Ubuntu 上 Node.js 日志安全的防范要点
一 敏感信息最小化与脱敏
- 在记录前对日志进行脱敏,避免写入密码、令牌、身份证号、手机号、邮箱等敏感字段;对IP可做部分掩码(如保留前两段)。
- 使用 morgan 的自定义令牌与格式,替代默认的 combined/common 格式;为生产定义“安全格式”,并对成功 GET 请求按环境动态跳过以减少噪声与暴露面。
- 示例(morgan 安全格式与脱敏):
- 自定义令牌与格式
- morgan.token(‘password’, req => req.body?.password ? ‘******’ : ‘-’)
- morgan.token(‘safe-ip’, ip => (ip || ‘’).replace(/(\d+.\d+).\d+.\d+/, ‘$1..’))
- morgan.token(‘filtered-query’, req => { const q = new URLSearchParams(req.query); [‘id’,‘phone’,‘email’].forEach(k => q.has(k) && q.set(k,‘***’)); return q.toString(); })
- morgan.format(‘secure’, ‘:safe-ip - :remote-user [:date[iso]] “:method /:path*?” :status :response-time ms’)
- 动态跳过成功 GET
- app.use(morgan(‘dev’, { skip: (req,res) => process.env.NODE_ENV===‘production’ && res.statusCode<400 && req.method===‘GET’ }))
- 在 Express 中使用
- app.use(morgan(‘secure’))
- 在业务日志中也统一做脱敏与结构化输出,避免拼接包含敏感信息的字符串。
二 安全的日志写入与存储
- 使用成熟的日志库(如 winston、pino、bunyan)进行结构化日志、分级输出与多目标传输;生产以 JSON 为主便于检索与集中分析。
- 配置合适的日志级别:生产环境优先 info/warn/error,开发环境可用 debug。
- 启用日志轮转与保留策略,控制单文件大小与保存天数,避免磁盘被占满与取证窗口过长:
- 应用内轮转(winston-daily-rotate-file):
- new DailyRotateFile({ filename: ‘application-%DATE%.log’, datePattern: ‘YYYY-MM-DD-HH’, zippedArchive: true, maxSize: ‘20m’, maxFiles: ‘14d’ })
- 系统级轮转(logrotate,/etc/logrotate.d/node-app):
- /var/log/myapp/*.log { daily; rotate 14; compress; missingok; notifempty; create 0600 myapp myapp; }
- 文件权限最小化:日志目录 0700,日志文件 0600,仅应用运行用户可写(必要时仅追加)。
- 存储加密:对含高敏日志启用磁盘/文件级加密(如 LUKS 或应用层加密),并在传输到集中式日志平台时使用 TLS。
三 传输与集中化安全
- 优先采用 HTTPS 保护传输链路,避免明文日志或日志元数据在传输中被窃听或篡改。
- 将日志发送至集中式平台(如 ELK Stack、Graylog、Splunk)时,启用 TLS 与认证;在平台侧配置索引权限、保留策略与告警规则。
- 对无法集中管理的场景,可使用 syslog 协议将日志发往受控的日志服务器,减少本地暴露面。
四 运行时防护与监控告警
- 全局异常与未处理拒绝必须记录并安全退出,防止“静默失败”与信息外泄:
- process.on(‘uncaughtException’, err => { logger.error(‘Uncaught’, { error: err }); process.exit(1); })
- process.on(‘unhandledRejection’, (reason, p) => { logger.error(‘UnhandledRejection’, { reason, promise: p }); })
- 记录关键安全事件:登录/登出、权限变更、数据修改、访问控制失败等,便于审计与追溯。
- 配置实时监控与告警(如 Prometheus + Grafana、SIEM 规则),对高频失败登录、异常 4xx/5xx、可疑路径访问等进行触发式告警。
- 配合 express-rate-limit、helmet 等中间件降低攻击面,从源头减少恶意请求进入日志。
五 快速检查清单
| 检查项 |
推荐做法 |
关键值或工具 |
| 敏感数据脱敏 |
自定义 morgan 令牌,过滤密码/证件/手机号;避免 combined 默认格式 |
自定义 format=‘secure’ |
| 日志级别 |
生产仅记录必要级别 |
info/warn/error |
| 轮转与保留 |
应用内或 logrotate 控制大小与天数 |
maxSize 20m、maxFiles 14d |
| 文件权限 |
目录 0700、文件 0600,仅运行用户可写 |
chmod/chown |
| 传输加密 |
日志上报与业务流量均启用 TLS |
HTTPS、TLS |
| 集中化与告警 |
发送至 ELK/Graylog/Splunk,配置告警 |
SIEM 规则 |
| 异常兜底 |
捕获 uncaughtException/unhandledRejection 并安全退出 |
process.on |
| 依赖与更新 |
定期审计与更新 Node.js 与依赖 |
npm audit / outdated |
以上措施在 Ubuntu 上结合 Node.js 运行时与常用日志库即可落地,兼顾合规、可用性与可运维性。