在CentOS 7.5中,配置Nginx反向代理时遇到Permission denied错误。通过分析审计日志发现是SELinux的httpd_t与http_cache_port_t类型不匹配。解决方案包括设置setenforce为Permissive、启用httpd_can_network_connect布尔值或创建自定义SELinux模块mynginx。
在CentOS 7.5配置并启动Nginx后,却总是看到如下异常
Permission denied
查看Nginx的错误日志如下:
[root@mylocal ~]# grep Permission /var/log/nginx/error.log
2019/05/30 03:51:21 [crit] 4331#0: *6 " connect() to 127.0.0.1:8080/regression failed (13: Permission denied) while connecting to upstream, client: 127.0.0.1, server: localhost, request: "GET / HTTP/1.1", upstream: "http://172.18.0.101:8080/", host: "localhost:8080"
分析异常原因,在连接被代理的服务时被拒绝。
首先,排除了Nginx反向代理的配置问题,因为迁移前的同样的配置工作正常。
其次,基本排除了Nginx服务器的问题,systemctl status nginx查看服务运行正常。
最后,只能怀疑是权限真的不足的问题了。比较当前root用户与nginx用户,显然不是Linux用户权限的问题,那就只可能是SELinux的用户权限问题了。
查看SELinux的审计日志:
[root@myloca ~]# grep denied /var/log/audit/audit.log
type=AVC msg=audit(1559031062.594:294): avc: denied { name_connect } for pid=1339 comm="nginx" dest=8080 scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:object_r:http_cache_port_t:s0 tclass=tcp_so
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
