在Debian系统中管理Node.js应用程序的日志权限是一个重要的安全措施,以确保敏感信息不被未授权的用户访问。以下是一些关键步骤和最佳实践:
/var/log/[appname]/ 目录下。创建专用用户和组:
sudo groupadd nodeapp
sudo useradd -g nodeapp nodeapp -s /bin/false
创建日志目录并设置权限:
sudo mkdir -p /var/log/my-node-app
sudo chown nodeapp:nodeapp /var/log/my-node-app
sudo chmod 750 /var/log/my-node-app
日志文件权限设置: 在Node.js应用中,确保日志文件创建时使用正确的权限:
const fs = require('fs');
const logStream = fs.createWriteStream('/var/log/my-node-app/app.log', {
flags: 'a', // 追加模式
mode: 0o640 // 设置权限为 -rw-r-----
});
使用logrotate管理日志:
创建 /etc/logrotate.d/my-node-app 文件:
/var/log/my-node-app/*.log {
daily
missingok
rotate 14
compress
delaycompress
notifempty
create 640 nodeapp nodeapp
sharedscripts
postrotate
[ ! -f /var/run/my-node-app.pid ] || kill -USR1 `cat /var/run/my-node-app.pid`
endscript
}
使用PM2时的权限设置(如果使用PM2管理Node.js应用):
pm2 start app.js --uid nodeapp --gid nodeapp
sudo chown -R nodeapp:nodeapp /home/nodeapp/.pm2
SELinux:如果启用了SELinux,可能需要调整上下文:
sudo semanage fcontext -a -t httpd_log_t "/var/log/my-node-app(/.*)?"
sudo restorecon -Rv /var/log/my-node-app
AppArmor:如果使用AppArmor,可以在配置文件中添加规则来限制对日志文件的访问:
sudo nano /etc/apparmor.d/usr.sbin.node
添加以下规则:
/var/log/my-node-app/ r,/var/log/my-node-app/** rwk,
然后重新加载AppArmor配置:
sudo systemctl reload apparmor
如果您的Node.js应用程序运行在一个具有网络访问权限的服务器上,可以使用防火墙(如ufw)来限制对日志文件的访问:
sudo ufw allow from 192.168.1.1 to any port 22
sudo ufw allow from 192.168.1.1 to any path /var/log/app.log
通过以上设置,可以确保Node.js应用日志既安全又可维护。定期审查和更新权限设置也是非常重要的,以应对系统配置变化和安全威胁的演变。