centos8 nginx uwsgi сокет доступ запрещен

Question

Прежде чем приступить к ответу, вам следует приложить все усилия, чтобы избавиться от вредных привычек безопасности, таких как использование chmod 777 или отключение SELinux. Вместо этого вам следует полностью изучить модель разрешений UNIX, чтобы всегда знать правильные разрешения, и настроить свои службы для работы с SELinux, чтобы воспользоваться дополнительными уровнями безопасности, которые он предоставляет.

Итак, причина, по которой ваш сокет, спрятанный глубоко в домашнем каталоге пользователя, не работает, заключается в том, чтородительразрешения каталога запрещают необходимый доступ (в данном случае поиск x). Используйте namei -l /home/***/.deploy/my.sockдля просмотра разрешений всех родительских каталогов одновременно и исправления тех, которые не разрешают разрешение поиска (скорее всего, это /home/***).

chmod +x /as/needed

Также не забудьте при необходимости исправить разрешения и владельца самого сокета.

Для полноты картины, причина, по которой ваш сокет /tmpне был найден, заключается в том, что nginx, работающий как системная служба, не может получить доступ к системному /tmpкаталогу. Systemd запускает его, PrivateTmp=trueчто приводит к созданию уникального частного каталога и /tmpпространству имен nginx в этом каталоге. Вот для чего /tmp/xxx-systemd-private-fooнужны все эти каталоги.

Answer 1

Прежде чем приступить к ответу, вам следует приложить все усилия, чтобы избавиться от вредных привычек безопасности, таких как использование chmod 777 или отключение SELinux. Вместо этого вам следует полностью изучить модель разрешений UNIX, чтобы всегда знать правильные разрешения, и настроить свои службы для работы с SELinux, чтобы воспользоваться дополнительными уровнями безопасности, которые он предоставляет.

Итак, причина, по которой ваш сокет, спрятанный глубоко в домашнем каталоге пользователя, не работает, заключается в том, чтородительразрешения каталога запрещают необходимый доступ (в данном случае поиск x). Используйте namei -l /home/***/.deploy/my.sockдля просмотра разрешений всех родительских каталогов одновременно и исправления тех, которые не разрешают разрешение поиска (скорее всего, это /home/***).

chmod +x /as/needed

Также не забудьте при необходимости исправить разрешения и владельца самого сокета.

Для полноты картины, причина, по которой ваш сокет /tmpне был найден, заключается в том, что nginx, работающий как системная служба, не может получить доступ к системному /tmpкаталогу. Systemd запускает его, PrivateTmp=trueчто приводит к созданию уникального частного каталога и /tmpпространству имен nginx в этом каталоге. Вот для чего /tmp/xxx-systemd-private-fooнужны все эти каталоги.

centos8 nginx uwsgi сокет доступ запрещен

решение1

Связанный контент