现在服务器资产多种多样,习惯了阿里云的保姆式配置,其他私有云的装机配置各有各的风格,今天聊聊nginx突发状况,权限被拒绝的问题相关排查过程及解决办法。

经过

本来以为是个相当愉快的过程,上一篇说明了服务器安全原因,相关网络环境的排查,这次继续说一说关于nginx代理遇到的问题 先说说表象,原本的服务器已经预装了nginx找到相关配置进行设置以后,还是无法访问

ps -aux | grep nginx  //查看nginx进程情况
netstat -anp | grep :80 //查看相关端口已正常启动

在确定相关nginx已经启动的情况下,发现代理的网站无法访问,接口相关的500可以正常返回

curl 127.0.0.1:80/web //验证访问内容
/var/log/nginx/  //查看相关日志信息

或者用一下命令查看

systemctl status nginx.service -l

经过对错误日志的排查发现访问网站静态网页时，相关异常为 ‘Permission denied’，这种情况查了很多资料,

最终解决办法

chcon命令是修改对象（文件）的安全上下文，比如：用户、角色、类型、安全级别。也就是将每个文件的安全环境变更至指定环境。

SeLinux概念作用

系统开启了SeLinux，受到了SeLinux的限制 先说说SeLinux的概念和作用

selinux(Security-Enhanced Linux)安全增强型linux，是一个Linux内核模块，也是Linux的一个安全子系统。

三种模式：

Enforcing：强制模式，在selinux运作时，已经开始限制domain/type。

permissive: 警告模式，在selinux运作时，会有警告讯息，但不会限制domain/type的存取。

disabled: 关闭模式。

可用getenforce查看selinux状态

selinux对文件的作用：

当开启selinux后，selinux会给每个文件加载标签context,安全上下文必须配对，否则文件不能访问 查看下selinux策略配置(找到能生效的文件夹和当前发布的文件夹权限区别,进行相关的设置)

ls -lrtZ /usr/share/nginx/html

 chcon -R -t httpd_sys_content_t  /home/xx/
 nginx -s reload

最终解决了相关问题，以下是进行的一些无效尝试,可能某些服务器环境可以生效

无效尝试

发布文件夹授权的尝试

sudo chmod o+x /home/xxx/

关于nginx配置文件/etc/nginx/nginx.conf,指定用户的尝试,依然无效

user nginx; ->更改为 user root
nginx -s reload

其他比较粗暴一点儿的教程要么直接关闭或临时性解决

setenforce 0 ##设置SELinux 成为permissive模式
 #setenforce 1 ##设置SELinux 成为enforcing模式

永久生效 修改/etc/selinux/config文件，将SELINUX=enforcing改为SELINUX=disabled，重启机器 没敢关闭这个安全策略