nginx日志安全：如何保护日志文件安全

Nginx日志安全保护清单

一 权限与所有权

• 运行身份最小化：在 nginx.conf 使用 user 指令以非特权用户（如 nginx）运行，避免使用 root。示例：user nginx;
• 日志文件权限最小化：将 access.log 与 error.log 设为仅属主可读写（如 600 或 640），属主为 nginx 运行用户，组为受控组（如 nginx 或专用 log 组）。示例：chown nginx:nginx /var/log/nginx/.log; chmod 640 /var/log/nginx/.log。
• 日志目录权限：日志目录（如 /var/log/nginx）通常设为 755，确保进程可进入与创建文件，但不允许其他用户随意修改或删除。
• 上级目录安全：确保日志目录的每一级父目录的修改权限仅授予 nginx 运行用户，防止被其他普通用户替换或删除后重创建同名目录/文件以实施篡改。
• 配置文件安全：配置目录与文件仅允许 nginx 启动用户修改，避免被覆盖导致权限提升或信息泄露。

二 日志内容与传输安全

• 最小化记录：仅记录必要字段，避免记录敏感信息（如密码、密钥、完整请求体等）；必要时自定义 log_format，移除或替换敏感字段。
• 传输加密：将日志发送至集中平台时使用 TLS/SSL（如 SFTP/SCP/rsync over SSH）防止传输窃听与篡改。
• 脱敏与过滤：在落盘或传输前对日志进行处理，剔除或掩码 IP、Authorization 等敏感字段，降低泄露风险。
• 减少噪声日志：对健康检查或静态资源（如 JS/CSS/图片）关闭访问日志，降低 I/O 与信息暴露面。

三 轮转、保留与完整性

• 使用 logrotate 集中管理：按日轮转、压缩、保留策略（如保留 7 天），并在轮转后通过 kill -USR1 通知 Nginx 重新打开日志文件，避免日志丢失与句柄占用。
• 示例配置（/etc/logrotate.d/nginx）： /var/log/nginx/*.log { daily rotate 7 compress delaycompress missingok notifempty create 640 nginx nginx postrotate [ -f /var/run/nginx.pid ] && kill -USR1 cat /var/run/nginx.pid endscript }
• 审计与监控：定期审阅访问与错误日志，结合 tail/grep、GoAccess、ELK/Graylog 等工具进行异常检测与告警，提升威胁发现能力。

四 运行环境与架构防护

• 不在 Web 目录存放日志：防止通过 Web 漏洞直接读取或覆盖日志文件。
• 隐藏服务标识：在 http/server 段关闭版本暴露（如 server_tokens off;），并隐藏不必要的 X-Powered-By 等头部，减少攻击面信息。
• 访问控制与速率限制：对管理路径设置 IP 白名单 与 HTTP 基本认证；使用 limit_conn/limit_req 缓解暴力与 DDoS 风险。
• 传输层安全：启用 HTTPS/TLSv1.2+，并配置 HSTS 等安全头，降低流量劫持与窃听风险。

五 快速检查与落地命令

• 核对运行用户：grep ‘^user’ /etc/nginx/nginx.conf
• 核对日志路径与格式：grep -E ‘access_log|error_log|log_format’ /etc/nginx/**/*.conf
• 权限与属主基线：
  • find /var/log/nginx -type f -exec stat -c ‘%a %U:%G %n’ {} ;
  • find /var/log/nginx -type d -exec stat -c ‘%a %U:%G %n’ {} ;
• 推荐基线示例：
  • 文件：chown nginx:nginx /var/log/nginx/.log; chmod 640 /var/log/nginx/.log
  • 目录：chown root:root /var/log/nginx; chmod 755 /var/log/nginx
• 验证轮转：logrotate -d /etc/logrotate.d/nginx（干跑），确认 create 模式与 postrotate 信号正确。