Nginx 403 [РЕШЕНО]

mehanoid	# 7 лет, 8 месяцев назад (отредактировано 7 лет, 8 месяцев назад)
Темы: 28 Сообщения: 382 Участник с: 27 апреля 2010	Имеем тупейший конфиг /etc/nginx/nginx.conf user nginx; worker_processes 1; error_log /var/log/nginx/error.log warn; pid /var/run/nginx.pid; events { worker_connections 1024; } http { include /etc/nginx/mime.types; default_type application/octet-stream; log_format main '$remote_addr - $remote_user [$time_local] "$request" ' '$status $body_bytes_sent "$http_referer" ' '"$http_user_agent" "$http_x_forwarded_for"'; access_log /var/log/nginx/access.log main; sendfile on; #tcp_nopush on; keepalive_timeout 65; #gzip on; #include /etc/nginx/conf.d/.conf; #include /etc/nginx/sites-enabled/.conf; server { listen 80 default; location / { root /home/commerce; } } } Права все имеются namei -l /home/commerce/lala.html `f: /home/commerce/lala.html dr-xr-xr-x root root / drwxr-xr-x root root home drwxr-x--- commerce nginx commerce -rw-rw-r-- commerce nginx lala.html` (nginx работает от пользователя nginx в группе nginx) Пытаемся открыть lala.html, получаем 403 В /var/log/nginx/error.log сыпется `2014/12/27 03:06:25 [error] 17775#0: *1 open() "/home/commerce/lala.html" failed (13: Permission denied), client: 127.0.0.1, server: , request: "GET /lala.html HTTP/1.1", host: "localhost"` Что я сделал не так?

# 7 лет, 8 месяцев назад (отредактировано 7 лет, 8 месяцев назад)

Сообщения: 382

Участник с: 27 апреля 2010

Имеем тупейший конфиг
/etc/nginx/nginx.conf

user  nginx;
worker_processes  1;

error_log  /var/log/nginx/error.log warn;
pid        /var/run/nginx.pid;
events {
    worker_connections  1024;
}
http {
    include       /etc/nginx/mime.types;
    default_type  application/octet-stream;

    log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
                      '$status $body_bytes_sent "$http_referer" '
                      '"$http_user_agent" "$http_x_forwarded_for"';

    access_log  /var/log/nginx/access.log  main;

    sendfile        on;
    #tcp_nopush     on;

    keepalive_timeout  65;

    #gzip  on;

    #include /etc/nginx/conf.d/*.conf;
    #include /etc/nginx/sites-enabled/*.conf;

    server {
        listen 80 default;
        location / {
            root /home/commerce;
        }
    }
}

Права все имеются
namei -l /home/commerce/lala.html

f: /home/commerce/lala.html
dr-xr-xr-x root     root  /
drwxr-xr-x root     root  home
drwxr-x--- commerce nginx commerce
-rw-rw-r-- commerce nginx lala.html

(nginx работает от пользователя nginx в группе nginx)

Пытаемся открыть lala.html, получаем 403

В /var/log/nginx/error.log сыпется

2014/12/27 03:06:25 [error] 17775#0: *1 open() "/home/commerce/lala.html" failed (13: Permission denied), client: 127.0.0.1, server: , request: "GET /lala.html HTTP/1.1", host: "localhost"

Что я сделал не так?

titron	# 7 лет, 8 месяцев назад
Темы: 0 Сообщения: 17 Участник с: 28 июля 2011	может `chmod 755 /home/commerce`

Natrio	# 7 лет, 8 месяцев назад (отредактировано 7 лет, 8 месяцев назад)
Темы: 47 Сообщения: 4763 Участник с: 08 января 2011	mehanoid, чтобы дать доступ демонам к домашнему каталогу пользователя, гораздо удобнее поставить на него права вида `chmod 710 /home/user chown user:user /home/user` где user – имя (и группа) пользователя. После этого вы можете добавить любое количество нужных демонов в группу user, и тогда все файлы и каталоги со стандартными правами 755/644 внутри домашнего будут доступны на чтение указанным демонам. Разумеется, после добавления в группу демоны должны быть перезапущены, чтобы в неё попасть. Отдельное предупреждение: Я очень НЕ советую открывать в сеть ВЕСЬ домашний каталог, как это сделано в вашем конфиге nginx. Что касается вашей проблемы с доступом, у вас видимо установлено что-то КРОМЕ стандартных UNIX-прав. Возможно, что-то вроде ACL.

Natrio

# 7 лет, 8 месяцев назад (отредактировано 7 лет, 8 месяцев назад)

Темы: 47

Сообщения: 4763

Участник с: 08 января 2011

mehanoid, чтобы дать доступ демонам к домашнему каталогу пользователя, гораздо удобнее поставить на него права вида

chmod 710 /home/user
chown user:user /home/user

где user – имя (и группа) пользователя.
После этого вы можете добавить любое количество нужных демонов в группу user, и тогда все файлы и каталоги со стандартными правами 755/644 внутри домашнего будут доступны на чтение указанным демонам.
Разумеется, после добавления в группу демоны должны быть перезапущены, чтобы в неё попасть.

Отдельное предупреждение:
Я очень НЕ советую открывать в сеть ВЕСЬ домашний каталог, как это сделано в вашем конфиге nginx.

Что касается вашей проблемы с доступом, у вас видимо установлено что-то КРОМЕ стандартных UNIX-прав. Возможно, что-то вроде ACL.

mehanoid	# 7 лет, 8 месяцев назад
Темы: 28 Сообщения: 382 Участник с: 27 апреля 2010	Natrio После этого вы можете добавить любое количество нужных демонов в группу user, и тогда все файлы и каталоги со стандартными правами 755/644 внутри домашнего будут доступны на чтение указанным демонам. Да, смысл в этом есть Natrio Я очень НЕ советую открывать в сеть ВЕСЬ домашний каталог, как это сделано в вашем конфиге nginx. Ну этого и не будет, это просто проба пока, разберусь, как оно всё работает, и буду нормально настраивать. Natrio Что касается вашей проблемы с доступом, у вас видимо установлено что-то КРОМЕ стандартных UNIX-прав. Возможно, что-то вроде ACL. Точно, проблема в SELinux оказалась, попробовал временно отключить, всё заработало. Буду теперь разбираться, как нормально это всё настроить. Ставлю РЕШЕНО. Спасибо)

mehanoid

# 7 лет, 8 месяцев назад

Темы: 28

Сообщения: 382

Участник с: 27 апреля 2010

Natrio
После этого вы можете добавить любое количество нужных демонов в группу user, и тогда все файлы и каталоги со стандартными правами 755/644 внутри домашнего будут доступны на чтение указанным демонам.

Да, смысл в этом есть

Natrio
Я очень НЕ советую открывать в сеть ВЕСЬ домашний каталог, как это сделано в вашем конфиге nginx.

Ну этого и не будет, это просто проба пока, разберусь, как оно всё работает, и буду нормально настраивать.

Natrio
Что касается вашей проблемы с доступом, у вас видимо установлено что-то КРОМЕ стандартных UNIX-прав. Возможно, что-то вроде ACL.

Точно, проблема в SELinux оказалась, попробовал временно отключить, всё заработало. Буду теперь разбираться, как нормально это всё настроить.
Ставлю РЕШЕНО. Спасибо)