【Linux】生产环境下解决Nginx 403 被selinux阻止访问的问题
最近在Centos7.6上部署Nginx时,发现访问网站时报出403错误。
经排查,可以排除以下几点原因:
1.启动用户问题。已确认nginx.cnf中配置的用户是root,nginx服务的启用项也是root。
2.路径不正确,找不到路径下的index.html文件的问题。经过反复确认,路径是正确的。
剩下就是要排查是否是selinux的问题了。
先用setenfoce 0
临时关闭SELinux,然后发现网站可以正常访问了,由此基本可以确认是SELinux的问题。
虽然setenfoce 0
临时关闭SELinux可以让网站正常访问,但毕竟治标不治本,生产环境下用这种方式很容易造成系统漏洞,因此需要在开启SELinux的基础上对nginx放行。
1.允许http访问
setsebool -P httpd_can_network_connect 1
2.分析现有日志并生成关联模块,执行完此命令可以看到在当前目录下会生成后缀为*.pp
和*.te
文件,如果该服务器上的服务未被访问过,此命令执行无效>
ausearch -c 'nginx' --raw | audit2allow -M my-nginx
3.加载前一步生成的模块内容
semodule -i my-nginx.pp
4.执行完以上步骤后网站可以正常访问。