解决nginx 403错误

如果你在使用nginx的时候遇到了403错误,你应该看看本文提供的解决方法。

再一次遇到403问题,是因为最近搭建了一套CentOS 7的环境。之前搭建环境一直在使用CentOS 6.5,并没有遇到什么特别的不适,也遇到403错误但一般都是文件权限配置错误的问题。但是这次不同。

SELinux是Linux内核实现的一套MAC(Mandatory Access Control, 强制访问控制)安全机制。从CentOS 4开始加入到CentOS中。默认配置为Enforcing模式。我遇到的问题,就是SELinux引起的。

基础概念

SELinux的概念很多,这次简单说一下用到的,以后再专门总结。

  • domain domain理解为一个进程的SELinux权限描述,说明了某个进程可以怎样操作某种type文件。

  • type type是一个文件权限标签,SELinux给每个问题都进行了标记。SELinux的政策会规定何种domain的进程可以操作某种type的文件。

  • context context是进程或文件的上下文,对于进程来说就是domain,对于文件来说是type。

问题

默认配置下,假设我创建了如下文件

/www/index.html

并且修改了所有者为nginx.nginx,nginx正确配置。CentOS 6.6以前,可以正常访问;之后的版本就会报403错误。

问题在于SELinux的限制。上面的文件,其type为default_t,可以通过如下命令查看:

ls -Z /www

CentOS 6.6以前,nginx进程的domain为intrc_t,搜索相关权限:

sesearch -A -s initrc_t -t default_t -c file

可以得到如下结果:

Found 4 semantic av rules:
   allow files_unconfined_type file_type : file { ioctl read write create getattr setattr lock relabelfrom relabelto append unlink link rename execute swapon quotaon mounton execute_no_trans entrypoint open } ;
   allow initrc_t default_t : file { ioctl read getattr lock open } ;
   allow initrc_t file_type : file getattr ;
   allow files_unconfined_type file_type : file execmod ;

其中第二行,说明了domain为initrc_t的进程可以对type为default_tfile类型文件进行ioctl read getattr lock open这5中操作。这就使得服务运行正常。

而在CentOS 6.6中,SELinux对nginx的权限进行了收紧。nginx的domain变成了httpd_t,再次搜索相关权限:

sesearch -A -s httpd_t -t default_t -c file

将得不到任何结果,也就是说,nginx无权限访问以上文件,也就导致了403错误。

解决

既然知道了问题所在,解决方案也就是顺水推舟了。

  1. 关闭SELinux。有网友使用这个方法解决,甚至在有些nginx安装教程里面第一步就是把SELinux禁用,但这样做实际上这相当于没有解决,而且关闭了SELinux安全策略还带来了更大的安全隐患。不推荐。
  2. 使用audit2allow工具,创建SELinux政策,default_t type的权限赋给httpd_t。但是这样做同样会带来问题,因为会暴露其他type为default_t的文件权限。
sudo cat /var/log/audit/audit.log | grep nginx | grep denied | audit2allow -M mynginx
sudo semodule -i mynginx.pp
  1. 将项目目录的type修改为http_sys_content_t。这是最安全的操作。
chcon -t http_sys_content_t [file]

参考

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 213,014评论 6 492
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 90,796评论 3 386
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 158,484评论 0 348
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 56,830评论 1 285
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 65,946评论 6 386
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 50,114评论 1 292
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,182评论 3 412
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,927评论 0 268
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,369评论 1 303
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,678评论 2 327
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,832评论 1 341
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,533评论 4 335
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,166评论 3 317
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,885评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,128评论 1 267
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 46,659评论 2 362
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 43,738评论 2 351

推荐阅读更多精彩内容