本文解析了在启用SELinux的服务器中,Nginx作为反向代理时遇到的502 Bad Gateway错误,原因在于上游API服务使用的6000端口未被SELinux允许。通过semanage命令调整http_port_t规则并添加6000端口,解决了访问限制。
场景说明
在启用了SELinux的服务器中,通过Nginx反向代理提供web服务,如下示例配置所示:
upstream api {
127.0.0.1:6000;
}
server {
# ...
location / {
proxy_pass http://api;
# ...
}
}
开启Nginx服务后,访问其提供的Web服务,得到502 Bad Gateway错误。查看API服务日志,发现无请求记录,而Nginx的error.log文件中存在以下记录:
tail /var/log/nginx/error.log
# [crit] 16384#16384: *30 connect() to 127.0.0.1:6000 failed (13: Permission denied) while connecting to upstream, ...
问题原因
在默认情况下,SELinux只允许部分端口提供对外的web服务,若反向代理上游服务使用的端口不在允许端口列表中(通常允许的端口默认为80,81,443,488,8008,8009,8443与9000),则将会出现上述Permission denied错误。
了解问题的原因后,我们可以通过semanage命令查看当前允许的端口:
semanage port --list | grep http_port_t
# http_port_t tcp 80, 81, 443, 488, 8008, 8009, 8443, 9000
解决方法
为了实现对外开放,我们可以通过semanage命令添加端口规则:
# 添加开放的端口规则
semanage port --add --type http_port_t --proto tcp 6000
semanage port --list | grep http_port_t
# http_port_t tcp 6000, 80, 81, 443, 488, 8008, 8009, 8443, 9000
扫一扫
1500
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
