nginx connection failed due to Permission denied on CentOS7
2016-01-26 13:21
465 查看
今天,在CentOS上配了nginx,代理一个node http server,node server跑在3000端口上,nginx监听80端口,转发所有http请求到node server,配好之后,发现通过域名访问node app,出现无法访问的页面。单独访问nginx和带端口访问node app都ok,查nginx log发现是SELinux Permission配置问题。
现将问题,分析和解决方案记录如下,以供以后学习整理。
环境:CentOS7, nginx 1.8.0,nodejs 0.10.36.
nginx 和 nodejs http server跑在同一台CentOS上。
配置:
1. nginx conf
upstream backend {
server 127,0.0.1:3000;
}
server {
listen 80;
server_name localhost;
location / {
proxy_pass http://backend;
}
error_page 500 502 503 504 /50x.html;
location = /50x.html {
root /usr/share/nginx/html;
}
}
2. nodejs http server 监听 3000端口
问题:
通过域名访问node app,出现无法访问的页面。
分析:
查看nginx log (/var/log/nginx/error.log) 发现:
2016/01/26 04:13:12 [crit] 6951#0: *3 connect() to 127.0.0.1:3000 failed (13: Permission denied) while connecting to upstream, client: *.*.*.*(此处IP省略), server: localhost, request: "GET / HTTP/1.1", upstream: "http://127.0.0.1:3000/", host: "www.*"(此处域名省略)
因为CentOS在内核中使用的是 SELinux(Security-Enhanced Linux) ,而SELinux对访问控制是有严格的设置的,推断应该是SELinux Permission 设置的问题。
解决方案:(以下命令均需要有root权限执行,任意一种方案均可以解决该问题)
1. 开启httpd_can_network_connect
setsebool httpd_can_network_connect on (当前session生效)
setsebool -P httpd_can_network_connect on (持久化保存设置)
另外,可以使用getsebool -a | grep httpd 查看当前httpd的设置
这个方案的好处是,方便,不论以后添加任何其他本地代理server,都会好用。
2. 开放相应的http server连接端口号
semanage port -a -t http_port_t -p tcp 3000
因为SELinux默认只开放指定端口(80, 81, 443, 488, 8008, 8009, 8443, 9000)提供http连接,添加nodejs http server监听的端口号即可使用nginx与之建立连接。
另外,可以使用semanage port --list | grep http 查看当前支持http连接的端口号
这个方案的好处是,安全,但后续如果有新的本地代理server跑在不同的端口上,需要重复上述操作。
现将问题,分析和解决方案记录如下,以供以后学习整理。
环境:CentOS7, nginx 1.8.0,nodejs 0.10.36.
nginx 和 nodejs http server跑在同一台CentOS上。
配置:
1. nginx conf
upstream backend {
server 127,0.0.1:3000;
}
server {
listen 80;
server_name localhost;
location / {
proxy_pass http://backend;
}
error_page 500 502 503 504 /50x.html;
location = /50x.html {
root /usr/share/nginx/html;
}
}
2. nodejs http server 监听 3000端口
问题:
通过域名访问node app,出现无法访问的页面。
分析:
查看nginx log (/var/log/nginx/error.log) 发现:
2016/01/26 04:13:12 [crit] 6951#0: *3 connect() to 127.0.0.1:3000 failed (13: Permission denied) while connecting to upstream, client: *.*.*.*(此处IP省略), server: localhost, request: "GET / HTTP/1.1", upstream: "http://127.0.0.1:3000/", host: "www.*"(此处域名省略)
因为CentOS在内核中使用的是 SELinux(Security-Enhanced Linux) ,而SELinux对访问控制是有严格的设置的,推断应该是SELinux Permission 设置的问题。
解决方案:(以下命令均需要有root权限执行,任意一种方案均可以解决该问题)
1. 开启httpd_can_network_connect
setsebool httpd_can_network_connect on (当前session生效)
setsebool -P httpd_can_network_connect on (持久化保存设置)
另外,可以使用getsebool -a | grep httpd 查看当前httpd的设置
这个方案的好处是,方便,不论以后添加任何其他本地代理server,都会好用。
2. 开放相应的http server连接端口号
semanage port -a -t http_port_t -p tcp 3000
因为SELinux默认只开放指定端口(80, 81, 443, 488, 8008, 8009, 8443, 9000)提供http连接,添加nodejs http server监听的端口号即可使用nginx与之建立连接。
另外,可以使用semanage port --list | grep http 查看当前支持http连接的端口号
这个方案的好处是,安全,但后续如果有新的本地代理server跑在不同的端口上,需要重复上述操作。
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- nginx启动、重启、关闭
- 最佳Nginx日志分析工具Goaccess
- nginx自动切割访问日志
- Nginx + Apache 公用 80 端口的配置方案。
- nginx日志自动按天分隔
- 主备切换,双机热备,负载均衡,nginx
- 从源码角度理解nginx和uwsgi的通信过程
- nginx_lua 扩展让 nginx 拥有可编程能力
- nginx后端服务器返回给nginx502、504、404、执行超时等错误状态的解决方法
- 运维小知识之nginx---nginx配置Jboss集群负载均衡
- 运维小知识之nginx---CentOS6.5安装nginx配置nginx sticky
- 轻松搞定CentOS+Nginx+PHP+MySQL标准生产环境
- nginx-optimize.conf优化配置注释
- nginx-base.conf配置分析
- windows下配置Nginx+Mysql+Php7
- Nginx源码分析 - 初探Nginx的架构
- Nginx基础入门之nginx.conf配置项相关介绍
- nginx sendfile 参数解释
- Nginx安装
- nginx配置相关