centos7 中关于 nginx 的权限问题

假设你的 Nginx 配置没有任何问题，并且运行 getenforce 的结果是 Enforcing。

首先你要让 SELinux 允许 httpd[1] 访问用户目录。很简单，root 运行 setsebool -P httpd_enable_homedirs 。
"-P" 的意思是 permanent，不带 -P 的话系统重启后恢复默认配置。

然后你要修改 /home/user/static 的 SELinux context。告诉 SELinux，允许此目录被 httpd 访问：
chcon -v -t httpd_user_content_t /home/user/static

没有意外的话应该就可以访问了。

简单易懂的关于 SELinux 的讲座：
Red Hat 出的 SELinux 手册： https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/SELinux_Users_and_Administrators_Guide/index.html

更多和 httpd 有关的 SELinux 开关：
getsebool -a | grep httpd
安装 selinux-policy-devel，然后 man httpd_selinux

[1] 在 RHEL/CentOS/Fedora 下，
httpd 包是 apache。但 apache 和 nginx 的 SELinux context 都是：system_u:system_r:httpd_t:s0。

Sorry，漏掉了 boolean，是 setsebool -P httpd_enable_homedirs on

@Comphuse 那nginx的user配置的目的是什么 为什么不能直接访问呢

@veezzz DAC 权限和 SELinux 必须同时满足才能运行。

刚才查了以下，Nginx 你好像配错了......
http://wiki.nginx.org/UserDir

@Comphuse 路径配置我是参考nginx的doc的 我去试试配置selinux 万分感谢你耐心的回答 有问题再请教你

所有上层目录都要有读取权限

我晕，我今天也遇到这个情况了，无论怎么改权限都不行。明天试试吧

@WildCat
@kxmp
先用sudo确认权限，再看selinux，实在不行就先关掉，先定位问题再看办法

@ryd994 解决了，如 @kxmp 所说，确实是上层目录的问题。
祝各位新春愉快！

@WildCat 需要把上层目录的权限都修改么，应该添加什么权限

@veezzz 😂我部署了个新版本，又不行了，233
我再试试去把

@veezzz
linux 新手，刚才是把 home 路径又记错了。
重新试了下，假设 home 路径是 /root

chomd -R a+r /root

没用

chomd -R a+x /root

可以解决。

楼上有说要读取权限，不知这里为何还得给执行权限。

自己是小采集站，就随意了，楼主如果是生产环境要小心了。

nginx version: nginx/1.6.2

@WildCat 我有个疑问 如果nginx的user设置为 username 那么 nginx的worker进程应该是以username用户执行的 按理说 username用户是有/home/username下的相关权限的 为什么不行呢

@WildCat +x对文件是执行，对目录是进入权限
@veezzz Nginx要对文件做stat操作，所以对整个目录链要有x。抱歉之前没说清楚。用sudo就是sudo -u 用户 做

@veezzz （续上）做两件事，stat 和cat

@WildCat 别chmod +R用find
find -type d | xargs chmod +x
大约是这样

@WildCat 我测试了下 好像是因为selinux的问题引起的

@Comphuse 按照你的方法解决了，万分感谢，静态文件可以访问了但是当nginx做反向代理的时候，selinux禁止访问上游服务器，这个问题该怎么处理

@Comphuse 解决了, 不过还是想请问你, 有没有nginx与selinux的配置的最佳实践学习下

@veezzz nginx 配置文件和 aureport -a 的结果贴一下

@Comphuse 反向代理的问题解决了, 在http_port_t中添加了反向代理用的port，我是想问问有没有nginx与selinux配置的文章啊什么的可以学习