Linux的SELinux安全性控制除作用于文件系统外还作用于端口,这使得那些作为服务启动的进程只能在规定的几个端口上监听。为叙述方便我们称之为受控端口。
nginx监听端口
要查看当前有哪些受控端口可执行:
# semanage port -l | grep '^http_port_t'
http_port_t tcp , , , , , , ,
这里显示了八个端口号,其中包括80端口。由于nginx默认在80端口监听因此启动正常。
# service nginx start
我们接下来可做个试验,看看nginx能否在其它端口上监听,比如8888端口。为此新加/etc/nginx/conf.d/test.conf文件:
# /etc/nginx/conf.d/test.conf
server {
listen ;
server_name localhost;
}
你也可以不新加本文件,而是直接修改/etc/nginx/conf.d/default.conf文件。
完成后让nginx重新加载配置:
# nginx -s reload
虽然该命令执行成功,但实际上8888端口并未处于监听状态:
# netstat -anp | grep
上面的netstat命令无输出,这表明8888端口不在监听状态。进一步我们查看一下审计日志:
vi /var/log/audit/audit.log
在文件尾部发现如下两行:
type=AVC msg=audit(1452146884.454:): avc: denied { name_bind } for pid= comm="nginx" src= scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:object_r:port_t:s0 tclass=tcp_socket
type=SYSCALL msg=audit(1452146884.454:): arch=c000003e syscall= success=no exit=- a0=b a1=1b5cc60 a2= a3=7ffdaf0be83c items= ppid= pid= auid= uid= gid= euid= suid= fsuid= egid= sgid= fsgid= tty=(none) ses= comm="nginx" exe="/usr/sbin/nginx" subj=system_u:system_r:httpd_t:s0 key=(null)
这里的详细含义我也不清楚,但肯定的是nginx无权限在8888端口上监听。如果你确实希望nginx在8888端口上监听,则可把8888端口号注册为受控端口。注册前请先检查一下8888端口是否已被登记:
semanage port -l | grep
如果有输出则表示8888端口已被注册,此时请换用其它端口。
要注册http 8888端口号请执行:
semanage port -a -t http_port_t -p tcp
作为一种好习惯我们应再次检查一下受控端口列表,看看有没有刚注册的端口号:
semanage port -l | grep '^http_port_t'
最后再让nginx重新加载配置:
# nginx -s reload
此时8888端口应处于监听状态:
# netstat -anp | grep
nginx反向代理端口
如果你想让你的应用被nginx反向代理,则被反向代理的端口号也必须为已受控端口。
其它说明
不知何故,只当你把nginx启动为服务时端口才受Linux安全性控制,如果你直接运行nginx则不受此控制。