现象描述:

在centos7.6服务器上使用yum 安装好nginx后,又打开了防火墙的对应端口,无论在服务器本地还是在自己的机器通过IP,nginx的默认页面已经可以正常访问了。

此时,所需要部署的静态页面项目无法访问,在浏览器端提示403 forbidden,在服务器上通过tail命令查看nginx这个端口访问的error日志后,发现了很多Permission denied,说白了就是nginx没有权限访问静态页面所在的那个index.html。

至此就觉得很奇怪,目录权限,文件权限我都给了,为什么访问不了?google了好一会之后发现有人记录过SELinux 会引起这个现象。SELinux 基于最小权限原则默认拦截了 Nginx 的请求。

原谅我没文化,属实不太理解为什么SELinux会有这种设定,允许Nginx对这个静态文件的读取,就会让系统面临安全风险吗?

问题定位:

1,首先查看SELinux的状态,是不是启动的,如下是我其他地方复制的(不是我自己的,我当时没有截图),其中的enabled就表示启用的:

[root@centos-server-02 local]# sestatus
SELinux status:                 enabled
SELinuxfs mount:                /sys/fs/selinux
SELinux root directory:         /etc/selinux
Loaded policy name:             targeted
Current mode:                   enforcing
Mode from config file:          enforcing
Policy MLS status:              enabled
Policy deny_unknown status:     allowed
Max kernel policy version:      31

也可以使用 getenforce 命令查看,会直接输出一个单词表示启用还是受限,很直观。

2,先临时关闭SELinux看能否访问:

setenforce 0

后面的数字 0 表示临时关闭,数字 1 表示临时启用。经检查,关闭后,所需要部署的站点就能访问了,这样就确定了SELinux拦截了nginx对文件的访问。 

解决问题:

1,开启http访问:

setsebool -P httpd_can_network_connect 1

2,分析现有日志并生成关联模块,执行完此命令可以看到在当前目录下会生成后缀为*.pp和*.te文件,如果该服务器上的服务未被访问过,此命令执行无效。其实这一步我不是很懂,只是看别人这么写,我也这么抄。我执行这一步后在当前目录下生成两个文件,my-nginx.pp 和 my-nginx.te ,所以如果不想污染当前目录的话,可以先进入一个临时创建的空白目录。

ausearch -c 'nginx' --raw | audit2allow -M my-nginx

3,加载前一步生成的模块内容,这一步我也不懂,跟着做吧。

semodule -i my-nginx.pp

这一步会需要好几秒时间才能执行完。

4,由于我刚刚临时关闭了SELinux,所以这里再临时开启:

setenforce 1

再尝试访问站点,不行的话重启nginx,

nginx -s reload