（13：Permission denied）在连接上游时出现：[nginx]

免责声明

在运行此程序之前，请确保您的使用情况没有安全影响。

答案

我遇到了类似的问题，尝试让 Fedora 20、Nginx、Node.js 和 Ghost（博客）一起工作。结果发现我的问题是由于SELinux引起的。

这应该可以解决问题：

setsebool -P httpd_can_network_connect 1

详情

我检查了SELinux日志中的错误：

sudo cat /var/log/audit/audit.log | grep nginx | grep denied

我发现运行以下命令可以解决我的问题:

sudo cat /var/log/audit/audit.log | grep nginx | grep denied | audit2allow -M mynginx
sudo semodule -i mynginx.pp

选项 #2（可能更安全）

setsebool -P httpd_can_network_relay 1

https://security.stackexchange.com/questions/152358/difference-between-selinux-booleans-httpd-can-network-relay-and-httpd-can-net

参考文献

http://blog.frag-gustav.de/2013/07/21/nginx-selinux-me-mad/
https://wiki.gentoo.org/wiki/SELinux/Tutorials/Where_to_find_SELinux_permission_denial_details
http://wiki.gentoo.org/wiki/SELinux/Tutorials/Managing_network_port_labels

我也遇到过这个问题。另一个解决方案是切换 SELinux 布尔值 httpd 网络连接的状态为 on（Nginx 使用 httpd 标签）。

setsebool httpd_can_network_connect on

要使更改持久化，请使用-P标志。

setsebool httpd_can_network_connect on -P

您可以使用以下命令查看httpd可用SELinux布尔值列表：

getsebool -a | grep httpd

我已经通过使用当前登录的用户mulagala来运行我的Nginx解决了我的问题。

默认情况下，用户nginx在nginx.conf文件的顶部定义，如下所示；

user nginx; # Default Nginx user

将 nginx 更改为您当前用户的名称 - 在这里是 mulagala。

user mulagala; # Custom Nginx user (as username of the current logged in user)

然而，这可能并没有解决实际问题，甚至可能会有偶发的副作用。

要想获得有效的解决方案，请参考Joseph Barbere的解决方案。

在Centos 7上出现了类似的问题。当我尝试应用Sorin建议的解决方案时，我陷入了循环中。首先我遇到了一个权限被拒绝的 {write} 问题。然后当我解决了这个问题后，我又遇到了一个权限被拒绝的 {connectto} 问题。然后又回到了权限被拒绝的 {write} 问题。

根据@Sid上面的回答，使用getsebool -a | grep httpd检查标志并切换它们，我发现除了关闭httpd_can_network_connect之外，http_anon_write也关闭了，导致写入权限被拒绝和{connectto}被拒绝的权限问题。

type=AVC msg=audit(1501830505.174:799183): avc:  
denied  { write } for  pid=12144 comm="nginx" name="myroject.sock" 
dev="dm-2" ino=134718735 scontext=system_u:system_r:httpd_t:s0 
tcontext=system_u:object_r:default_t:s0 tclass=sock_file

如上所述，使用sudo cat /var/log/audit/audit.log | grep nginx | grep denied获取。

所以我逐个解决它们，逐个切换标志。

setsebool httpd_can_network_connect on -P

按照@sorin和@Joseph上面指定的命令运行

sudo cat /var/log/audit/audit.log | grep nginx | grep denied | 
audit2allow -M mynginx
sudo semodule -i mynginx.pp

基本上，您可以检查在setsebool上设置的权限，并将其与从grep'ing' audit.log nginx中获取的错误相关联，被拒绝的。

如果在CentOS上使用Nginx反向代理API网关时出现“502 Bad Gateway”错误，请运行以下命令解决问题。

sudo setsebool -P httpd_can_network_connect 1

1. 检查/etc/nginx/nginx.conf中的用户。
2. 将所有权更改为用户。

sudo chown -R nginx:nginx /var/lib/nginx

1. 首先看看被拒绝的内容：

sudo cat /var/log/audit/audit.log | grep nginx | grep denied

type=AVC msg=audit(1618940614.934:38415): avc:  denied  { connectto } for
pid=18016 comm="nginx" path="/home/deployer/project/tmp/sockets/puma.sock" scontext=system_u:system_r:httpd_t:s0
tcontext=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023
tclass=unix_stream_socket permissive=1

sudo setenforce 0

setsebool httpd_can_network_connect on -P
setsebool httpd_can_network_relay on -P

在您能看到启用的内容后：

getsebool -a | grep httpd

httpd_anon_write --> off
httpd_builtin_scripting --> on
httpd_can_check_spam --> off
httpd_can_connect_ftp --> off
httpd_can_connect_ldap --> off
httpd_can_connect_mythtv --> off
httpd_can_connect_zabbix --> off
httpd_can_network_connect --> on
httpd_can_network_connect_cobbler --> off
httpd_can_network_connect_db --> on
httpd_can_network_memcache --> off
httpd_can_network_relay --> on
httpd_can_sendmail --> off
httpd_dbus_avahi --> off
httpd_dbus_sssd --> off
httpd_dontaudit_search_dirs --> off
httpd_enable_cgi --> off
httpd_enable_ftp_server --> off
httpd_enable_homedirs --> off
httpd_execmem --> off
httpd_graceful_shutdown --> on
httpd_manage_ipa --> off
httpd_mod_auth_ntlm_winbind --> off
httpd_mod_auth_pam --> off
httpd_read_user_content --> off
httpd_run_ipa --> off
httpd_run_preupgrade --> off
httpd_run_stickshift --> off
httpd_serve_cobbler_files --> off
httpd_setrlimit --> off
httpd_ssi_exec --> off
httpd_sys_script_anon_write --> off
httpd_tmp_exec --> off
httpd_tty_comm --> off
httpd_unified --> off
httpd_use_cifs --> off
httpd_use_fusefs --> off
httpd_use_gpg --> off
httpd_use_nfs --> off
httpd_use_openstack --> off
httpd_use_sasl --> off
httpd_verify_dns --> off

我遇到了同样的问题。我尝试了@joebarbere提出的运行以下命令的解决方案，这确实解决了问题，但我担心安全性。

setsebool -P httpd_can_network_relay 1

https://serverfault.com/questions/634294/nodejs-nginx-error-13-permission-denied-while-connecting-to-upstream

sudo semanage port --list | grep 4343

并将端口添加到允许列表中

sudo semanage port --add --type http_port_t --proto tcp 4343

我重新启动了nginx服务，然后url就可以访问了。我认为这样更安全。

连接上游服务器时出现13-权限被拒绝的错误nginx on centos服务器 -

执行以下命令：setsebool -P httpd_can_network_connect 1

sudo semanage fcontext -a -t httpd_sys_rw_content_t "/etc/nginx/fastcgi_temp(/.*)?"

sudo restorecon -R -v /etc/nginx/fastcgi_temp