Node.js日志在Debian上的权限管理

一、基础权限设置

1. 创建日志目录

   sudo mkdir -p /var/log/nodejs-app  # 推荐存放在/var/log下
   sudo chown -R node:node /var/log/nodejs-app  # 确保Node.js运行用户（如node）拥有权限
   sudo chmod -R 750 /var/log/nodejs-app  # 目录权限：所有者可读写执行，组可读执行，其他无权限
   

2. 配置Node.js应用
   在代码中指定日志路径（以Winston为例）：

   const winston = require('winston');
   const logger = winston.createLogger({
     transports: [
       new winston.transports.File({ filename: '/var/log/nodejs-app/error.log', level: 'error' }),
       new winston.transports.File({ filename: '/var/log/nodejs-app/combined.log' })
     ]
   });
   

二、高级权限控制

1. 文件级权限细化

   • 单个日志文件可设置为640（所有者可读写，组可读，其他无权限）：

     sudo chmod 640 /var/log/nodejs-app/error.log
     sudo chown node:adm /var/log/nodejs-app/error.log  # 组可设为adm（系统管理员组）
     

2. SELinux/AppArmor配置

   • SELinux（若启用）：

     sudo semanage fcontext -a -t httpd_sys_rw_content_t "/var/log/nodejs-app(/.*)?"
     sudo restorecon -Rv /var/log/nodejs-app
     

   • AppArmor（若启用）：
     编辑/etc/apparmor.d/usr.sbin.node，添加：

     /var/log/nodejs-app/ r,
     /var/log/nodejs-app/** rwk,
     

     然后重启AppArmor：

     sudo systemctl reload apparmor
     

3. 日志轮转管理
   使用logrotate自动归档日志（创建/etc/logrotate.d/nodejs-app）：

   /var/log/nodejs-app/*.log {
     daily
     rotate 7
     compress
     missingok
     create 640 node node
     postrotate
       [ -f /var/run/nodejs-app.pid ] && kill -USR1 `cat /var/run/nodejs-app.pid`
     endscript
   }
   

三、安全最佳实践

• 最小权限原则：仅授予Node.js进程必要的写入权限，避免使用777等宽松权限。
• 用户隔离：为Node.js应用创建专用用户（如nodeapp），而非直接使用root。
• 敏感日志加密：对包含敏感信息的日志，可在存储前加密（参考OpenSSL等工具）。
• 定期审计：通过ls -l /var/log/nodejs-app定期检查权限，确保无异常。

四、验证与维护

• 重启应用后检查日志是否正常写入：

  sudo systemctl restart nodejs-app
  tail -f /var/log/nodejs-app/error.log
  

• 若遇权限错误，可通过strace定位具体权限问题：

  sudo strace -e trace=open node app.js 2>&1 | grep /var/log/nodejs-app