Selinux가 내 Apache/Nginx 서비스를 차단하는 이유는 무엇입니까?
Selinux는 일반적으로 권한 문제로 인해 Apache 또는 Nginx 서비스를 차단합니다. 솔루션에는 파일 컨텍스트 설정, 비표준 포트 허용 및 정책 조정이 포함됩니다. 1. 기본 문서 루트 디렉토리가 변경되면 액세스가 거부되면 CHCON과 SEMANAGE를 사용하여 올바른 SELINUX 컨텍스트를 설정해야합니다. 2. 비표준 포트 (예 : 8080)를 사용하는 경우 Semanage를 통해 허용 목록에 포트를 추가해야합니다. 3. 파일 컨텍스트 오류 인 경우 retorecon을 통해 기본 컨텍스트를 복원 할 수 있습니다. 4. Selinux가 강제 모드에 있고 정책이 조정되지 않으면 Audit2allow를 통해 문제를 확인하고 정책 모듈 최적화 규칙을 사용자 정의하는 것이 일시적으로 비활성화 될 수 있습니다.
Selinux는 일반적으로 권한 문제로 인해 Apache 또는 Nginx 서비스를 차단합니다. 웹 서버가 허용되지 않은 파일에 액세스하려고하거나 기본적으로 허용되지 않는 포트에 바인딩하려고합니다. 필요한 구성의 버그에 관한 것이 아닙니다. Selinux가 정책을 시행하는 것과 같은 것입니다.
다음은 가장 일반적인 이유와 그들을 다루는 방법입니다.
1. 웹 서버는 사용자 정의 문서 루트에 액세스 할 수 없습니다
Nginx의 Apache 또는 root Directory의 기본 DocumentRoot /var/www/html 이외의 것으로 변경하면 Selinux가 액세스를 차단할 수 있습니다.
이것이 문제인지 확인하십시오 .
grep httpd /var/log/audit/audit.log | audit2why실행하십시오grep httpd /var/log/audit/audit.log | audit2why(Apache의 경우) 또는httpdnginx로 NGINX로 교체하십시오. "denied {read}"와 같은 메시지가 표시되면 파일 컨텍스트 문제를 의미 할 수 있습니다.-
수정 :
새 디렉토리에서 올바른 Selinux 컨텍스트를 설정해야합니다. 예를 들어:chcon -t httpd_sys_content_t/path/to/your/webroot
또는 쓰기 가능한 컨텐츠 (업로드 예 : 업로드) :
chcon -t httpd_sys_rw_content_t/path/to/upload/dir
재부팅 후 이것을 지속적으로 만들기 위해 :
semanage fcontext -a -t httpd_sys_content_t "/path/to/your/webroot(/.*)?" Restorecon -rv/path/to/your/webroot
2. 비표준 포트를 사용하려고합니다
기본적으로 Selinux를 사용하면 Apache/Nginx가 포트 80 및 443에서만 청취 할 수 있습니다. 다른 포트 (8080 또는 8000)에서 서버를 실행하도록 서버를 구성하면 Selinux가 차단됩니다.
확인 방법 :
다시 감사 로그를 확인하십시오.grep nginx /var/log/audit/audit.log | AUDIT2WHY
거부되는 포트에 바인딩에 대한 메시지를 찾으십시오.
수정 방법 :
서비스에 허용 된 목록에 포트를 추가하십시오.
semanage port -a -t http_port_t -p tcp 8080
이제 서비스를 다시 시작하면 Selinux가 더 이상 불만을 제기하지 않습니다.
3. 파일 권한 및 컨텍스트가 꺼져 있습니다
문서 루트를 변경하지 않더라도 파일 자체가 잘못된 SELINUX 컨텍스트 (특히 다른 곳에서 복사하거나 FTP/SFTP를 통해 업로드 한 경우에 잘못된 컨텍스트가 잘못되었습니다.
빠른 점검 :
달리다:
ls -z/var/www/html
컨텍스트가
system_u:object_r:httpd_sys_content_t:s0과 같은지 확인하십시오.수정하려면 :
기본 컨텍스트 복원 :
Restorecon -v /var/www/html/index.html
물건을 복사 한 경우 재귀 적으로 다시 적용하는 것이 좋습니다.
Restorecon -rv/var/www/html/
4. Selinux는 시행 모드에 있지만 정책을 조정하지 않았습니다.
때때로 문제는 하나의 구체적인 일이 아닙니다. Selinux가 활성화되고 시행되며 귀하의 서비스가 규칙에 따라 실행되도록 완전히 조정되지 않았습니다.
일시적으로 테스트 할 시행을 비활성화합니다 .
setenforce 0
그런 다음 Apache 또는 Nginx를 다시 시작하십시오. 지금 작동하면 Selinux가 관련되어 있음을 알고 있습니다.
⚠️ 비활성화를 남기지 마십시오.이를 사용하여 확인하십시오.
- 더 나은 접근 방식 : 대상 정책 모듈을 사용하거나 반복 거부가있는 경우
audit2allow사용하여 기존 모듈을 조정하십시오.
웹 서버를 차단하는 Selinux는 일반적으로 파일 컨텍스트 또는 포트 제한으로 줄어 듭니다. 어디에서보아야하는지 알면 고정하는 데 시간이 오래 걸리지 않습니다. 기본적으로 올바른 레이블을 설정하거나 추가 포트를 허용합니다. 일단 당신이 그것을 매달린 후에는 나쁘지 않습니다.
위 내용은 Selinux가 내 Apache/Nginx 서비스를 차단하는 이유는 무엇입니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!
핫 AI 도구
Undress AI Tool
무료로 이미지를 벗다
Undresser.AI Undress
사실적인 누드 사진을 만들기 위한 AI 기반 앱
AI Clothes Remover
사진에서 옷을 제거하는 온라인 AI 도구입니다.
Clothoff.io
AI 옷 제거제
Video Face Swap
완전히 무료인 AI 얼굴 교환 도구를 사용하여 모든 비디오의 얼굴을 쉽게 바꾸세요!
인기 기사
뜨거운 도구
메모장++7.3.1
사용하기 쉬운 무료 코드 편집기
SublimeText3 중국어 버전
중국어 버전, 사용하기 매우 쉽습니다.
스튜디오 13.0.1 보내기
강력한 PHP 통합 개발 환경
드림위버 CS6
시각적 웹 개발 도구
SublimeText3 Mac 버전
신 수준의 코드 편집 소프트웨어(SublimeText3)
SELinux 란 무엇입니까?
Feb 08, 2023 am 11:56 AM
SELinux는 보안이 강화된 리눅스(security-enhanced Linux)를 의미하며, 전통적인 리눅스 운영체제의 보안을 강화하고 전통적인 리눅스 시스템의 DAC(임의적 접근 제어) 시스템의 다양한 권한 문제를 해결하기 위해 설계되었습니다. 과도한 루트 권한으로 인해). SELinux는 프로세스가 특정 파일 시스템의 파일이나 디렉터리에 대한 액세스 권한을 가지고 있는지 여부를 제어하는 MAC(필수 액세스 제어) 시스템을 사용합니다.
SELinux에서 정책 규칙을 보는 방법은 무엇입니까?
Mar 02, 2023 am 10:19 AM
SELinux에서 정책 규칙을 보는 방법: 1. seinfo 명령을 사용하여 SELinux 정책이 제공하는 관련 규칙 수를 쿼리합니다. 대상 프로세스가 대상 파일 리소스를 읽을 수 있는지 여부는 SELinux 정책과 정책의 규칙에 중점을 둡니다. 2. sesearch 명령을 사용하여 SELinux 정책 규칙의 특정 내용을 쿼리합니다. 구문은 "sesearch [옵션] [규칙 유형] [표현식]"입니다.
SELinux의 세 가지 정책 유형에 대한 심층 분석
Feb 26, 2024 pm 10:24 PM
SELinux의 세 가지 정책 유형 및 코드 예제에 대한 자세한 설명 SELinux(Security-EnhancedLinux)는 Linux 운영 체제에서 필수 액세스 제어를 구현하는 보안 하위 시스템입니다. 각 작업에 대한 필수 접근 규칙을 정의하여 시스템의 보안을 보장합니다. SELinux에는 시행(Enforcing), 허용(Permissive), 비활성화(Disabled)라는 세 가지 주요 정책 유형이 있습니다. 이 기사에서는 이 세 가지를 자세히 소개합니다.
SELinux의 세 가지 작업 모드는 무엇입니까?
Feb 13, 2023 am 10:04 AM
SELinux에는 비활성화, 허용, 적용의 세 가지 작업 모드가 있습니다. 비활성화 모드에서는 SELinux가 꺼지고 기본 DAC 액세스 제어 방법이 사용됩니다. 허용 모드에서는 SELinux가 활성화되지만 보안 정책 규칙이 액세스를 거부해야 하는 경우에도 보안 정책 규칙이 적용되지 않습니다. 적용 모드에서는 SELinux가 시작되고 모든 보안 정책 규칙이 적용됩니다.
SELinux에 대한 심층 분석: 종합적인 분석
Feb 26, 2024 pm 01:18 PM
SELinux란 무엇입니까? 이 글에서는 SELinux(Security-EnhancedLinux)가 Linux 운영체제의 보안을 향상시키기 위해 설계된 보안이 강화된 Linux 시스템 보안 확장 모듈임을 자세히 설명합니다. SELinux는 MAC(Mandatory Access Control) 메커니즘을 구현하여 프로그램 액세스를 제한하고 맬웨어 및 공격자로부터 시스템을 보호할 수 있습니다. 이 기사에서는 SELinux의 작동 방식을 자세히 설명하고 특정 코드 예제를 제공합니다.
SELinux의 세 가지 정책 유형을 연구합니다.
Feb 26, 2024 pm 05:03 PM
SELinux는 보안이 강화된 Linux 운영 체제 보안 모듈로, 필수 액세스 제어를 통해 시스템 보안을 향상시키는 것이 핵심입니다. SELinux에서 정책 유형은 다양한 요구 사항과 시나리오에 따라 보안 정책을 정의하는 중요한 부분입니다. SELinux는 MLS(Multi-LevelSecurity), TE(TypeEnforcement), RBAC(Role-BasedAcc)라는 세 가지 정책 유형을 제공합니다.
SELinux의 세 가지 작업 모드에 익숙함
Feb 26, 2024 pm 03:27 PM
SELinux(Security-EnhancedLinux)는 Linux 시스템에서 MAC(Mandatory Access Control)를 구현하는 보안 모듈입니다. 보다 세분화된 액세스 제어를 위해 시스템 개체(파일, 프로세스 등)에 레이블을 적용하여 보안 정책을 시행합니다. SELinux에는 적용, 허용, 비활성화의 세 가지 작업 모드가 있습니다. 이 기사에서는 이 세 가지 모드를 자세히 소개하고 구체적인 코드 예제를 제공합니다. 1
SELinux의 작업 모드 분석
Feb 26, 2024 pm 05:21 PM
제목: SELinux 작업 모드 분석 및 코드 예제 현대 컴퓨터 시스템에서 보안은 항상 중요한 측면이었습니다. 악의적인 공격으로부터 서버와 애플리케이션을 보호하기 위해 많은 운영 체제에서는 SELinux(Security-EnhancedLinux)라는 보안 메커니즘을 제공합니다. SELinux는 시스템 리소스에 대한 세분화된 액세스 제어를 구현할 수 있는 필수 액세스 제어(MAC) 시스템입니다. 이 기사에서는 SELinux의 작동 모드를 분석합니다.
