Ubuntu系統中Node.js日志權限管理

在Ubuntu系統中管理Node.js日志權限，需關注目錄與文件的權限設置、用戶隔離及工具配置，核心操作如下：

1. 創建專用日志目錄

   sudo mkdir -p /var/log/my-node-app  # 推薦存放在/var/log下  
   sudo chown nodeapp:nodeapp /var/log/my-node-app  # 以專用用戶/組創建（如nodeapp）  
   sudo chmod 750 /var/log/my-node-app  # 目錄權限：所有者可讀寫執行，組可讀執行，其他無權限  
   

2. 配置日志文件權限

   • 在Node.js代碼中使用日志庫（如Winston）時，指定日志路徑并設置文件權限：

     const fs = require('fs');  
     const logStream = fs.createWriteStream('/var/log/my-node-app/app.log', {  
       flags: 'a',  
       mode: 0o640  // 文件權限：所有者可讀寫，組可讀，其他無權限  
     });  
     

   • 若需動態創建日志文件，確保目錄權限已正確設置。

3. 用戶與權限隔離

   • 避免使用root運行Node.js應用，通過--uid/--gid參數指定專用用戶（如PM2管理時）：

     pm2 start app.js --uid nodeapp --gid nodeapp  # 確保PM2日志目錄權限正確  
     

4. 日志輪轉與清理

   • 使用logrotate工具配置日志輪轉，避免文件過大：

     sudo nano /etc/logrotate.d/my-node-app  
     # 添加內容：  
     /var/log/my-node-app/*.log {  
       daily  
       rotate 7  
       compress  
       create 640 nodeapp nodeapp  
     }  
     

5. 特殊場景處理

   • ACL細粒度控制：若需允許特定用戶訪問日志，可使用setfacl：

     sudo setfacl -m u:alice:r /var/log/my-node-app/app.log  # 僅允許alice讀取  
     

   • 服務日志集成：若通過systemd管理服務，確保服務文件中指定用戶權限：

     [Service]  
     User=nodeapp  
     WorkingDirectory=/var/log/my-node-app  
     

關鍵原則：遵循最小權限原則，避免過度開放權限；定期審查日志目錄權限，敏感日志建議設置為600權限。