优质广告供应商

广告是为了更好地支持作者创作

解决nginx 403错误

如果你在使用nginx的时候遇到了403错误,你应该看看本文提供的解决方法。

再一次遇到403问题,是因为最近搭建了一套CentOS 7的环境。之前搭建环境一直在使用CentOS 6.5,并没有遇到什么特别的不适,也遇到403错误但一般都是文件权限配置错误的问题。但是这次不同。

SELinux是Linux内核实现的一套MAC(Mandatory Access Control, 强制访问控制)安全机制。从CentOS 4开始加入到CentOS中。默认配置为Enforcing模式。我遇到的问题,就是SELinux引起的。

基础概念

SELinux的概念很多,这次简单说一下用到的,以后再专门总结。

  • domain domain理解为一个进程的SELinux权限描述,说明了某个进程可以怎样操作某种type文件。

  • type type是一个文件权限标签,SELinux给每个问题都进行了标记。SELinux的政策会规定何种domain的进程可以操作某种type的文件。

  • context context是进程或文件的上下文,对于进程来说就是domain,对于文件来说是type。

问题

默认配置下,假设我创建了如下文件

/www/index.html

并且修改了所有者为nginx.nginx,nginx正确配置。CentOS 6.6以前,可以正常访问;之后的版本就会报403错误。

问题在于SELinux的限制。上面的文件,其type为default_t,可以通过如下命令查看:

ls -Z /www

CentOS 6.6以前,nginx进程的domain为intrc_t,搜索相关权限:

sesearch -A -s initrc_t -t default_t -c file

可以得到如下结果:

Found 4 semantic av rules:
   allow files_unconfined_type file_type : file { ioctl read write create getattr setattr lock relabelfrom relabelto append unlink link rename execute swapon quotaon mounton execute_no_trans entrypoint open } ;
   allow initrc_t default_t : file { ioctl read getattr lock open } ;
   allow initrc_t file_type : file getattr ;
   allow files_unconfined_type file_type : file execmod ;

其中第二行,说明了domain为initrc_t的进程可以对type为default_tfile类型文件进行ioctl read getattr lock open这5中操作。这就使得服务运行正常。

而在CentOS 6.6中,SELinux对nginx的权限进行了收紧。nginx的domain变成了httpd_t,再次搜索相关权限:

sesearch -A -s httpd_t -t default_t -c file

将得不到任何结果,也就是说,nginx无权限访问以上文件,也就导致了403错误。

解决

既然知道了问题所在,解决方案也就是顺水推舟了。

  1. 关闭SELinux。有网友使用这个方法解决,甚至在有些nginx安装教程里面第一步就是把SELinux禁用,但这样做实际上这相当于没有解决,而且关闭了SELinux安全策略还带来了更大的安全隐患。不推荐。
  2. 使用audit2allow工具,创建SELinux政策,default_t type的权限赋给httpd_t。但是这样做同样会带来问题,因为会暴露其他type为default_t的文件权限。
sudo cat /var/log/audit/audit.log | grep nginx | grep denied | audit2allow -M mynginx
sudo semodule -i mynginx.pp
  1. 将项目目录的type修改为http_sys_content_t。这是最安全的操作。
chcon -t http_sys_content_t [file]

参考

优质广告供应商

广告是为了更好地支持作者创作

推荐阅读更多精彩内容

  • 深入理解SELinux SEAndroid SEAndroid是Google在Android 4.4上正式推出的一...
    神农修行阅读 6,553评论 1 7
  • 第一章 Nginx简介 Nginx是什么 没有听过Nginx?那么一定听过它的“同行”Apache吧!Ngi...
    JokerW阅读 31,871评论 24 1,001
  • 优质广告供应商

    广告是为了更好地支持作者创作

  • Nginx是一个轻量级的,高性能的Web服务器以及反向代理和邮箱(IMAP/POP3)代理服务器。它运行在UNIX...
    JaeGwen阅读 1,625评论 0 20
  • 一个程序被加载到内存当中运行,那么在内存内的那个数据就被称为进程(process)。进程是操作系统上非常重要的概念...
    Zhang21阅读 1,650评论 0 12
  • Nginx是一个轻量级的,高性能的Web服务器以及反向代理和邮箱 (IMAP/POP3)代理服务器。它运行在UNI...
    零一间阅读 2,035评论 0 12
  • 天气越来越冷,习惯性点燃一颗烟,从口腔刺激到咽喉便戛然而止,遂灭。 半仰于床灌一口仅有苦味的啤酒,享受着被雨隔绝的...
    雾都飞雨阅读 292评论 0 0
  • 优质广告供应商

    广告是为了更好地支持作者创作

  • 一、颢宁 1、今天颢宁在润启度过了开心的一天,但是跳绳成绩垫底可能让他有点不好意思、当我说他的跳法与众不同时,他扭...
    宁妈成长日记阅读 72评论 0 0
  • 星梦越发焦急,挥着手里的剑正要冲上去,没办法,幻雪这样子是完全无法变身了。看向海螺的主人却发现她在一旁睡觉,不过这...
    水桥优阅读 149评论 0 1
  • 开奖号:497
    福中仙阅读 174评论 0 1
  • 你说我虚荣!上了一所这样的学校,身边的都是一些富二代,有钱人;你说我肯定总想着去跟她们攀比!你说我因此而对自己的原...
    谷贝阅读 100评论 0 0