nginx connection failed due to Permission denied on CentOS7

本文介绍了在CentOS系统中使用Nginx代理Node.js应用时遇到的SELinux权限问题及解决方案。通过两种方法解决了因SELinux限制导致的无法访问问题,包括启用httpd_can_network_connect选项和开放特定端口。

今天,在CentOS上配了nginx,代理一个node http server,node server跑在3000端口上,nginx监听80端口,转发所有http请求到node server,配好之后,发现通过域名访问node app,出现无法访问的页面。单独访问nginx和带端口访问node app都ok,查nginx log发现是SELinux Permission配置问题。

现将问题,分析和解决方案记录如下,以供以后学习整理。


环境:CentOS7, nginx 1.8.0,nodejs 0.10.36.

nginx 和 nodejs http server跑在同一台CentOS上。

配置:

1. nginx conf

upstream backend {
    server 127,0.0.1:3000;
}

server {
    listen       80;
    server_name  localhost;

    location / {
        proxy_pass http://backend;
    }

    error_page   500 502 503 504  /50x.html;
    location = /50x.html {
        root   /usr/share/nginx/html;
    }
}

2. nodejs http server 监听 3000端口

问题:

通过域名访问node app,出现无法访问的页面。

分析:

查看nginx log (/var/log/nginx/error.log) 发现:

2016/01/26 04:13:12 [crit] 6951#0: *3 connect() to 127.0.0.1:3000 failed (13: Permission denied) while connecting to upstream, client: *.*.*.*(此处IP省略), server: localhost, request: "GET / HTTP/1.1", upstream: "http://127.0.0.1:3000/", host: "www.*"(此处域名省略)

因为CentOS在内核中使用的是 SELinux(Security-Enhanced Linux) ,而SELinux对访问控制是有严格的设置的,推断应该是SELinux Permission 设置的问题。


解决方案:(以下命令均需要有root权限执行,任意一种方案均可以解决该问题)

1. 开启httpd_can_network_connect

setsebool httpd_can_network_connect on  (当前session生效)

setsebool -P httpd_can_network_connect on (持久化保存设置)

另外,可以使用getsebool -a | grep httpd 查看当前httpd的设置

这个方案的好处是,方便,不论以后添加任何其他本地代理server,都会好用。

2. 开放相应的http server连接端口号

semanage port -a -t http_port_t  -p tcp 3000

因为SELinux默认只开放指定端口(80, 81, 443, 488, 8008, 8009, 8443, 9000)提供http连接,添加nodejs http server监听的端口号即可使用nginx与之建立连接。

另外,可以使用semanage port --list | grep http 查看当前支持http连接的端口号

这个方案的好处是,安全,但后续如果有新的本地代理server跑在不同的端口上,需要重复上述操作。

### CentOS 7Permission Denied 的常见原因及解决方案 #### SELinux 配置不当 当遇到 `Permission denied` 错误时,首先应考虑 SELinux 是否处于强制模式。可以通过命令 `getenforce` 来查看当前 SELinux 状态[^1]。如果返回值为 Enforcing,则表示 SELinux 正在阻止某些操作。 为了临时禁用 SELinux 并测试是否为此引起的问题,可执行如下命令: ```bash setenforce 0 ``` 这会将 SELinux 设置为宽容模式(Permissive),允许所有被拒绝的操作并记录警告而不实际阻止它们。永久修改需编辑 `/etc/selinux/config` 文件中的配置项。 #### Nginx 特定端口访问权限不足 对于特定于 Nginx 报错的情况,可能是由于尝试监听非特权端口 (低于1024) 或者自定义高编号端口而未赋予相应权限所造成。此时应该确认目标端口号以及对应的 SELinux 上下文设置是否正确[^2]。 可以利用以下指令来调整相关策略: - 使用 semanage 命令添加新的网络端口标签; - 修改现有服务的安全上下文映射表; 例如要开放 TCP 协议下的9999端口供 httpd/nginx 进程使用: ```bash sudo semanage port -a -t http_port_t -p tcp 9999 ``` #### SSH 登录失败 针对无法通过SSH登录且提示 "Permission denied, please try again." 的情形,在排除了密码错误的可能性之后,应当核查以下几个方面[^3]: - 客户端与服务器间的时间同步情况 - `.ssh/authorized_keys` 文件及其所在目录的读写属性 另外值得注意的是防火墙规则也可能阻碍正常通信,确保 iptables 或 firewalld 不会对合法请求构成障碍。 #### Docker 内部文件系统权限冲突 运行容器化应用时常遇见主机层面上看似合理的路径却不可达的现象。这是因为默认情况下宿主节点上的资源挂载到沙盒环境里后其原有的 ACL 可能不再适用[^4]。 一种可行的办法是在启动参数中指定合适的 volume mount 方式,比如采用一致性的用户 ID 和组 ID 映射关系,或者干脆关闭掉内核层面的身份验证检查功能(`--privileged=true`)。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

descreekert

谢谢支持

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值