proxy_pass nicht funktioniert, wenn SELinux aktiviert ist, warum?

Ich habe eine Anwendung lauscht auf port 8081 und Nginx läuft auf port 8080. Der proxy-pass-Anweisung sieht wie folgt aus:

$ cat /var/etc/opt/lj/output/services/abc.servicemanager.conf

location /api/abc.servicemanager/1.0 { proxy_pass     http://localhost:8081;}

In nginx.conf ich die Datei als:

include /etc/nginx/conf.d/services/*.conf;

Den /etc/nginx/conf.d/service ist ein symlink: 

# ll /etc/nginx/conf.d/

lrwxrwxrwx. 1 root root   39 Dec 10 00:19 services -> ../../../var/etc/opt/lj/output/services

Dies ist ein CentOS 7.0 Aktiviertem SELinux-system. Wenn ich setenforce 0, und machen es zu Freizügig, sehe ich keine Probleme. Also die Datei ist im richtigen Platz und keine Probleme mit Pfaden. Wenn SELinux enforcing, sehe ich Folgendes im audit-log:

type=AVC msg=audit(1418348761.372:100930): avc:  denied  { getattr } for  pid=3936 comm="nginx" path="/var/etc/opt/lj/output/services/abc.servicemanager.conf" dev="xvda1" ino=11063393 scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:object_r:var_t:s0 tclass=file

Möchte ich wissen, wie zu aktivieren Nginx zu finden, die conf-Datei, ohne zu müssen, um SELinux zu deaktivieren.

InformationsquelleAutor Vijay Shankar Kalyanaraman | 2014-12-12
  1. 33

    Erwähnenswert für Anfänger in SELinux, dass, wenn Sie Ihre Proxy-Dienst läuft auf 8080 verwenden, können Sie den folgenden Befehl ein, ohne zu kompilieren Politik.

    $ sudo setsebool httpd_can_network_connect 1 -P
    • Ist es wirklich über den port? Ich denke, SELinux wurde, verweigern ihm den Zugang zu der config-Datei: ... { getattr } .. path=".......".... Bitte korrigieren Sie mich, wenn ich falsch Liege.
    • Ja, Sie sind richtig. Die OP ' s Problem war die Datei-system-access-Problem, nicht die Netzwerkverbindung. Ich hätte kommentiert Vijay Shankar ' s Antwort.
    InformationsquelleAutor Cristian Romanescu
  2. 23

    Lesen über audit2allow und benutzte es, um eine Richtlinie zu erstellen um den Zugang zu den verweigert Anfragen für Nginx.

    Schritt 1 umfasst die Ausführung audit2allow targeting nginxlocalconf:

    $ sudo grep nginx /var/log/audit/audit.log | \
     grep denied | audit2allow -m nginxlocalconf > nginxlocalconf.te

    Schritt 2, review-Ergebnisse:

    $ cat nginxlocalconf.te 

module nginxlocalconf 1.0;

require {
    type httpd_t;
    type var_t;
    type transproxy_port_t;
    class tcp_socket name_connect;
    class file { read getattr open };
}

#============= httpd_t ==============

#!!!! This avc can be allowed using the boolean 'httpd_can_network_connect'
allow httpd_t transproxy_port_t:tcp_socket name_connect;
allow httpd_t var_t:file { read getattr open };

    Überprüfen Sie die Schritte zur Aktivierung:

    $ sudo grep nginx /var/log/audit/audit.log | grep denied | \
   audit2allow -M nginxlocalconf
******************** IMPORTANT ***********************
To make this policy package active, execute:

semodule -i nginxlocalconf.pp

    Schritt 3 aktiv:

    $ sudo semodule -i nginxlocalconf.pp
    • ich Schritt für Schritt Folgen und es funktioniert. toll. aber ich habe keine Ahnung, was ich Tat. Fragen, wo kann ich mehr erfahren.
    InformationsquelleAutor Vijay Shankar Kalyanaraman
  3. 3

    Lieber immer wechselnden Typen zum erstellen von benutzerdefinierten Richtlinien. In diesem Fall Nginx dienen Dateien mit der httpd_sys_content_t geben. Vorausgesetzt die Dateien befinden sich in /var/www:

    semanage fcontext -a -t httpd_sys_content_t /var/www/*
restorecon -R -v /var/www
    InformationsquelleAutor e18r
  4. 2

    Wenn Sie einen anderen port oder benutzerdefinierter port zulassen:

    Zeigen, dass die port in http:

    semanage port -l | grep http

    Dies ist die Ausgabe in mein localhost:

    http_cache_port_t              tcp      8080, 8118, 8123, 10001-10010
http_cache_port_t              udp      3130
http_port_t                    tcp      80, 81, 443, 488, 8008, 8009, 8443, 9000
pegasus_http_port_t            tcp      5988
pegasus_https_port_t           tcp      5989

    Und ermöglichen 8081:

    semanage port -a -t http_port_t -p tcp 8081
    • Ist es wirklich über den port? Ich denke, SELinux wurde, verweigern ihm den Zugang zu der config-Datei: ... { getattr } .. path=".......".... Bitte korrigieren Sie mich, wenn ich falsch Liege.
    InformationsquelleAutor denzfarid
Schreibe einen Kommentar