Linux中Node.js日志权限设置注意事项

Linux中Node.js日志权限设置注意事项

一 核心原则与常见权限

• 坚持最小权限原则：仅授予运行与运维所需的最低权限，避免日志被未授权读取或篡改。
• 常见文件权限建议：
  • 仅属主读写：600（适用于含敏感信息的应用日志）。
  • 属主读写、同组只读：640（便于同组运维/审计查看）。
  • 公开可读：644（仅当日志不含敏感信息时）。
• 目录权限要点：日志目录通常需要执行权限以允许创建文件，常用 755；确保运行用户对该目录具备写入权限。
• 坚决避免：777 等过宽权限；同时避免过严（如仅 400）导致进程无法写入或运维无法查看。

二 运行用户与所有权配置

• 使用专用系统用户运行 Node.js（如创建用户 node），避免以 root 直接运行。
• 将日志目录与文件的所有者设为该运行用户，必要时将运维/审计加入同一用户组：
  • 示例：chown -R node:node /var/log/myapp
• 目录权限示例：chmod 755 /var/log/myapp（保证可进入与创建文件）。
• 文件权限示例：
  • 敏感日志：chmod 600 /var/log/myapp/app.log
  • 同组可读：chmod 640 /var/log/myapp/app.log
• 如需对个别运维账号授予只读，使用 ACL 精细化授权：
  • 示例：setfacl -m u:alice:r /var/log/myapp/app.log。

三 日志轮转与权限继承

• 使用 logrotate 管理日志分割、压缩与清理，并在创建新日志时显式设置权限与属主，避免轮转后权限“跑偏”：
  • 示例配置 /etc/logrotate.d/nodejs：
    • /var/log/myapp/*.log {
      • daily
      • missingok
      • rotate 7
      • compress
      • delaycompress
      • notifempty
      • create 640 node adm
    • }
• 如使用 PM2，启用其日志轮转功能，并统一由 PM2 启动的进程用户与日志目录权限保持一致，避免混用导致权限冲突。

四 容器与系统加固

• 容器场景：在 Docker 中通过 USER 指定非 root 用户，挂载卷时设置目录 UID/GID 与权限，保证容器内进程对日志目录可写且权限正确。
• 系统加固：在 Debian/Ubuntu 等发行版可结合 AppArmor 或 SELinux 对 Node.js 进程访问日志的路径做强制访问控制，降低越权读写风险。

五 审计与运维实践

• 定期审计日志文件权限与属主，确保与策略一致；对变更留痕。
• 合理设置日志级别与保留周期，避免记录敏感信息（如密码、密钥、个人数据）；必要时对日志内容进行加密存储与传输加密（TLS）。
• 建立监控与告警，对异常访问、权限变更、磁盘占用等进行及时处置。