怎样保护Nginx日志安全

一、严格设置日志文件权限
日志文件的权限是基础安全防线，需确保仅授权用户（如Nginx运行的用户）可访问。通常，Nginx以nginx或www-data用户运行，日志目录（如/var/log/nginx）及文件应遵循以下设置：

• 目录权限：设置为755（所有者可读、写、执行，组和其他用户可读、执行），避免其他用户修改目录结构；
• 文件权限：设置为640（所有者可读、写，组用户可读，其他用户无权限），防止未授权用户读取敏感日志内容；
• 所有权确认：使用chown命令将日志文件所有者设为Nginx运行用户（如sudo chown nginx:nginx /var/log/nginx/*.log）。
  例如，针对WordPress站点，可通过find /var/www/html -type f -exec chmod 644 {} \;（文件设为644）和find /var/www/html -type d -exec chmod 755 {} \;（目录设为755）统一权限，再调整日志文件所有权。

二、过滤敏感信息，避免日志泄露
日志中可能包含用户隐私（如Cookie、手机号）、系统路径（如404错误暴露的绝对路径）或业务敏感信息（如未公开API端点），需通过以下方式过滤：

• 自定义日志格式：使用log_format指令仅记录必要字段，排除敏感信息。例如，定义main格式时，避免包含$request_body（请求体，可能含密码）或$http_cookie（Cookie）：

  log_format main '$remote_addr - $remote_user [$time_local] "$request" $status $body_bytes_sent "$http_referer" "$http_user_agent"';
  access_log /var/log/nginx/access.log main;
  

• 请求过滤规则：通过if指令拦截含恶意代码或敏感参数的请求，防止其写入日志。例如，拦截含、eval、shell等字符的请求：

  if ($request_uri ~* "(\<\?php|\ {
      return 403;
  }
  if ($http_user_agent ~* "(\<\?php|eval|shell)") {
      return 403;
  }
  

• 日志清洗：传输或存储前，使用工具（如Python脚本）移除日志中的特殊字符（如<、>、），避免解析漏洞。例如，清洗access.log中的HTML标签和PHP标识：

  import re
  def clean_log(log_content):
      log_content = re.sub(r'<[^>]+>', '', log_content)  # 移除HTML标签
      log_content = re.sub(r'\<\?php|\?\>', '', log_content)  # 移除PHP标识
      return log_content
  with open('/var/log/nginx/access.log', 'r', encoding='utf-8') as f:
      clean_content = clean_log(f.read())
  with open('/var/log/nginx/access_clean.log', 'w', encoding='utf-8') as f:
      f.write(clean_content)
  ```。  
  
  
  

/var/log/nginx/*.log {
    daily  # 每天轮转
    missingok  # 若日志不存在，不报错
    rotate 30  # 保留30天日志
    compress  # 压缩旧日志（如access.log.1.gz）
    delaycompress  # 延迟压缩（避免压缩当天日志）
    notifempty  # 若日志为空，不轮转
    create 640 nginx nginx  # 轮转后创建新日志，设置权限和所有权
    sharedscripts  # 所有日志轮转完成后执行脚本
    postrotate
        systemctl reload nginx  # 重新加载Nginx，切换日志文件
    endscript
}