Debian系统Node.js日志访问控制策略

Debian系统Node.js日志访问控制策略

一 原则与总体架构

• 采用最小权限原则：运行 Node.js 的进程仅被授予对日志目录与文件的必要权限（通常仅追加写入），避免其他用户读取或篡改。
• 区分本地文件权限与集中式日志访问：本地侧重文件系统 ACL/属主；集中式侧重日志平台的认证、授权与审计。
• 在应用侧落实日志脱敏与分级输出，减少敏感数据落盘与扩散风险。

二 本地文件系统访问控制

• 运行身份与目录准备
  • 创建专用用户与日志目录，例如以node用户运行：
    • sudo useradd --system --no-create-home --shell /usr/sbin/nologin node
    • sudo mkdir -p /var/log/myapp
    • sudo chown node:adm /var/log/myapp
    • sudo chmod 750 /var/log/myapp
• 文件权限与属主
  • 日志文件建议权限为640（所有者读写，所属组只读，其他无权限），属主为运行用户，属组为adm（便于运维/审计人员读取）：
    • sudo touch /var/log/myapp/app.log
    • sudo chown node:adm /var/log/myapp/app.log
    • sudo chmod 640 /var/log/myapp/app.log
• 精细访问控制
  • 如需对个别运维账号授予只读，使用 ACL 而非放宽全局权限：
    • sudo setfacl -m u:alice:r /var/log/myapp/app.log
    • 验证：getfacl /var/log/myapp/app.log
• 安全审计
  • 启用 auditd 对日志文件的访问进行审计（示例）：
    • sudo auditctl -w /var/log/myapp/ -p wa -k nodejs_logs
• 强制访问控制
  • 若启用 AppArmor，为 Node.js 配置日志写入规则（示例）：
    • /etc/apparmor.d/usr.bin.node 中添加：
      • /var/log/myapp/ r,
      • /var/log/myapp/** rwk,
    • 重新加载：sudo systemctl reload apparmor
• 进程最小权限实践
  • 在 Node.js 中创建日志目录与文件时，仅赋予0600/0700的最小权限，避免其他用户访问：
    • fs.mkdirSync(‘logs’, { mode: 0o700 });
    • fs.createWriteStream(‘logs/app.log’, { flags: ‘a’, mode: 0o600 });
• 系统服务配置
  • 在 systemd 服务中显式指定运行用户，确保与文件属主一致：
    • [Service]
      • User=node
      • ExecStart=/usr/bin/node /opt/myapp/app.js
      • Restart=always
    • Environment=NODE_ENV=production

三 日志轮转与清理

• 使用 logrotate 管理日志生命周期，避免单文件过大与权限漂移：
  • /etc/logrotate.d/myapp：
    • /var/log/myapp/*.log {
      • daily
      • missingok
      • rotate 7
      • compress
      • notifempty
      • create 640 node adm
      • postrotate
        • systemctl kill -s USR1 my_node_app.service >/dev/null 2>&1 || true
      • endscript
    • }
• 要点
  • 轮转后新文件应继承640 node adm，保持最小权限。
  • 若应用支持 USR1 信号触发日志重新打开，可在 postrotate 中发送信号；否则由 logrotate 的 copytruncate 或重启策略替代。

四 应用侧日志脱敏与分级

• 分级与结构化
  • 生产环境使用 info/warn/error 等级，避免记录debug/trace；优先使用结构化日志（JSON），便于过滤与审计。
• HTTP 请求日志
  • 使用 morgan 自定义格式与令牌，过滤敏感字段（如密码、身份证、手机号、完整 IP）：
    • morgan.token(‘safe-ip’, req => (req.ip || ‘’).replace(/(\d+.\d+).\d+.\d+/, ‘$1..’));
    • morgan.token(‘filtered-query’, req => {
      • const q = new URLSearchParams(req.query);
      • [‘id’,‘phone’,‘email’].forEach(k => q.has(k) && q.set(k, ‘***’));
      • return q.toString();
      • });
    • morgan.format(‘secure’, ‘:safe-ip - :remote-user [:date[iso]] “:method :url” :status :response-time ms’);
    • app.use(morgan(‘secure’));
• 动态日志策略
  • 生产环境可跳过成功 GET 请求日志，降低噪声与泄露面：
    • app.use(morgan(‘dev’, { skip: (req,res) => process.env.NODE_ENV===‘production’ && res.statusCode<400 && req.method===‘GET’ }));
• 敏感数据最小化
  • 避免将请求体/响应体、凭证、密钥写入访问日志；必要时在写入前脱敏。

五 集中式日志与审计

• 集中式收集与访问控制
  • 通过 rsyslog/syslog-ng 或日志代理将日志发送至 ELK/Graylog/Splunk，在日志平台侧实施基于角色的访问控制（RBAC）、TLS 传输与审计。
• 审计与告警
  • 在集中平台配置关键事件告警（如多次登录失败、异常 5xx、权限变更），并定期审计日志访问与导出行为。
• 本地审计补充
  • 对本地日志目录启用 auditd 规则，记录读/写/属性变更等访问事件，配合 SIEM 进行关联分析。