生产环境日志文件权限应设为640或644,属主为PHP实际运行用户(如appuser),属组为运维组;需确保父目录有x权限,logrotate配置中用create指定属主,并将PHP用户加入syslog组以支持系统日志写入。
PHP日志文件权限不能设为777
直接给 error_log 或自定义日志文件(如 /var/log/myapp/app.log)设 chmod 777 是危险操作,Web服务器进程(如 www-data、apache、nginx)和 PHP 进程可能以不同用户身份运行,777 会让任意本地用户读写日志,可能泄露敏感信息(如堆栈、数据库连接串、会话内容)或被恶意覆盖/注入。
- 生产环境日志文件权限建议设为
640或644,属主为 Web 服务用户(如www-data),属组为可审计的运维组 - 若 PHP 使用
fopen(..., 'a')写日志,确保 PHP 进程有写权限 —— 通常意味着属主必须是 PHP 所在用户,而非仅靠组权限 - 避免把日志放在 Web 可访问目录(如
htdocs/logs/),否则即使权限收紧,路径猜解或配置失误仍可能导致暴露
chown 要匹配 PHP 实际运行用户
chown 错用户比权限数字更致命。PHP-FPM 和 Apache mod_php 的运行用户常不一致:Apache 下可能是 www-data:www-data,PHP-FPM 池里却可能配置了 user = appuser 和 group = appgroup,此时日志文件属主必须是 appuser,否则 fwrite() 报 Permission denied。
- 查 PHP 实际用户:
ps aux | grep php-fpm(看 master 进程的 USER)或在脚本中运行echo posix_getpwuid(posix_geteuid())['name']; - 改属主命令示例:
sudo chown appuser:appgroup /var/log/myapp/app.log - 如果日志目录本身权限太严(如
750),PHP 用户还必须对父目录有x权限才能进入,否则连 open 都失败
error_log() 写系统日志时权限由 syslogd 控制
当 error_log() 第二个参数设为 3(即写入系统日志),实际写入的是 /dev/log socket,权限不由文件控制,而由 syslogd(如 rsyslog)的 socket 权限和配置决定。PHP 进程需属于 syslog 组才可能写入。
- 检查 socket 权限:
ls -l /dev/log—— 常见为srw-rw---- 1 root syslog,此时需确保 PHP 用户在syslog组 - 加组命令:
sudo usermod -a -G syslog appuser,之后重启 PHP-FPM - 这种写法绕过文件权限管理,但日志格式不可控,且部分容器环境(如 Alpine)默认无 rsyslog,会静默失败
rotate 后权限丢失是常见坑
logrotate 默认用 root 轮转日志,新生成的 app.log 属主变回 root:root,PHP 无法再写入,报错 failed to open stream: Permission denied。
立即学习“PHP免费学习笔记(深入)”;
- 在 logrotate 配置中显式指定属主:
create 640 appuser appgroup - 避免用
copytruncate替代create—— 它不清空原文件权限,但存在极小窗口期写入丢失风险 - 测试轮转:
sudo logrotate -f /etc/logrotate.d/myapp,然后立刻ls -l确认新文件权限和属主
实际部署时,最易忽略的是 PHP-FPM pool 用户与 logrotate create 参数的协同,以及父目录的执行权限。这两点一漏,日志就停写,错误还不一定报在 PHP 层。
