logrotate通过配置create指令精确控制日志权限,如640 root adm,确保新日志文件安全;结合服务运行身份与最小权限原则,合理设置属主和权限,防止未授权访问,提升系统安全性与可维护性。
Linux系统中日志文件会随着时间不断增长,影响系统性能和管理效率。logrotate 是 Linux 下用于自动切割、压缩、归档和清理日志的标准工具。它不仅能有效控制日志大小,还能在日志切割后精确设置权限和归属,确保安全性与可维护性。
logrotate 基本工作原理
logrotate 通过配置文件定义日志的处理策略,通常每天由 cron 自动执行。它根据设定条件(如文件大小、时间周期等)判断是否需要轮转日志。轮转过程包括:
- 将当前日志重命名(如 access.log 变为 access.log.1)
- 创建新的空日志文件
- 可选:压缩旧日志、发送通知、执行脚本
所有行为由主配置文件 /etc/logrotate.conf 和 /etc/logrotate.d/ 目录下的服务专属配置共同控制。
通过 logrotate 控制切割后的日志权限
新生成的日志文件默认权限可能不符合安全要求。可通过配置 create 指令精确控制权限和属主。
示例配置:
/var/log/myapp/app.log {
daily
missingok
rotate 7
compress
delaycompress
notifempty
create 640 root adm
postrotate
/bin/kill -HUP `cat /var/run/syslogd.pid 2>/dev/null` 2>/dev/null || true
endscript
}
关键点说明:
- create 640 root adm:表示切割后创建的新日志文件权限为 640,属主 root,属组 adm。这是控制权限的核心指令
- 若不使用 create,新文件将继承原文件属性,可能导致权限偏差
- 权限设置应遵循最小权限原则,避免日志泄露(如敏感服务日志不应设为 644 允许其他用户读取)
常见场景与最佳实践
不同服务对日志权限有特定需求,合理配置可提升系统安全性。
- Web 服务器日志(如 Nginx、Apache):通常设为 640,属组设为 www-data 或 adm,便于运维分析但限制普通用户访问
- 自定义应用日志:若应用以特定用户运行(如 myuser:mygroup),应配置 create 640 myuser mygroup,确保应用能写入新日志
- 敏感日志(如审计日志):建议设为 600,仅属主可读写,防止信息泄露
- 结合 group 权限管理:将运维人员加入 adm 组,配合 640 权限,实现安全共享日志访问
基本上就这些。只要理解 create 指令的作用,并结合实际服务的运行身份和安全需求配置权限,就能在日志切割后保持良好的访问控制。定期检查 logrotate 配置和实际生成日志的权限是否一致,是系统维护的重要环节。不复杂但容易忽略。
