设为 www-data，优先通过 logrotate 的 create 指令在轮转时设置正确属主与权限。
• 若系统启用 SELinux（Ubuntu 桌面/部分服务器常见），对自定义日志目录执行：
  • sudo semanage fcontext -a -t httpd_sys_rw_content_t "/var/log/my_apache(/.*)?"
  • sudo restorecon -Rv /var/log/my_apache
• 定期审计日志目录与权限，确保未被非授权进程篡改。