Linux Node.js日志权限设置最佳实践

在Linux环境下为Node.js应用设置日志权限是确保系统安全性和稳定性的关键步骤。以下是一些最佳实践：

基本权限设置原则

• 最小权限原则：仅授予必要的权限，最大限度降低安全风险。
• 用户隔离：Node.js应用应使用专用用户运行，避免使用root用户。
• 目录结构：建议将日志存放在/var/log/[appname]/目录下，有助于管理和保护日志文件。

具体设置步骤

1. 创建专用用户和组

   sudo groupadd nodeapp
   sudo useradd -g nodeapp nodeapp -s /bin/false
   

2. 创建日志目录并设置权限

   sudo mkdir -p /var/log/my-node-app
   sudo chown nodeapp:nodeapp /var/log/my-node-app
   sudo chmod 750 /var/log/my-node-app
   

3. 日志文件权限设置 在Node.js应用中，确保日志文件创建时使用正确的权限：

   const fs = require('fs');
   const logStream = fs.createWriteStream('/var/log/my-node-app/app.log', {
     flags: 'a', // 追加模式
     mode: 0o640 // 设置权限为 -rw-r-----
   });
   

4. 使用logrotate管理日志 创建/etc/logrotate.d/my-node-app文件：

   /var/log/my-node-app/*.log {
     daily
     missingok
     rotate 14
     compress
     delaycompress
     notifempty
     create 640 nodeapp nodeapp
     sharedscripts
     postrotate
       [ ! -f /var/run/my-node-app.pid ] || kill -USR1 `cat /var/run/my-node-app.pid`
     endscript
   }
   

5. 使用PM2时的权限设置 如果使用PM2管理Node.js应用：

   pm2 start app.js --uid nodeapp --gid nodeapp
   

   并确保PM2日志目录权限正确：

   sudo chown -R nodeapp:nodeapp /home/nodeapp/.pm2
   

常见问题解决方案

• “EACCES: permission denied” 错误

  sudo setfacl -R -m u:nodeapp:rwx /var/log/my-node-app
  

• 日志文件不轮转 检查：

  • logrotate配置是否正确
  • 确保postrotate脚本能正确通知应用重新打开日志文件

• SELinux相关问题 如果启用了SELinux，可能需要调整上下文：

  sudo semanage fcontext -a -t httpd_log_t "/var/log/my-node-app(/.*)?"
  sudo restorecon -Rv /var/log/my-node-app
  

最佳实践

• 避免使用root用户运行Node.js应用。
• 定期审查日志文件权限。
• 考虑使用专门的日志库如Winston或Bunyan，它们提供更细粒度的日志控制。
• 对于敏感日志，设置更严格的权限 (600)。

通过以上设置，可以确保Node.js应用日志既安全又可维护。