Ubuntu下Node.js日志安全策略

Ubuntu下Node.js日志安全策略

一、权限与用户隔离：最小化访问风险

• 专用运行用户：创建专用用户（如nodeapp）及同名的组，用于运行Node.js应用，避免使用root用户。例如：

  sudo groupadd nodeapp
  sudo useradd -g nodeapp nodeapp -s /bin/false
  

• 日志目录权限：将日志集中存储在/var/log/[appname]/目录下，设置目录所有者为nodeapp，权限为750（所有者可读写执行，组可读执行，其他用户无权限）。例如：

  sudo mkdir -p /var/log/my-node-app
  sudo chown nodeapp:nodeapp /var/log/my-node-app
  sudo chmod 750 /var/log/my-node-app
  

• 日志文件权限：创建日志文件时，设置权限为640（所有者可读写，组可读，其他用户无权限），确保只有授权用户能访问。例如，在代码中使用fs.createWriteStream时指定：

  const logStream = fs.createWriteStream('/var/log/my-node-app/app.log', {
    flags: 'a',
    mode: 0o640 // -rw-r-----
  });
  

二、敏感信息过滤：防止数据泄露

• 日志脱敏处理：使用redactyl.js等库，在记录日志前识别并清除敏感字段（如apiKey、password、phone、creditCard等）。例如：

  const Redactyl = require('redactyl.js');
  const redactyl = new Redactyl({ properties: ['apiKey', 'password', 'phone'] });
  const userData = { name: 'John', apiKey: 'a1b2c3', phone: '1234567890' };
  const safeData = redactyl.redact(userData); // 清除敏感字段
  logger.info(safeData);
  

• 避免记录敏感数据：配置日志库（如Winston、Pino）的日志级别（如error、warn），避免在debug或info级别记录用户密码、令牌等敏感信息。例如，Winston配置中设置level: 'error'，仅记录错误日志。

三、日志轮转与归档：防止日志膨胀与篡改

• 使用logrotate工具：创建/etc/logrotate.d/[appname]配置文件，设置日志轮转规则（如每天轮转、保留7天、压缩旧日志、创建新文件时设置正确权限）。例如：

  /var/log/my-node-app/*.log {
    daily
    missingok
    rotate 7
    compress
    notifempty
    create 640 nodeapp nodeapp
    sharedscripts
    postrotate
      [ ! -f /var/run/my-node-app.pid ] || kill -USR1 `cat /var/run/my-node-app.pid`
    endscript
  }
  

• 备份与恢复：使用cron作业定期将日志备份到远程或加密存储（如/backup目录），例如每天凌晨2点备份：

  crontab -e
  # 添加：0 2 * * * tar -czvf /backup/nodejs-$(date +\%Y-\%m-\%d).tar.gz /var/log/my-node-app/*.log
  

四、访问控制与审计：监控异常行为

• 文件系统权限：通过chmod、chown命令限制日志文件的访问权限，确保只有nodeapp用户和adm组（系统管理员）能访问。例如：

  sudo chown nodeapp:adm /var/log/my-node-app/*.log
  sudo chmod 640 /var/log/my-node-app/*.log
  

• SELinux/AppArmor：启用SELinux或AppArmor，定义细粒度的访问控制策略。例如，使用semanage设置日志文件上下文：

  sudo semanage fcontext -a -t var_log_t "/var/log/my-node-app(/.*)?"
  sudo restorecon -Rv /var/log/my-node-app
  

• 日志监控与审计：使用auditd工具监控日志文件的访问和修改，设置规则记录open、write等操作。例如：

  sudo auditctl -w /var/log/my-node-app/ -p wa -k nodejs_logs
  # 查看审计日志：ausearch -k nodejs_logs
  

五、日志库选择与配置：强化日志安全性

• 使用安全日志库：优先选择Winston、Pino、Bunyan等成熟日志库，它们支持日志级别控制、格式化输出、传输加密等功能。例如，Winston配置示例：

  const winston = require('winston');
  const logger = winston.createLogger({
    level: 'error',
    format: winston.format.json(),
    transports: [
      new winston.transports.File({ filename: '/var/log/my-node-app/error.log' })
    ]
  });
  

• 禁用敏感信息记录：通过日志库的ignore或filter功能，过滤掉包含敏感信息的请求。例如，morgan（HTTP请求日志库）中排除body中的密码字段：

  const morgan = require('morgan');
  const omitBodyFields = (fields) => (req, res, next) => {
    fields.forEach(field => delete req.body[field]);
    next();
  };
  app.use(omitBodyFields(['password', 'apiKey']));
  app.use(morgan('combined'));
  

六、传输与存储加密：保护日志数据

• 日志传输加密：若日志通过网络传输（如发送到远程日志服务器），使用TLS/SSL加密传输通道。例如，Winston的Transport配置中启用tls：

  const winston = require('winston');
  const tls = require('tls');
  const fs = require('fs');
  const logger = winston.createLogger({
    transports: [
      new winston.transports.File({
        filename: '/var/log/my-node-app/secure.log',
        stream: fs.createWriteStream('/var/log/my-node-app/secure.log', { tls: { ca: fs.readFileSync('ca.crt') } })
      })
    ]
  });
  

• 日志存储加密：对存储的日志文件使用GnuPG或OpenSSL加密，确保即使日志文件被窃取，也无法读取内容。例如，使用GnuPG加密日志文件：

  gpg -c /var/log/my-node-app/error.log  # 生成加密文件 error.log.gpg
  rm /var/log/my-node-app/error.log     # 删除原始文件
  

七、定期更新与漏洞修复：防范已知风险

• 更新Node.js与依赖：定期使用npm audit检查项目依赖的安全漏洞，使用apt更新Node.js到最新稳定版本。例如：

  npm audit fix
  sudo apt update && sudo apt upgrade nodejs
  

• 监控依赖安全：使用Snyk、Dependabot等工具监控依赖库的安全更新，及时修复高危漏洞。