logrotate通过配置create指令精确控制日志权限，如640 root adm，确保新日志文件安全；结合服务运行身份与最小权限原则，合理设置属主和权限，防止未授权访问，提升系统安全性与可维护性。

linux系统中日志文件会随着时间不断增长，影响系统性能和管理效率。logrotate 是 Linux 下用于自动切割、压缩、归档和清理日志的标准工具。它不仅能有效控制日志大小，还能在日志切割后精确设置权限和归属，确保安全性与可维护性。

logrotate 基本工作原理

logrotate 通过配置文件定义日志的处理策略，通常每天由 cron 自动执行。它根据设定条件（如文件大小、时间周期等）判断是否需要轮转日志。轮转过程包括：

• 将当前日志重命名（如 access.log 变为 access.log.1）
• 创建新的空日志文件
• 可选：压缩旧日志、发送通知、执行脚本

所有行为由主配置文件 /etc/logrotate.conf 和 /etc/logrotate.d/ 目录下的服务专属配置共同控制。

通过 logrotate 控制切割后的日志权限

新生成的日志文件默认权限可能不符合安全要求。可通过配置 create 指令精确控制权限和属主。

示例配置：

AiTxt 文案助手

aiTxt 利用 Ai 帮助你生成您想要的一切文案，提升你的工作效率。

15

查看详情

 /var/log/myapp/app.log {     daily     missingok     rotate 7     compress     delaycompress     notifempty     create 640 root adm     postrotate         /bin/kill -HUP `cat /var/run/syslogd.pid 2>/dev/null` 2>/dev/null || true     endscript }

关键点说明：

• create 640 root adm：表示切割后创建的新日志文件权限为 640，属主 root，属组 adm。这是控制权限的核心指令
• 若不使用 create，新文件将继承原文件属性，可能导致权限偏差
• 权限设置应遵循最小权限原则，避免日志泄露（如敏感服务日志不应设为 644 允许其他用户读取）

常见场景与最佳实践

不同服务对日志权限有特定需求，合理配置可提升系统安全性。

• Web 服务器日志（如 nginx、apache）：通常设为 640，属组设为 www-data 或 adm，便于运维分析但限制普通用户访问
• 自定义应用日志：若应用以特定用户运行（如 myuser:mygroup），应配置 create 640 myuser mygroup，确保应用能写入新日志
• 敏感日志（如审计日志）：建议设为 600，仅属主可读写，防止信息泄露
• 结合 group 权限管理：将运维人员加入 adm 组，配合 640 权限，实现安全共享日志访问

基本上就这些。只要理解 create 指令的作用，并结合实际服务的运行身份和安全需求配置权限，就能在日志切割后保持良好的访问控制。定期检查 logrotate 配置和实际生成日志的权限是否一致，是系统维护的重要环节。不复杂但容易忽略。