refactor(daemon): 更新日志文件权限和改进用户目录获取逻辑

- 修改日志文件的权限设置，从0644更改为0600，以提高安全性
- 在获取用户主目录时添加错误处理，确保在无法获取时使用当前目录
- 更新停止标记文件的权限设置，确保安全性
- 优化证书部署和更新逻辑，添加域名不能为空的检查

Author: orange-juzipi

cmd/daemon.go

@@ -91,7 +91,7 @@ func runSupervisor() {
 		return
 	}
 
-	supervisorLogFile, err := os.OpenFile(GetLogFile(), os.O_CREATE|os.O_WRONLY|os.O_APPEND, 0644)
+	supervisorLogFile, err := os.OpenFile(GetLogFile(), os.O_CREATE|os.O_WRONLY|os.O_APPEND, 0600)
 	if err != nil {
 		fmt.Printf("打开日志文件失败: %v\n", err)
 		return
@@ -120,7 +120,7 @@ func runSupervisor() {
 
 		cmd := exec.Command(execPath, "start", "-c", ConfigFile)
 
-		logFile, err := os.OpenFile(GetLogFile(), os.O_CREATE|os.O_WRONLY|os.O_APPEND, 0644)
+		logFile, err := os.OpenFile(GetLogFile(), os.O_CREATE|os.O_WRONLY|os.O_APPEND, 0600)
 		if err != nil {
 			time.Sleep(restartDelay)
 			continue
@@ -138,7 +138,7 @@ func runSupervisor() {
 		}
 
 		pidFile := GetPIDFile()
-		if err := os.WriteFile(pidFile, []byte(strconv.Itoa(cmd.Process.Pid)), 0644); err != nil {
+		if err := os.WriteFile(pidFile, []byte(strconv.Itoa(cmd.Process.Pid)), 0600); err != nil {
 			cmd.Process.Kill()
 			logFile.Close()
 			time.Sleep(restartDelay)
@@ -183,7 +183,11 @@ func runSupervisor() {
 
 // shouldStopSupervisor 检查是否应该停止监控器
 func shouldStopSupervisor() bool {
-	homeDir, _ := os.UserHomeDir()
+	homeDir, err := os.UserHomeDir()
+	if err != nil {
+		// 如果无法获取用户主目录，使用当前目录
+		homeDir = "."
+	}
 	stopMarker := filepath.Join(homeDir, ".cert-deploy-stop")
 	if _, err := os.Stat(stopMarker); err == nil {
 		os.Remove(stopMarker)
@@ -194,9 +198,15 @@ func shouldStopSupervisor() bool {
 
 // StopDaemon 停止守护进程
 func StopDaemon() error {
-	homeDir, _ := os.UserHomeDir()
+	homeDir, err := os.UserHomeDir()
+	if err != nil {
+		// 如果无法获取用户主目录，使用当前目录
+		homeDir = "."
+	}
 	stopMarker := filepath.Join(homeDir, ".cert-deploy-stop")
-	os.WriteFile(stopMarker, []byte("stop"), 0644)
+	if err := os.WriteFile(stopMarker, []byte("stop"), 0600); err != nil {
+		return fmt.Errorf("创建停止标记失败: %w", err)
+	}
 
 	pidFile := GetPIDFile()
 	data, err := os.ReadFile(pidFile)

cmd/root.go

@@ -43,7 +43,11 @@ func CreateRootCmd() *cobra.Command {
 
 // GetPIDFile 获取PID文件路径
 func GetPIDFile() string {
-	homeDir, _ := os.UserHomeDir()
+	homeDir, err := os.UserHomeDir()
+	if err != nil {
+		// 如果无法获取用户主目录，使用当前目录
+		homeDir = "."
+	}
 	return filepath.Join(homeDir, ".cert-deploy.pid")
 }
 

internal/client/cert_deploy.go

@@ -128,11 +128,17 @@ func (cd *CertDeployer) extractZip(zipFile, extractDir string) error {
 func (cd *CertDeployer) extractZipFile(file *zip.File, extractDir string) error {
 	// 使用 filepath.Rel 安全地检查路径
 	targetPath := filepath.Join(extractDir, file.Name)
-	rel, err := filepath.Rel(extractDir, targetPath)
-	if err != nil || strings.HasPrefix(rel, "..") {
+
+	// 清理路径并检查符号链接
+	cleanTarget := filepath.Clean(targetPath)
+	rel, err := filepath.Rel(extractDir, cleanTarget)
+	if err != nil || strings.HasPrefix(rel, "..") || strings.Contains(rel, ".."+string(filepath.Separator)) {
 		return fmt.Errorf("不安全的文件路径: %s", file.Name)
 	}
 
+	// 使用清理后的路径
+	targetPath = cleanTarget
+
 	// 创建目录
 	if file.FileInfo().IsDir() {
 		return os.MkdirAll(targetPath, file.FileInfo().Mode())

internal/client/client.go

@@ -8,6 +8,7 @@ import (
 	"net/http"
 	"net/url"
 	"os"
+	"sync"
 	"sync/atomic"
 	"time"
 
@@ -35,7 +36,9 @@ type Client struct {
 	connectClient        deployPBconnect.DeployServiceClient
 	ctx                  context.Context
 	accessKey            string
-	lastDisconnectLogged atomic.Bool // 记录是否已打印断开连接日志
+	lastDisconnectLogged atomic.Bool        // 记录是否已打印断开连接日志
+	systemInfo           *system.SystemInfo // 缓存的系统信息
+	systemInfoOnce       sync.Once          // 确保系统信息只获取一次
 }
 
 func NewClient(ctx context.Context) (*Client, error) {
@@ -48,15 +51,27 @@ func NewClient(ctx context.Context) (*Client, error) {
 	}
 
 	// 配置 HTTP 客户端
-	httpClient := &http.Client{}
+	httpClient := &http.Client{
+		Timeout: 30 * time.Second,
+	}
 	if cfg.Server.Env == "local" {
 		p := new(http.Protocols)
 		p.SetUnencryptedHTTP2(true)
 		httpClient = &http.Client{
+			Timeout: 30 * time.Second,
 			Transport: &http.Transport{
-				Protocols: p,
+				Protocols:           p,
+				MaxIdleConns:        100,
+				MaxIdleConnsPerHost: 10,
+				IdleConnTimeout:     90 * time.Second,
 			},
 		}
+	} else {
+		httpClient.Transport = &http.Transport{
+			MaxIdleConns:        100,
+			MaxIdleConnsPerHost: 10,
+			IdleConnTimeout:     90 * time.Second,
+		}
 	}
 
 	client := &Client{
@@ -75,6 +90,15 @@ func NewClient(ctx context.Context) (*Client, error) {
 	return client, nil
 }
 
+// getSystemInfo 获取系统信息（带缓存）
+func (c *Client) getSystemInfo() (*system.SystemInfo, error) {
+	var err error
+	c.systemInfoOnce.Do(func() {
+		c.systemInfo, err = system.GetSystemInfo()
+	})
+	return c.systemInfo, err
+}
+
 // StartConnectNotify 启动连接通知
 func (c *Client) StartConnectNotify() {
 	reconnectDelay := time.Second
@@ -110,10 +134,10 @@ func (c *Client) StartConnectNotify() {
 		consecutiveFailures = 0
 		reconnectDelay = time.Second
 
-		// 获取系统信息
-		systemInfo, err := system.GetSystemInfo()
+		// 获取系统信息（使用缓存）
+		systemInfo, err := c.getSystemInfo()
 		if err != nil {
-			logger.Error("获取系统信息失败: %v", err)
+			logger.Error("获取系统信息失败", "error", err)
 			stream.CloseRequest()
 			time.Sleep(reconnectDelay)
 			continue
@@ -138,31 +162,32 @@ func (c *Client) StartConnectNotify() {
 
 		// 注册客户端
 		if err := stream.Send(registerReq); err != nil {
-			// logger.Error("注册失败", "error", err)
 			stream.CloseRequest()
 			time.Sleep(reconnectDelay)
 			continue
 		}
 
-		// 处理消息流
-		err = c.handleNotifyStream(stream)
-
-		// 流断开
-		if err != nil {
-			if errors.Is(err, context.Canceled) || errors.Is(err, context.DeadlineExceeded) {
-				return
-			}
-
-			isConnected.Store(false)
-			c.lastDisconnectLogged.Store(true)
+		// 流断开，先检查主 context 是否被取消（而不是检查错误类型）
+		// 因为错误链中可能包含 context.Canceled，但实际是连接断开导致的
+		select {
+		case <-c.ctx.Done():
+			logger.Info("主 context 已取消，退出连接循环")
+			return
+		default:
+		}
 
-			// 等待后重连
-			time.Sleep(reconnectDelay)
-			reconnectDelay = min(reconnectDelay*2, maxReconnectDelay)
-			continue
+		// 处理消息流
+		if err := c.handleNotifyStream(stream); err != nil {
+			// logger.Error("连接断开", "error", err)
 		}
 
-		return
+		// 标记断开连接
+		isConnected.Store(false)
+		c.lastDisconnectLogged.Store(true)
+
+		// 等待后重连
+		time.Sleep(reconnectDelay)
+		reconnectDelay = min(reconnectDelay*2, maxReconnectDelay)
 	}
 }
 
@@ -197,7 +222,9 @@ func (c *Client) handleNotifyStream(stream *connect.BidiStreamForClientSimple[de
 		if !isConnected.Load() {
 			isConnected.Store(true)
 
+			// 如果之前断开过连接，打印重连成功日志
 			if c.lastDisconnectLogged.Load() {
+				// logger.Info("重新连接成功")
 				c.lastDisconnectLogged.Store(false)
 			}
 		}
@@ -249,7 +276,7 @@ func (c *Client) sendHeartbeat(ctx context.Context, stream *connect.BidiStreamFo
 				Version:   config.Version,
 			})
 			if err != nil {
-				logger.Error("发送心跳失败: %v", err)
+				// logger.Error("发送心跳失败", "error", err)
 				return
 			}
 		}

internal/client/execute_busines.go

@@ -22,6 +22,12 @@ func (c *Client) executeBusines(stream *connect.BidiStreamForClientSimple[deploy
 	cert := resp.Cert
 	key := resp.Key
 
+	if domain == "" {
+		logger.Error("域名不能为空")
+		c.sendExecuteBusinesResponse(stream, requestId, deployPB.ExecuteBusinesRequest_REQUEST_RESULT_FAILED)
+		return
+	}
+
 	// 上传证书备注
 	remark := domain + "_" + time.Now().Format(time.DateTime)
 
@@ -117,6 +123,11 @@ func (c *Client) sendExecuteBusinesResponse(stream *connect.BidiStreamForClientS
 
 // deployCertificate 部署证书
 func (c *Client) deployCertificate(domain, downloadURL string) {
+	if domain == "" {
+		logger.Error("域名不能为空")
+		return
+	}
+
 	deployer := NewCertDeployer(c)
 	if err := deployer.DeployCertificate(domain, downloadURL); err != nil {
 		logger.Error("证书部署失败", "error", err, "domain", domain)

internal/client/update_version.go

@@ -16,7 +16,7 @@ func (c *Client) handleUpdate() {
 
 	updateInfo, err := updater.CheckUpdate(c.ctx)
 	if err != nil {
-		logger.Error("检查更新失败", err)
+		logger.Error("检查更新失败", "error", err)
 		return
 	}
 
@@ -27,18 +27,25 @@ func (c *Client) handleUpdate() {
 	logger.Info("发现新版本", "current", updateInfo.CurrentVersion, "latest", updateInfo.LatestVersion)
 
 	if err := updater.PerformUpdate(c.ctx, updateInfo); err != nil {
-		logger.Error("更新失败", err)
+		logger.Error("更新失败", "error", err)
 		return
 	}
 
 	logger.Info("更新完成，重启中...")
 
 	// 创建更新标记文件
-	execPath, _ := os.Executable()
+	execPath, err := os.Executable()
+	if err != nil {
+		logger.Error("获取可执行文件路径失败", "error", err)
+		return
+	}
 	execDir := filepath.Dir(execPath)
 	markerFile := filepath.Join(execDir, ".cert-deploy-updated")
 	content := fmt.Sprintf("%s\n%s\n", updateInfo.LatestVersion, time.Now().Format(time.RFC3339))
-	os.WriteFile(markerFile, []byte(content), 0644)
+	if err := os.WriteFile(markerFile, []byte(content), 0600); err != nil {
+		logger.Error("创建更新标记文件失败", "error", err)
+		return
+	}
 
 	time.Sleep(1 * time.Second)
 	os.Exit(0)

internal/system/info.go

@@ -86,7 +86,10 @@ func GetUniqueClientID(ctx context.Context) (string, error) {
 	id := hex.EncodeToString(sum[:])
 
 	// 缓存结果，确保下次启动时使用相同的ID
-	_ = writeCachedID(id)
+	if err := writeCachedID(id); err != nil {
+		// 缓存失败不影响主流程，仅记录错误
+		fmt.Fprintf(os.Stderr, "警告: 缓存客户端ID失败: %v\n", err)
+	}
 
 	return id, nil
 }

internal/system/network.go

@@ -12,6 +12,17 @@ import (
 	"github.com/orange-juzipi/cert-deploy/internal/config"
 )
 
+// 共享的 HTTP Client，避免重复创建
+var publicIPClient = &http.Client{
+	Timeout: 5 * time.Second,
+	Transport: &http.Transport{
+		MaxIdleConns:        10,
+		IdleConnTimeout:     30 * time.Second,
+		DisableKeepAlives:   false,
+		MaxIdleConnsPerHost: 2,
+	},
+}
+
 // getPublicIP 获取公网IP地址（使用并发请求优化）
 func getPublicIP() string {
 	// 使用多个服务提供商，并发请求，提高成功率和速度
@@ -30,14 +41,17 @@ func getPublicIP() string {
 
 	var wg sync.WaitGroup
 	for _, serviceURL := range services {
-		wg.Go(func() {
+		serviceURL := serviceURL // 捕获循环变量
+		wg.Add(1)
+		go func() {
+			defer wg.Done()
 			if ip := getIPFromService(ctx, serviceURL); ip != "" {
 				select {
 				case resultChan <- ip:
 				case <-ctx.Done():
 				}
 			}
-		})
+		}()
 	}
 
 	// 启动一个 goroutine 来关闭通道
@@ -69,10 +83,6 @@ func getPublicIP() string {
 
 // getIPFromService 从指定服务获取IP地址
 func getIPFromService(ctx context.Context, serviceURL string) string {
-	client := &http.Client{
-		Timeout: 5 * time.Second,
-	}
-
 	req, err := http.NewRequestWithContext(ctx, "GET", serviceURL, nil)
 	if err != nil {
 		return ""
@@ -81,7 +91,7 @@ func getIPFromService(ctx context.Context, serviceURL string) string {
 	// 使用配置的版本号
 	req.Header.Set("User-Agent", "cert-deploy-client/"+config.Version)
 
-	resp, err := client.Do(req)
+	resp, err := publicIPClient.Do(req)
 	if err != nil {
 		return ""
 	}