Xray-core日志权限问题分析与解决方案

问题背景

在使用Xray-core服务时，用户遇到了一个典型的日志权限问题。具体表现为：当Xray服务在每日0时0分自动轮转日志文件时，新创建的access.log和error.log文件权限被设置为nobody:nogroup，导致服务重启后无法正常访问这些日志文件。

问题分析

根本原因

经过深入分析，发现问题的根源在于logrotate配置文件中指定的文件创建权限。在/etc/logrotate.d/xray配置中，"create 0600 65534 65534"这一行明确指定了新日志文件的权限为0600，属主和属组ID为65534（即nobody:nogroup）。

影响范围

这一配置会导致以下问题：

1. Xray服务以专用用户运行时，无法访问新创建的日志文件
2. 服务重启时会因权限不足而失败
3. 日志记录功能中断，影响服务监控和故障排查

解决方案

方案一：禁用logrotate（推荐）

对于使用systemd的系统，journald本身就具备日志轮转功能，因此可以完全移除logrotate配置：

1. 删除logrotate配置文件：

rm /etc/logrotate.d/xray

2. 重启Xray服务：

systemctl restart xray.service

方案二：修改logrotate配置

如果需要保留logrotate功能，可以修改配置文件中的创建权限：

1. 首先获取Xray专用用户的UID和GID：

id xray

2. 编辑/etc/logrotate.d/xray文件，修改create指令：

create 0600 <xray_uid> <xray_gid>

3. 手动测试配置：

logrotate -d /etc/logrotate.d/xray

4. 强制立即执行轮转：

logrotate -f /etc/logrotate.d/xray

最佳实践建议

1. 对于使用systemd的系统，建议优先使用journald的日志管理功能，避免额外的logrotate配置
2. 如果必须使用logrotate，确保create指令中的权限设置与Xray服务运行用户一致
3. 定期检查日志文件权限，确保服务正常运行
4. 在部署新服务时，预先规划好日志管理策略

总结

Xray-core的日志权限问题是一个典型的配置不当案例。通过理解系统日志管理机制和合理配置，可以确保服务稳定运行。对于大多数现代Linux系统，利用systemd自带的日志管理功能是更简洁高效的解决方案。