最小权限原则:仅授予Node.js应用运行所需的最低权限,避免过度开放(如禁止使用777权限);用户隔离:使用专用用户(如nodeapp)运行应用,避免以root身份运行;目录结构规范:建议将日志存放在/var/log/[appname]/目录下,便于集中管理。
# 创建用户组 sudo groupadd nodeapp # 创建专用用户(无登录权限,shell设为/bin/false) sudo useradd -g nodeapp nodeapp -s /bin/false # 创建日志目录(若不存在) sudo mkdir -p /var/log/my-node-app # 设置目录所有者为专用用户/组 sudo chown nodeapp:nodeapp /var/log/my-node-app # 设置目录权限(所有者可读写执行,组可读执行,其他用户无权限) sudo chmod 750 /var/log/my-node-app 在Node.js应用中,通过fs.createWriteStream明确指定日志文件的权限(0o640表示所有者可读写,组可读,其他用户无权限):
const fs = require('fs'); const logStream = fs.createWriteStream('/var/log/my-node-app/app.log', { flags: 'a', // 追加模式 mode: 0o640 // 关键权限设置 }); 若用PM2管理应用,启动时需指定专用用户/组,并修复PM2自身目录权限:
# 启动应用时绑定用户/组 pm2 start app.js --uid nodeapp --gid nodeapp # 设置PM2日志目录权限(确保PM2能写入) sudo chown -R nodeapp:nodeapp /home/nodeapp/.pm2 使用logrotate工具自动分割、压缩旧日志,配置文件存放在/etc/logrotate.d/下(以my-node-app为例):
# 创建logrotate配置文件 sudo vim /etc/logrotate.d/my-node-app 配置内容如下(每日轮转、保留14天、压缩旧日志、通知应用重新打开文件):
/var/log/my-node-app/*.log { daily # 每日轮转 missingok # 忽略缺失文件 rotate 14 # 保留14个归档 compress # 压缩旧日志 delaycompress # 延迟压缩(避免当天压缩当天日志) notifempty # 空日志不轮转 create 640 nodeapp nodeapp # 新日志文件权限与所有者 sharedscripts # 所有日志处理完再执行脚本 postrotate [ ! -f /var/run/my-node-app.pid ] || kill -USR1 `cat /var/run/my-node-app.pid` # 通知应用重新打开日志 endscript } 若应用无法写入日志目录,可使用setfacl添加ACL权限(无需修改原有权限结构):
sudo setfacl -R -m u:nodeapp:rwx /var/log/my-node-app # 授予用户读写执行权限 若系统启用SELinux,需调整日志目录的上下文(以httpd_log_t为例):
# 添加SELinux上下文规则 sudo semanage fcontext -a -t httpd_log_t "/var/log/my-node-app(/.*)?" # 应用上下文到现有目录 sudo restorecon -Rv /var/log/my-node-app 600);winston(支持多传输、格式化)、pino(高性能)或bunyan(结构化JSON),提升日志管理能力;auditd等工具监控日志文件的访问与修改,及时发现异常操作。
