CentOS Golang日志权限如何管理

CentOS 上 Golang 日志权限管理

一 核心原则与推荐做法

• 以非 root专用用户运行应用（如：myapp:myapp），通过 systemd 的 User/Group 固化身份，避免日志被提权篡改。
• 日志目录与文件权限最小化：目录建议 0750，文件建议 0640，仅属主与同组可读写，避免 0666。
• 输出路径统一到 /var/log/<应用名>/，便于集中管理与审计。
• 优先输出到标准输出/标准错误，由 journald 统一采集；如需落盘，使用 logrotate 做按时间/大小轮转与压缩。
• 高敏日志在落盘或归档前启用加密，传输链路启用 TLS；对日志目录启用 auditd 审计；接入 rsyslog/ELK 做集中化与检索。

二 方案一 输出到标准输出并由 systemd 管理

• 服务文件示例（/etc/systemd/system/myapp.service）：

[Unit]
Description=My Go Application
After=network.target

[Service]
Type=simple
User=myapp
Group=myapp
ExecStart=/opt/myapp/myapp
StandardOutput=journal
StandardError=journal
Restart=always
WorkingDirectory=/opt/myapp

[Install]
WantedBy=multi-user.target

• 常用查询：
  • 实时查看：sudo journalctl -u myapp -f
  • 本次启动：sudo journalctl -u myapp -b
  • 按时间过滤：sudo journalctl -u myapp --since "2025-11-25 00:00:00"
• 优点：由 journald 统一采集、结构化查询与转发，减少文件权限与句柄管理复杂度。

三 方案二 写入文件并用 logrotate 管理权限与轮转

• 准备目录与权限：

sudo mkdir -p /var/log/myapp
sudo chown myapp:myapp /var/log/myapp
sudo chmod 0755 /var/log/myapp

• 创建轮转配置（/etc/logrotate.d/myapp）：

/var/log/myapp/*.log {
    daily
    rotate 7
    compress
    missingok
    notifempty
    create 0640 myapp myapp
    copytruncate
}

• 说明：
  • daily/rotate 7/compress：按天轮转并保留 7 份压缩归档。
  • create 0640 myapp myapp：轮转后自动重建文件并设定权限与属主。
  • copytruncate：复制当前日志后截断原文件，适合不支持信号重新打开日志的程序。
• 测试与生效：sudo logrotate -f /etc/logrotate.d/myapp。

四 方案三 程序内按大小切分与权限控制

• 使用 lumberjack 内置轮转（适合容器或无 systemd 场景）：

import (
    "log"
    "gopkg.in/natefinch/lumberjack.v2"
)

logger := log.New(&lumberjack.Logger{
    Filename:   "/var/log/myapp/app.log",
    MaxSize:    10,      // 单个文件最大 10MB
    MaxBackups: 7,       // 最多保留 7 个备份
    MaxAge:     28,      // 备份最多保留 28 天
    Compress:   true,    // 启用压缩
}, "", log.LstdFlags)

logger.Println("hello, this is a log message")

• 代码内显式创建目录与文件并设置权限（避免依赖默认 umask）：

import (
    "log"
    "os"
    "syscall"
)

func main() {
    // 目录：root:myapp 750
    if err := os.MkdirAll("/var/log/myapp", 0750); err != nil {
        log.Fatalf("mkdir: %v", err)
    }

    // 文件：myapp:myapp 640
    f, err := os.OpenFile("/var/log/myapp/app.log",
        os.O_CREATE|os.O_WRONLY|os.O_APPEND, 0640)
    if err != nil {
        log.Fatalf("open: %v", err)
    }
    defer f.Close()

    log.SetOutput(f)
    log.Println("secure log init ok")
}

• 提示：程序内按大小切分可与系统 logrotate 叠加（程序切分，系统侧做时间归档与清理）。

五 安全加固与常见排错

• 安全加固
  • 权限最小化：目录 0750、文件 0640，避免使用 0666；以 myapp:myapp 运行。
  • 安全模块：启用 SELinux/AppArmor 对日志目录与进程实施最小权限策略。
  • 审计：启用 auditd 监控 /var/log/myapp 的 open/write/unlink 等关键事件。
  • 加密与传输：对高敏日志启用 AES-256 等加密存储；对外传输启用 TLS。
  • 结构化与集中：使用 zap/logrus 输出 JSON，接入 rsyslog/ELK/Graylog 统一检索与告警。
• 常见排错
  • 路径/权限错误：确保 /var/log/<应用名>/ 存在且应用用户可写；避免硬编码路径分隔符。
  • 轮转缺失：未配置 logrotate 会导致日志无限增长，配置按天/大小轮转与压缩。
  • 并发写入错乱：多协程写同一文件需加锁或使用并发安全的日志库。
  • 日志级别不当：生产环境避免 DEBUG 级别输出过多无用信息。