重启Nginx出现bind() to 0.0.0.0:8088 failed (13: Permission

首先声明:如果不使用SELinux则可以跳过本文章。

在ContOS 7上安装了Nginx服务,为了项目需要必须修改Nginx的默认80端口为8088,修改配置文件后重启Nginx服务,查看日志报以下错误:

[emerg] 9011#0: bind() to 0.0.0.0:8088 failed (13: Permission denied)

权限被拒绝,开始以为是端口被别的程序占用了,查看活动端口然而没有程序使用此端口,网上搜索说是需要root权限,可我执行的是root用户啊,这就挺郁闷的,后来还是给力的google给了答案,是因为selinux默认只允许80,81,443,8008,8009,8443,9000用作HTTP端口使用

要查看selinux允许的http端口必须使用semanage命令,下面首先安装semanage命令工具

在安装semanage工具之前,我们先安装一个tab键补齐二级命令功能工具bash-completion:

yum -y install bash-completion

直接通过yum安装发现semanage发现没有此包:

# yum install semange

...

NO package semanage available.

那先查找semanage命令是哪个软件包提供此命令

# yum provides semanage

或者使用下面的命令:

# yum whatprovides /usr/sbin/semanage

我们发现需要安装包policycoreutils-Python才能使用semanage命令

现在我们通过yum安装此软件包,可以使用tab补齐:

# yum install policycoreutils-python.x86_64

现在终于可以使用semanage了,我们先查看下http允许访问的端口:

# semanage port -l | grep http_port_t

http_port_t                    tcp      80, 81, 443, 488, 8008, 8009, 8443, 9000

然后我们将需要使用的端口8088加入到端口列表中:

# semanage port -a -t http_port_t -p tcp 8088

# semanage port -l | grep http_port_t

http_port_t                    tcp      8088, 80, 81, 443, 488, 8008, 8009, 8443, 9000

好了现在nginx可以使用8088端口了

selinux的日志在/var/log/audit/audit.log

但此文件记录的信息不够明显,很难看出来,我们可以借助audit2why和audit2allow工具查看,这两个工具也是policycoreutils-python软件包提供的。

# audit2why < /var/log/audit/audit.log

收集selinux工具的日志,还有另外一个工具setroubleshoot,对应的软件包为setroubleshoot-server

相关推荐