尝试访问新站点时，Nginx 显示失败（13：权限被拒绝）

Question 1

按照这个指南网站为我做了（作为 root）：

setsebool -P httpd_enable_homedirs 1
setenforce 0
systemctl restart nginx
systemctl daemon-reload

Answer

按照这个指南网站为我做了（作为 root）：

setsebool -P httpd_enable_homedirs 1
setenforce 0
systemctl restart nginx
systemctl daemon-reload

Question 2

调试此类 nginx 错误的一个好方法是检查日志并使用namei检查 nginx 是否有权访问所有祖先文件夹。

考虑由于此配置/static/vendor.js而产生的结果：HTTP 403

server {
    listen 80;

    location /static/ {
    alias /home/ubuntu/bla/front/dist/;
    }
}

首先检查 nginx 访问日志，在 ubuntu 中它在这里：

tail /var/log/nginx/error.log

我说：

2023/07/25 11:52:05 [error] 15138#15138: *3 open() "/home/ubuntu/bla/front/dist/vendor.js" failed (13: Permission denied), client: 145.90.169.214, server: , request: "GET /static/vendor.js HTTP/1.1", host: "129.125.55.156

我注意到该文件/home/ubuntu/bla/front/dist/vendor.js确实存在，因此我检查www-data（nginx 用户）是否可以访问它：

sudo -u www-data namei /home/ubuntu/bla/front/dist/vendor.js

f: /home/ubuntu/bla/front/dist/vendor.js
 d /
 d home
 d ubuntu
   bla - Permission denied

显然bla无法访问该文件夹，这可能是由于没有rx该文件夹的权限ubuntu。也就是说，如果无法读取父文件夹，则子文件夹是不可见的。我将使用来修复此问题setfacl，这是一种无需更改文件的用户和组即可提供细粒度 ACL 权限的方法。

sudo setfacl -m g:www-data:rx /home/ubuntu/

现在：

sudo -u www-data namei /home/ubuntu/bla/front/dist/vendor.js

f: /home/ubuntu/bla/front/dist/vendor.js
 d /
 d home
 d ubuntu
 d bla
 d front
 d dist
 - vendor.js

该文件可以通过访问www-data，并且nginx也403消失了。

Answer

调试此类 nginx 错误的一个好方法是检查日志并使用namei检查 nginx 是否有权访问所有祖先文件夹。

考虑由于此配置/static/vendor.js而产生的结果：HTTP 403

server {
    listen 80;

    location /static/ {
    alias /home/ubuntu/bla/front/dist/;
    }
}

首先检查 nginx 访问日志，在 ubuntu 中它在这里：

tail /var/log/nginx/error.log

我说：

2023/07/25 11:52:05 [error] 15138#15138: *3 open() "/home/ubuntu/bla/front/dist/vendor.js" failed (13: Permission denied), client: 145.90.169.214, server: , request: "GET /static/vendor.js HTTP/1.1", host: "129.125.55.156

我注意到该文件/home/ubuntu/bla/front/dist/vendor.js确实存在，因此我检查www-data（nginx 用户）是否可以访问它：

sudo -u www-data namei /home/ubuntu/bla/front/dist/vendor.js

f: /home/ubuntu/bla/front/dist/vendor.js
 d /
 d home
 d ubuntu
   bla - Permission denied

显然bla无法访问该文件夹，这可能是由于没有rx该文件夹的权限ubuntu。也就是说，如果无法读取父文件夹，则子文件夹是不可见的。我将使用来修复此问题setfacl，这是一种无需更改文件的用户和组即可提供细粒度 ACL 权限的方法。

sudo setfacl -m g:www-data:rx /home/ubuntu/

现在：

sudo -u www-data namei /home/ubuntu/bla/front/dist/vendor.js

f: /home/ubuntu/bla/front/dist/vendor.js
 d /
 d home
 d ubuntu
 d bla
 d front
 d dist
 - vendor.js

该文件可以通过访问www-data，并且nginx也403消失了。

Question 3

您的主目录权限拒绝访问 nginx。

尝试：

ls -ld /home/website

然后

setfacl -R -m u:nginx:rwx /home/website

或者

chown -R nginx:nginx /home/website
chmod 655 /home/website

Answer

您的主目录权限拒绝访问 nginx。

尝试：

ls -ld /home/website

然后

setfacl -R -m u:nginx:rwx /home/website

或者

chown -R nginx:nginx /home/website
chmod 655 /home/website

Question 4

对我来说，解决方案是将权限设置/home/user/public_html为 755。默认情况下，它是使用 751 权限创建的。这阻止了 nginx 用户“读取”它。某些 Web 托管面板（如 VestaCP、CPanel 等）在通过其界面添加新网站时可能会无意中这样做。

解决方案：（ sudo chmod 755 ~/public_html调整路径至您的public_html文件夹）

Answer

对我来说，解决方案是将权限设置/home/user/public_html为 755。默认情况下，它是使用 751 权限创建的。这阻止了 nginx 用户“读取”它。某些 Web 托管面板（如 VestaCP、CPanel 等）在通过其界面添加新网站时可能会无意中这样做。

解决方案：（ sudo chmod 755 ~/public_html调整路径至您的public_html文件夹）

尝试访问新站点时，Nginx 显示失败（13：权限被拒绝）

答案1

答案2

答案3

答案4

相关内容