OS + Centos 7 / SeLinux

S

etang.zicp.net 

问题1: connect() to 127.0.0.1:8080 failed (13: Permission denied) while connecting to upstream,   

ngins始终转发不到tomcat后台问题。看log如下。

解决1:  架构模式 nginx + tomcat

http://www.hangdaowangluo.com/archives/295

[root@centos7 ~]# tail -f /var/log/nginx/error.log
2020/08/06 09:48:36 [crit] 3805#3805: *1 connect() to 127.0.0.1:8080 failed (13: Permission denied) while connecting to upstream, client: 192.168.1.14, server: localhost, request: "GET / HTTP/1.1", upstream: "http://127.0.0.1:8080/", host: "etang.zicp.net"
2020/08/06 09:48:36 [crit] 3805#3805: *1 connect() to 127.0.0.1:8080 failed (13: Permission denied) while connecting to upstream, client: 192.168.1.14, server: localhost, request: "GET /favicon.ico HTTP/1.1", upstream: "http://127.0.0.1:8080/favicon.ico", host: "etang.zicp.net", referrer: "http://etang.zicp.net/"
2020/08/06 09:48:39 [crit] 3805#3805: *1 connect() to 127.0.0.1:8080 failed (13: Permission denied) while connecting to upstream, client: 192.168.1.14, server: localhost, request: "GET / HTTP/1.1", upstream: "http://127.0.0.1:8080/", host: "etang.zicp.net"
2020/08/06 09:48:39 [crit] 3805#3805: *1 connect() to 127.0.0.1:8080 failed (13: Permission denied) while connecting to upstream, client: 192.168.1.14, server: localhost, request: "GET /favicon.ico HTTP/1.1", upstream: "http://127.0.0.1:8080/favicon.ico", host: "etang.zicp.net", referrer: "http://etang.zicp.net/"
2020/08/06 09:48:39 [crit] 3805#3805: *1 connect() to 127.0.0.1:8080 failed (13: Permission denied) while connecting to upstream, client: 192.168.1.14, server: localhost, request: "GET / HTTP/1.1", upstream: "http://127.0.0.1:8080/", host: "etang.zicp.net"
2020/08/06 09:48:39 [crit] 3805#3805: *1 connect() to 127.0.0.1:8080 failed (13: Permission denied) while connecting to upstream, client: 192.168.1.14, server: localhost, request: "GET /favicon.ico HTTP/1.1", upstream: "http://127.0.0.1:8080/favicon.ico", host: "etang.zicp.net", referrer: "http://etang.zicp.net/"

[root@centos7 apache-tomcat-9.0.36]# setsebool -P httpd_can_network_connect 1

 

CentOS下查看SeLinux状态及关闭

setenforce是Linux的selinux防火墙配置命令 执行setenforce 0 表示关闭selinux防火墙。

setenforce命令是单词set（设置）和enforce(执行)连写，另一个命令getenforce可查看selinux的状态。

http://www.hangdaowangluo.com/archives/291

[root@centos7 apache-tomcat-9.0.36]# /usr/sbin/sestatus -v
SELinux status: enabled
SELinuxfs mount: /sys/fs/selinux
SELinux root directory: /etc/selinux
Loaded policy name: targeted
Current mode: enforcing
Mode from config file: enforcing
Policy MLS status: enabled
Policy deny_unknown status: allowed
Max kernel policy version: 31

Process contexts:
Current context: unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023
Init context: system_u:system_r:init_t:s0
/usr/sbin/sshd system_u:system_r:sshd_t:s0-s0:c0.c1023

File contexts:
Controlling terminal: unconfined_u:object_r:user_devpts_t:s0
/etc/passwd system_u:object_r:passwd_file_t:s0
/etc/shadow system_u:object_r:shadow_t:s0
/bin/bash system_u:object_r:shell_exec_t:s0
/bin/login system_u:object_r:login_exec_t:s0
/bin/sh system_u:object_r:bin_t:s0 -> system_u:object_r:shell_exec_t:s0
/sbin/agetty system_u:object_r:getty_exec_t:s0
/sbin/init system_u:object_r:bin_t:s0 -> system_u:object_r:init_exec_t:s0
/usr/sbin/sshd system_u:object_r:sshd_exec_t:s0

一、查看SELinux状态：

/usr/sbin/sestatus -v      ##如果SELinux status参数为enabled即为开启状态
SELinux status:            enabled
Current mode:              permissive

SELinux status:            enabled
Current mode:              enforcing

• getenforce  ##也可以用这个命令检查

# getenforce
Enforcing

# getenforce
Permissive

2、关闭SELinux：

• 临时关闭（不用重启机器）：

setenforce 0                  ##设置SELinux 成为permissive模式
setenforce 1                   ##设置SELinux 成为enforcing模式

• 修改配置文件需要重启机器：

修改/etc/selinux/config 文件
将SELINUX=enforcing改为SELINUX=disabled

 setsebool命令详解与SELinux管理

https://www.cnblogs.com/pengyunjing/p/10663135.html

setsebool命令是用来修改SElinux策略内各项规则的布尔值。setsebool命令和getsebool命令是SELinux修改和查询布尔值的一套工具组。SELinux的策略与规则管理相关命令：seinfo命令、sesearch命令、getsebool命令、setsebool命令、semanage命令。下面让我们详细讲解一下setsebool命令的使用方法。

语法

setsebool [-P] 布尔值=[0|1]

选项

-P:直接将设置值写入配置文件，该设置数据将来会生效的。

实例

setsebool -P allow_ftpd_anon_write=1          #允许ftpd匿名用户可写
setsebool -P ftp_home_dir 1                   #允许用户访问自己的根目录
setsebool -P ftpd_is_daemon 1                 #允许daemon运行ftpd
setsebool -P ftpd_disable_trans 1             #关闭SELINUX对ftpd的保护
setsebool -P allow_httpd_anon_write=1         #允许httpd匿名用户可写
setsebool -P allow_httpd_sys__anon_write=1    #同上
setsebool -P httpd_enable_cgi 1               #httpd被设置允许cgi被执行
setsebool -P httpd_enable_homedirs 1          #允许访问用户的根目录
setsebool -P httpd_tty_comm 1                 #允许httpd控制终端
setsebool -P httpd_unified 0                  #httpd之间相互独立
setsebool -P httpd_builtin_ing 0              #同httpd环境一样运行
setsebool -P httpd_can_network_connect_db 1   #httpd可以连接到数据库(如连接mysql就必须设置)
setsebool -P httpd_can_network_connect 1      #httpd可以连接到网络(如连接redis就必须设置)
setsebool -P httpd_read_user_content 1        #开启用户文件的访问权限(如日志文件就必须设置)
setsebool -P httpd_suexec_disable_trans 1     #禁用suexec过度
setsebool -P httpd_disable_trans 1            #允许daemon用户启动httpd
setsebool -P httpd_can_sendmail 1             #允许httpd发送email
setsebool -P named_write_master_zones 1       #允许修改dns的主zone文件
setsebool -P named_disable_trans 1            #允许daemon启动named
setsebool -P nfs_export_all_ro 1              #nfs只读
setsebool -P nfs_export_all_rw 1              #nfs可读写
setsebool -P use_nfs_home_dirs 1              #允许本机访问远程nfs的根目录
setsebool -P allow_smbd_anon_write=1          #samba允许匿名用户可写
setsebool -P samba_enable_home_dirs 1         #允许根目录访问
setsebool -P use_samba_home_dirs 1            #允许本机访问远程samba根目录
setsebool -P smbd_disable_trans 1             #允许daemon启动samba
setsebool -P allow_rsync_anon_write=1         #允许匿名用户可写
setsebool -P rsync_disable_trans 1            #允许daemon启动rsync

其他命令

getsebool -a                                  #列出所有模块
getsebool -a | grep ftp                       #列出所有与ftp相关的模块

selinux默认不允许httpd访问“/home/用户名”目录（但是允许访问"/usr/local/用户名"这种目录），现在有两种解决方案：

方案一：（允许用户httpd访问其家目录）

setsebool -P httpd_read_user_content 1
setsebool -P httpd_enable_homedirs 1

方案二：（使用semanage命令修改安全上下文） 

semanage fcontext -a -t httpd_sys_content_t '/home/用户名(/.*)?'
#重新加载，刷新配置
restorecon -R -v /home/用户名
#查看安全上下文是否永久生效
semanage fcontext -l | grep /home/用户名
#查看安全上下文是否永久生效
ls -Zd /home/用户名

允许公共目录共享，如ftp,samba,web都访问共享目录

setsebool -P public_content_t 1 
setsebool -P public_content_rw_t 1

允许httpd连接mysql：

setsebool -P httpd_can_network_connect_db 1

允许httpd连接redis：

setsebool -P httpd_can_network_connect=1

允许使用ftpd，如vsftpd就需要用到：

setsebool -P ftpd_full_access 1
setsebool -P ftp_home_dir  1 #可能会提示“Boolean ftp_home_dir is not defined”那就不用管了

允许httpd发送email：

setsebool -P httpd_can_sendmail 1

其他命令

#查看selinux状态
sestatus

#查看getenforce状态
getenforce

#临时关闭selinux，设置SELinux 成为permissive模式
setenforce 0

#临时打开selinux，设置SELinux 成为enforcing模式
setenforce 1

#永久关闭SELinux
vi /etc/selinux/config
修改并设置SELINUX=disabled，再重启服务器。

使用semanage管理SELinux

#使用semanage管理SELinux，安装semanage
yum -y install semanage
如果提示：“No package semanage available.”则执行如下命令：
yum -y provides semanage
执行完以上命令成功后会提示：Filename : /usr/sbin/semanage
再执行：
yum -y install policycoreutils-python
执行以上命令成功之后就安装好了semanage

#查看所有端口规则
semanage port -l

#查看某个端口的规则
semanage port -l | grep 6379

#查看ssh端口规则
semanage port -l | grep ssh
#给ssh放开某个端口
semanage port -a -t ssh_port_t -p tcp 9998
#给ssh删除某个已放开的端口
semanage port -d -t ssh_port_t -p tcp 9998

#查看http端口规则
semanage port -l | grep http_port_t
#给httpd放开某个端口
semanage port -a -t http_port_t -p tcp 2201
#给httpd删除某个已放开的端口
semanage port -d -t http_port_t -p tcp 2201

#查看redis端口规则
semanage port -l | grep redis_port_t
#redis添加端口规则
semanage port -a -t redis_port_t -p tcp 2201
semanage port -d -t redis_port_t -p tcp 2201

#给httpd添加某个目录（如/websites）安全上下文
semanage fcontext -a -t httpd_sys_content_t "/websites(/.*)?"
#重新加载配置
restorecon -R -v /websites
#查看安全上下文是否永久生效
semanage fcontext -l | grep /websites
#查看安全上下文是否永久生效
ls -Zd /websites

END