Nginx proxy pass не работает в selinux

Question

Nginx proxy pass не работает в selinux

у меня есть приложение, прослушивающее порт 8081 и nginx, работающее на порту 8080. Оператор proxy pass выглядит так:

/ var / etc/opt/lj/выход/услуги / abc.элемент ServiceManager.conf

location /api/abc.servicemanager/1.0 { proxy_pass     http://localhost:8081;}

в nginx.конф, я включаю этот файл:

include /etc/nginx/conf.d/services/*.conf;

в /etc/nginx в/конф.d / service является символической ссылкой:

# ll /etc/nginx/conf.d/

lrwxrwxrwx. 1 root root   39 Dec 10 00:19 services -> ../../../var/etc/opt/lj/output/services

это система с поддержкой Centos 7.0 SELinux. Если я установлю 0 и сделаю его разрешительным, я не вижу никаких проблем. Так файл в правильное место и никаких проблем с путями. Если SELinux применяет, я вижу следующее в журнале аудита:

type=AVC msg=audit(1418348761.372:100930): avc:  denied  { getattr } for  pid=3936 comm="nginx" path="/var/etc/opt/lj/output/services/abc.servicemanager.conf" dev="xvda1" ino=11063393 scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:object_r:var_t:s0 tclass=file

Я хочу знать, как включить Nginx, чтобы найти файл conf без необходимости отключения SELinux. Заранее спасибо за помощь.

-Виджай

12

nginx reverse-proxy selinux

автор: Vijay Shankar Kalyanaraman

4 ответов

автор: Cristian Romanescu · Accepted Answer · 2015-03-03 14:27:01

стоит отметить для новичков в SELinux, который, если ваш прокси-сервиса работает на 8080, вы можете использовать следующую команду без составления политики.

$sudo setsebool httpd_can_network_connect 1 -P

автор: Vijay Shankar Kalyanaraman · Accepted Answer · 2014-12-12 07:22:05

прочитайте о audit2allow и используйте его для создания политики, чтобы разрешить доступ к запрещенным запросам для nginx.

[root]# sudo cat /var/log/audit/audit.log | grep nginx | grep denied | audit2allow -m nginxlocalconf > nginxlocalconf.te
[root]# cat nginxlocalconf.te 

module nginxlocalconf 1.0;

require {
    type httpd_t;
    type var_t;
    type transproxy_port_t;
    class tcp_socket name_connect;
    class file { read getattr open };
}

#============= httpd_t ==============

#!!!! This avc can be allowed using the boolean 'httpd_can_network_connect'
allow httpd_t transproxy_port_t:tcp_socket name_connect;
allow httpd_t var_t:file { read getattr open };
[root]# sudo cat /var/log/audit/audit.log | grep nginx | grep denied | audit2allow -M nginxlocalconf
******************** IMPORTANT ***********************
To make this policy package active, execute:

semodule -i nginxlocalconf.pp

[root]# semodule -i nginxlocalconf.pp

автор: emisilva · Accepted Answer · 2016-08-30 21:50:45

всегда предпочитайте изменение типов созданию пользовательских политик. В этом случае nginx будет обслуживать файлы с httpd_sys_content_t тип. Предполагая, что ваши файлы находятся в /var/www, так:

semanage fcontext -a -t httpd_sys_content_t /var/www/*
restorecon -R -v /var/www

автор: denzfarid · Accepted Answer · 2016-09-28 08:14:08

Если у вас есть другой порт или другой порт позволит:

показать разрешить порт в http:

semanage port -l | grep http

это вывод в моем localhost:

http_cache_port_t              tcp      8080, 8118, 8123, 10001-10010
http_cache_port_t              udp      3130
http_port_t                    tcp      80, 81, 443, 488, 8008, 8009, 8443, 9000
pegasus_http_port_t            tcp      5988
pegasus_https_port_t           tcp      5989

и разрешить 8081:

semanage port -a -t http_port_t -p tcp 8081