目錄
- 主題
- 經(jīng)過
- 最終解決辦法
- SeLinux概念作用
- 無效嘗試
- 總結(jié)
主題
現(xiàn)在服務(wù)器資產(chǎn)多種多樣,習(xí)慣了阿里云的保姆式配置,其他私有云的裝機(jī)配置各有各的風(fēng)格,今天聊聊nginx突發(fā)狀況,權(quán)限被拒絕的問題相關(guān)排查過程及解決辦法。
經(jīng)過
本來以為是個相當(dāng)愉快的過程,上一篇說明了服務(wù)器安全原因,相關(guān)網(wǎng)絡(luò)環(huán)境的排查,這次繼續(xù)說一說關(guān)于nginx代理遇到的問題 先說說表象,原本的服務(wù)器已經(jīng)預(yù)裝了nginx找到相關(guān)配置進(jìn)行設(shè)置以后,還是無法訪問
ps -aux | grep nginx //查看nginx進(jìn)程情況 netstat -anp | grep :80 //查看相關(guān)端口已正常啟動
在確定相關(guān)nginx已經(jīng)啟動的情況下,發(fā)現(xiàn)代理的網(wǎng)站無法訪問,接口相關(guān)的500可以正常返回
curl 127.0.0.1:80/web //驗證訪問內(nèi)容 /var/log/nginx/ //查看相關(guān)日志信息
或者用一下命令查看
systemctl status nginx.service -l
經(jīng)過對錯誤日志的排查發(fā)現(xiàn)訪問網(wǎng)站靜態(tài)網(wǎng)頁時,相關(guān)異常為 'Permission denied',這種情況查了很多資料,
最終解決辦法
chcon命令是修改對象(文件)的安全上下文,比如:用戶、角色、類型、安全級別。也就是將每個文件的安全環(huán)境變更至指定環(huán)境。
SeLinux概念作用
系統(tǒng)開啟了SeLinux,受到了SeLinux的限制 先說說SeLinux的概念和作用
selinux(Security-Enhanced Linux)安全增強(qiáng)型linux,是一個Linux內(nèi)核模塊,也是Linux的一個安全子系統(tǒng)。
三種模式:
Enforcing:強(qiáng)制模式,在selinux運(yùn)作時,已經(jīng)開始限制domain/type。
permissive: 警告模式,在selinux運(yùn)作時,會有警告訊息,但不會限制domain/type的存取。
disabled: 關(guān)閉模式。
可用getenforce查看selinux狀態(tài)
selinux對文件的作用:
當(dāng)開啟selinux后,selinux會給每個文件加載標(biāo)簽context,安全上下文必須配對,否則文件不能訪問 查看下selinux策略配置(找到能生效的文件夾和當(dāng)前發(fā)布的文件夾權(quán)限區(qū)別,進(jìn)行相關(guān)的設(shè)置)
ls -lrtZ /usr/share/nginx/html
chcon -R -t httpd_sys_content_t /home/xx/ nginx -s reload
最終解決了相關(guān)問題,以下是進(jìn)行的一些無效嘗試,可能某些服務(wù)器環(huán)境可以生效
無效嘗試
- 發(fā)布文件夾授權(quán)的嘗試
sudo chmod o+x /home/xxx/
- 關(guān)于nginx配置文件/etc/nginx/nginx.conf,指定用戶的嘗試,依然無效
user nginx; ->更改為 user root nginx -s reload
- 其他比較粗暴一點兒的教程要么直接關(guān)閉或臨時性解決
setenforce 0 ##設(shè)置SELinux 成為permissive模式 #setenforce 1 ##設(shè)置SELinux 成為enforcing模式
永久生效 修改/etc/selinux/config文件,將SELINUX=enforcing改為SELINUX=disabled,重啟機(jī)器 沒敢關(guān)閉這個安全策略
總結(jié)
、我這種吸引bug的體質(zhì),不配順順利利完成任務(wù)、服務(wù)器的問題在最開始上班時,windows環(huán)境下經(jīng)常最頭疼的就是服務(wù)器環(huán)境的預(yù)裝上線,常常因為這個問題搞到1點多,但那會羈絆少,懷著學(xué)習(xí)和對事兒的認(rèn)真,再加上一塊和組員和領(lǐng)導(dǎo)搓一頓,幸福感滿滿。
其后也帶過很多人,合作過許多人、形形色色的,慢慢的發(fā)現(xiàn)越往后入行的很多人害怕環(huán)境部署,害怕出問題,所以拒絕去嘗試部署。動輒就是 "福報" 和 "PUA" 防身,非是站在道德制高點去指摘,很多事情過猶不及,盲目的隨大流去指摘,人生活和工作都是在為自己負(fù)責(zé),盡最大的努力,做最好的自己、莫作“總有刁民想要害朕”的心態(tài)太久,實在不行,換個環(huán)境解放局限性。
linux環(huán)境之前一直淺用,之后算是有較多的涉足,沉淀下來的相關(guān)內(nèi)容也會經(jīng)常去完善補(bǔ)充,部署參考,工作久了很多對自身來說困難的事情,是沒辦法繞過去或者退縮的,一往無前吧、永遠(yuǎn)的少年
以上就是服務(wù)器nginx權(quán)限被拒絕解決案例的詳細(xì)內(nèi)容,更多關(guān)于nginx服務(wù)器權(quán)限拒絕的資料請關(guān)注其它相關(guān)文章!
