首先声明:如果不使用SELinux则可以跳过本文章。
在ContOS 7上安装了Nginx服务,为了项目需要必须修改Nginx的默认80端口为8088,修改配置文件后重启Nginx服务,查看日志报以下错误:
[emerg] 9011#0: bind() to 0.0.0.0:8088 failed (13: Permission denied)
权限被拒绝,开始以为是端口被别的程序占用了,查看活动端口然而没有程序使用此端口,网上搜索说是需要root权限,可我执行的是root用户啊,这就挺郁闷的,后来还是给力的google给了答案,是因为selinux默认只允许80,81,443,8008,8009,8443,9000用作HTTP端口使用
要查看selinux允许的http端口必须使用semanage命令,下面首先安装semanage命令工具
在安装semanage工具之前,我们先安装一个tab键补齐二级命令功能工具bash-completion:
yum -y install bash-completion
直接通过yum安装发现semanage发现没有此包:
# yum install semange
...
NO package semanage available.
那先查找semanage命令是哪个软件包提供此命令
# yum provides semanage
或者使用下面的命令:
# yum whatprovides /usr/sbin/semanage
我们发现需要安装包policycoreutils-Python才能使用semanage命令
现在我们通过yum安装此软件包,可以使用tab补齐:
# yum install policycoreutils-python.x86_64
现在终于可以使用semanage了,我们先查看下http允许访问的端口:
# semanage port -l | grep http_port_t
http_port_t tcp 80, 81, 443, 488, 8008, 8009, 8443, 9000
然后我们将需要使用的端口8088加入到端口列表中:
# semanage port -a -t http_port_t -p tcp 8088
# semanage port -l | grep http_port_t
http_port_t tcp 8088, 80, 81, 443, 488, 8008, 8009, 8443, 9000
好了现在nginx可以使用8088端口了
selinux的日志在/var/log/audit/audit.log
但此文件记录的信息不够明显,很难看出来,我们可以借助audit2why和audit2allow工具查看,这两个工具也是policycoreutils-python软件包提供的。
# audit2why < /var/log/audit/audit.log
收集selinux工具的日志,还有另外一个工具setroubleshoot,对应的软件包为setroubleshoot-server