Update.

xOS · xOS · commit a48594d838be · 2025-05-22T22:48:07.000+08:00
diff --git a/cmd/dashboard/main.go b/cmd/dashboard/main.go
@@ -67,7 +67,10 @@ func main() {
 
 	// 设置日志目录
 	if dashboardCliParam.LogDir != "" {
-		singleton.SetLogDir(dashboardCliParam.LogDir)
+		if err := singleton.SetLogDir(dashboardCliParam.LogDir); err != nil {
+			fmt.Printf("设置日志目录失败: %v\n", err)
+			os.Exit(1)
+		}
 	}
 
 	// 初始化日志系统
diff --git a/service/singleton/log.go b/service/singleton/log.go
@@ -18,9 +18,15 @@ var (
 	logFilePrefix = "serverstatus"
 )
 
-// SetLogDir 设置日志目录
-func SetLogDir(dir string) {
+// SetLogDir 设置日志目录，增加路径验证
+func SetLogDir(dir string) error {
+	// 安全检查：验证目录路径
+	if !isValidPath(dir) {
+		return fmt.Errorf("日志目录路径包含非法字符: %s", dir)
+	}
+
 	logDir = dir
+	return nil
 }
 
 // SetLogFilePrefix 设置日志文件名前缀
@@ -30,15 +36,34 @@ func SetLogFilePrefix(prefix string) {
 
 // InitLogger 初始化日志系统，将日志输出到控制台和文件
 func InitLogger() error {
-	// 创建日志目录
-	if err := os.MkdirAll(logDir, 0755); err != nil {
+	// 安全检查：验证日志目录路径不包含可疑字符
+	if !isValidPath(logDir) {
+		return fmt.Errorf("日志目录路径包含非法字符: %s", logDir)
+	}
+
+	// 创建日志目录，权限从0755改为0750
+	if err := os.MkdirAll(logDir, 0750); err != nil {
 		return fmt.Errorf("创建日志目录失败: %v", err)
 	}
 
-	// 创建日志文件
+	// 创建日志文件，使用安全的时间格式
 	timestamp := time.Now().Format("2006-01-02")
+
+	// 额外检查时间戳格式
+	if !isValidTimestamp(timestamp) {
+		return fmt.Errorf("生成的时间戳格式无效: %s", timestamp)
+	}
+
+	// 构建日志文件名
 	logFileName := filepath.Join(logDir, fmt.Sprintf("%s-%s.log", logFilePrefix, timestamp))
-	file, err := os.OpenFile(logFileName, os.O_CREATE|os.O_WRONLY|os.O_APPEND, 0644)
+
+	// 再次验证完整路径
+	if !isValidPath(logFileName) {
+		return fmt.Errorf("生成的日志文件路径无效: %s", logFileName)
+	}
+
+	// 文件权限从0644改为0600
+	file, err := os.OpenFile(logFileName, os.O_CREATE|os.O_WRONLY|os.O_APPEND, 0600)
 	if err != nil {
 		return fmt.Errorf("创建日志文件失败: %v", err)
 	}
@@ -70,3 +95,39 @@ func CloseLogger() {
 func SetLogLevel(level string) {
 	// 暂时不实现，仅提供接口
 }
+
+// isValidPath 检查路径是否合法
+func isValidPath(path string) bool {
+	// 检查路径是否包含可疑字符
+	// 此处可以根据实际需求调整规则
+
+	// 不允许使用路径穿越攻击
+	cleanPath := filepath.Clean(path)
+	if filepath.IsAbs(path) && !filepath.IsAbs(cleanPath) {
+		return false
+	}
+
+	// 检查路径中是否包含"../"，防止目录遍历
+	if cleanPath != path {
+		return false
+	}
+
+	// 其他基本检查可以根据需要添加
+	return true
+}
+
+// isValidTimestamp 检查时间戳是否符合预期格式
+func isValidTimestamp(timestamp string) bool {
+	// 检查时间戳是否为10位数字格式(2006-01-02)
+	if len(timestamp) != 10 {
+		return false
+	}
+
+	// 检查时间戳格式
+	if timestamp[4] != '-' || timestamp[7] != '-' {
+		return false
+	}
+
+	// 更详细的验证可以根据需要添加
+	return true
+}
