(13: В доступе отказано) при подключении к восходящему каналу: [nginx]

Question

(13: В доступе отказано) при подключении к восходящему каналу: [nginx]

131

Я работаю над настройкой проекта django с nginx и gunicorn. Пока я обращаюсь к моему порту gunicorn mysite.wsgi:application --bind=127.0.0.1:8001 на сервере nginx, я получаю следующую ошибку в файле журнала ошибок.

2014/05/30 11:59:42 [crit] 4075#0: *6 connect() to 127.0.0.1:8001 failed (13: Permission denied) while connecting to upstream, client: 127.0.0.1, server: localhost, request: "GET / HTTP/1.1", upstream: "http://127.0.0.1:8001/", host: "localhost:8080"

Мой nginx.conf файл

server {
    listen 8080;
    server_name localhost;
    access_log  /var/log/nginx/example.log;
    error_log /var/log/nginx/example.error.log;

    location / {
        proxy_pass http://127.0.0.1:8001;
        proxy_set_header X-Forwarded-For $remote_addr;
        proxy_set_header Host $http_host;
    }
}

На html-странице я получаю 502 Bad Gateway.

Какую ошибку я делаю?

Mulagala 30 май 2014, в 07:55

Источник

Теги:

django

nginx

python-2.7

gunicorn

6 ответов

129

Я тоже сталкиваюсь с этой проблемой. Другое решение - переключить логическое значение SELinux для подключения httpd к on (Nginx использует метку httpd).

setsebool httpd_can_network_connect on

Чтобы сохранить сохранение, используйте флаг -P.

setsebool httpd_can_network_connect on -P

Вы можете просмотреть список всех доступных SELinux булевых для httpd, используя

getsebool -a | grep httpd

Sid 14 июль 2015, в 10:50

9

Спасибо - у нас это работает на CentOS 7
Francis Norton 14 авг. 2015, в 15:40
0

эта работа на CentOS 6 тоже, спасибо
kikicarbonell 01 окт. 2015, в 14:41
0

Это сработало, спасибо. Я обновил с CentOS 6.5 -> 6.7, и он должен был по умолчанию отключить значение во время обновления, потому что до обновления он работал нормально. Простое исправление.
Mike Purcell 06 окт. 2015, в 14:04
0

Решено для меня на RHEL
Soman Dubey 04 янв. 2016, в 16:41
0

Спасибо! Помогли мне на CentOS 6.7.
rMX 16 фев. 2016, в 11:48
1

Это решение выглядит лучше :) Спасибо!
Wilson Chen 22 июль 2016, в 07:41
0

Отлично, решил мою проблему на CentOS 7.3
Ehsan Aghaei 18 авг. 2017, в 14:24
0

Worke на CentOS7
Jins Peter 20 март 2018, в 07:44
0

Работал на CentOS 7 ответа выше не стал
AndrewT 14 июнь 2018, в 00:33

Показать ещё 7 комментариев

8

Я решил свою проблему, запустив мой nginx в качестве моего текущего рабочего пользователя, который mulagala. По умолчанию пользователь как nginx в моем файле nginx.conf. Мы можем найти эту строку в верхней части nginx.conf файл.

user nginx;

измените это на ваше текущее имя рабочего пользователя, например

user  mulagala;

Mulagala 04 июнь 2014, в 12:09

9

Плохая идея, смена пользователя. Это работает, но думайте об этом как о случайном побочном эффекте. Вы замечаете, что решаете настоящую проблему. Решение Джозефа Барбера лучше.
MIguelele 10 апр. 2015, в 17:55

2

Была аналогичная проблема на Centos 7. Когда я попытался применить решение, предписанное Сорином, я начал двигаться в цикле. Сначала у меня было разрешение {write} denied. Затем, когда я решил, что у меня есть разрешение {connectto}, отказано. Затем вернитесь к разрешению {write}.

После @Sid ответьте выше, проверяя флаги с помощью getsebool -a | grep httpd и переключая их, я обнаружил, что в дополнение к отключению httpd_can_network_connect. http_anon_write также был отключен, в результате чего было отказано в разрешении на запись и разрешено разрешение {connectto}

type=AVC msg=audit(1501830505.174:799183): avc:  
denied  { write } for  pid=12144 comm="nginx" name="myroject.sock" 
dev="dm-2" ino=134718735 scontext=system_u:system_r:httpd_t:s0 
tcontext=system_u:object_r:default_t:s0 tclass=sock_file

Получено с использованием sudo cat/var/log/audit/audit.log | grep nginx | grep отказано как описано выше.

Итак, я решил их по одному, переключая флаги по одному за раз.

setsebool httpd_can_network_connect on -P

Затем выполните команды, указанные @sorin и @Joseph выше

sudo cat /var/log/audit/audit.log | grep nginx | grep denied | 
audit2allow -M mynginx
sudo semodule -i mynginx.pp

В основном вы можете проверить разрешения, установленные на setsebool, и сопоставить это с ошибкой, полученной из grepp'ing 'audit.log nginx, denied

beautifulloop 04 авг. 2017, в 09:31

1

Я тоже сталкиваюсь с этой проблемой. Я использую Nginx с HHVM, ниже решения исправлено мое сообщение:

sudo semanage fcontext -a -t httpd_sys_rw_content_t "/etc/nginx/fastcgi_temp(/.*)?"

sudo restorecon -R -v /etc/nginx/fastcgi_temp

sule 15 дек. 2015, в 09:33

-2

sudo cat /var/log/audit/audit.log | grep nginx | grep denied | audit2allow -M mynginx

sudo semodule -i mynginx.pp

TitaniuM 06 март 2017, в 20:36

Ещё вопросы

Спасибо - у нас это работает на CentOS 7
Это сработало, спасибо. Я обновил с CentOS 6.5 -> 6.7, и он должен был по умолчанию отключить значение во время обновления, потому что до обновления он работал нормально. Простое исправление.
Это решение выглядит лучше :) Спасибо!
Отлично, решил мою проблему на CentOS 7.3
Работал на CentOS 7 ответа выше не стал
Плохая идея, смена пользователя. Это работает, но думайте об этом как о случайном побочном эффекте. Вы замечаете, что решаете настоящую проблему. Решение Джозефа Барбера лучше.

Joseph Barbere · Accepted Answer · 2014-07-18T18-33-00.000Z

290

Лучший ответ

У меня была аналогичная проблема: Fedora 20, Nginx, Node.js и Ghost (blog) работают. Оказывается, моя проблема связана с SELinux.

Это должно решить проблему:

setsebool -P httpd_can_network_connect 1

Подробнее

Я проверил ошибки в журналах SELinux:

sudo cat /var/log/audit/audit.log | grep nginx | grep denied

И обнаружил, что запуск следующих команд исправил мою проблему:

sudo cat /var/log/audit/audit.log | grep nginx | grep denied | audit2allow -M mynginx
sudo semodule -i mynginx.pp

Литература:

http://blog.frag-gustav.de/2013/07/21/nginx-selinux-me-mad/ https://wiki.gentoo.org/wiki/SELinux/Tutorials/Where_to_find_SELinux_permission_denial_details http://wiki.gentoo.org/wiki/SELinux/Tutorials/Managing_network_port_labels http://www.linuxproblems.org/wiki/Selinux

Joseph Barbere 18 июль 2014, в 18:33

15

Спасибо, это тоже исправило мою проблему, я нахожусь на CentOS 7.
Jahan Zinedine 04 сен. 2014, в 16:35
49

Благодарю . Для меня "sudo setsebool httpd_can_network_connect 1" сделал свое дело!
webminal.org 08 нояб. 2014, в 19:58
21

Благодарю. Мне нужно было yum install policycoreutils-python , чтобы сначала получить audit2allow . Ссылка: centos.org/forums/viewtopic.php?t=5012
gross.jonas 13 нояб. 2014, в 09:57
0

Большое спасибо, это работа для меня, используя сервер узлов. (Redhat 7)
BlaShadow 26 нояб. 2014, в 20:37
0

работал для меня тоже. Я копался всю неделю для этого ответа. Большое спасибо.
arcee123 16 фев. 2015, в 05:56
0

Это спасет меня ... Ища это в течение многих дней!
Manhhailua 07 апр. 2015, в 03:37
0

Смотрите также здесь . В моем случае мне пришлось добавить nginx в группу пользователей, в домашнем каталоге которых хранился wwwroot.
user113397 13 апр. 2015, в 16:51
0

Спасибо! setsebool -P httpd_can_network_connect 1 решить мою проблему в RedHat 7.1
josdem 29 сен. 2015, в 02:35
0

Ответ Сида должен быть принятым, лучше использовать встроенные политики, а не создавать свои собственные, гораздо меньше накладных расходов, особенно при работе с несколькими серверами.
Mike Purcell 06 окт. 2015, в 13:59
0

На Fedora 23 установка policycoreutils-python не предоставила команду audit2allow . После некоторых исследований я обнаружил, что вы должны установить пакет devel yum install policycoreutils-devel . Ссылка: danwalsh.livejournal.com/61710.html
Joseph N. 31 янв. 2016, в 13:29
1

nginx.com/blog/nginx-se-linux-changes-upgrading-rhel-6-6
Gavin Palmer 10 март 2016, в 20:55
0

Я столкнулся с подобной проблемой, заставляя nginx и артефакт работать над redhat 6.5. Это решило мою проблему, 5 хип хип ура для вас!
Kuberchaun 05 апр. 2016, в 23:24
0

Я искренне люблю тебя, но никто не может вернуть мне часы, которые я трачу, чтобы найти это.
po5i 24 окт. 2016, в 21:13
0

Может кто-нибудь сказать мне, как кто-то может отменить эти изменения политики?
johhny B 18 дек. 2016, в 10:03
0

Спасибо! Ты спас мой день
Alexandr 03 март 2017, в 18:51
0

Удивительно, а также очень придирчиво (не ваш ответ, но то, что это требуется). Я установил два экземпляра centos, и один потребовал этого, а другой - не смутил. Также есть ли какие-либо последствия для безопасности, о которых следует знать?
edencorbin 07 авг. 2017, в 03:44
0

Я был на RHEL 7.2 и "setsebool -P httpd_can_network_connect 1" спас меня. Большое спасибо!
ashish.gd 18 авг. 2017, в 10:55
0

Потратив всего один день, я решил этот однострочный код.
Gank 04 нояб. 2017, в 10:47
0

Просто никогда не мог себе представить, что когда страница приветствия по умолчанию отображается, но проксирование вышестоящего сервера не работает, это все равно ошибка сторонней политики безопасности. Я просто сосредоточил свои усилия по отладке на файле конфигурации ... Хотя должен был быть в состоянии найти журнал ошибок раньше.
xji 30 июнь 2018, в 12:17
0

Это спасло меня. потратив пару дней, пробуя разные решения
iRamesh 28 авг. 2018, в 22:11
0

Спасибо, сэр, вы спасли меня
Juan D. Gómez 27 сен. 2018, в 15:46
0

У меня это тоже сработало, но, если быть точным, пришлось перезагрузиться
AlEmerich 25 окт. 2018, в 11:46

Показать ещё 20 комментариев