先说下SElinux是什么,其实我也看不太懂,不过我了解了一点规则
先说下两个命令跟参数 ps -Z ls -Z 注意Z参数可以显示出SElinux的信息
如下图红圈,第一个是进程的SElinux信息,第二个是文件的SElinux,system_u是用户,object_r是用色,http_t是类型,这个类型比较重要,其它的好像没啥影响
就直接点说nginx来说,这个进程只能访问httpd_sys_content_t类型的文件,所以如果出现403的话,就是你的www目录的类型不对,所以得把www目录设置成httpd_sys_content_t类型
semanage fcontext -a -t httpd_sys_content_t '/var/www(/.*)?'
restorecon -Rv /www/
这样一般就能解决SELinux导致的403问题了
后面我又遇到了一个问题,在nginx里我有设置了 /api转发到http://localhost:5000,可一直返回502的错误,我知道又是SElinux的问题
经过我不断地百度
终于让我找到这个博客,这真的是百度上为数不多的不教人关掉SElinux的教程,值得点赞 https://www.jianshu.com/p/ae3f8a8ca54f
setsebool -P httpd_can_network_connect 1
这个不止解决反向代理的问题,同时也解决PHP-FPM访问redis端口没有权限的问题
好了,这样Nginx就可以愉快地跟Selinux相处了!
开启selinux的时候非http端口也是无法被nginx使用的,比如9555
semanage port -l | grep http_port_t
http_port_t tcp 80, 81, 443, 488, 8008, 8009, 8443, 9000
这样nginx是无法bind的
semanage port -a -t http_port_t -p tcp 9555
将9555加入后即可
Tips:
如果还有问题,可以翻译/var/log/audit/audit.log来尝试,翻译方式如下
yum install setroubleshoot
> audit.log # 清空日志,防止信息太多干扰
sealert -a ./audit.log > res.txt