SELinux 阻止 nginx 读取 /data 的本质是目录缺少 httpd_sys_content_t 上下文,正确做法是用 semanage fcontext 添加规则再 restorecon 生效;先查错误日志、getenforce 和 ls -Z 确认问题,临时 setsebool 验证,再添加持久化规则并递归重置上下文。
SELinux 阻止 nginx 读取 /data 目录,本质是该目录缺少正确的 SELinux 上下文(context),而 nginx 进程(通常运行在 httpd_t 域)默认无权访问非标准 Web 内容路径。直接改权限或关 SELinux 不解决问题,正确做法是用 semanage fcontext 声明上下文规则,再用 restorecon 生效。
确认当前问题和上下文
先验证是否真由 SELinux 引起:
- 查看 nginx 错误日志(如
/var/log/nginx/error.log),出现类似"Permission denied" while reading upstream或open() "/data/xxx" failed (13: Permission denied); - 检查 SELinux 是否启用:
getenforce返回Enforcing; - 查
/data当前上下文:ls -Z /data,大概率显示unconfined_u:object_r:default_t:s0或类似非httpd_sys_content_t的类型; - 临时放宽策略测试(仅用于验证):
setsebool -P httpd_read_user_content 1,若此时 nginx 可读,则确认是 SELinux 上下文问题。
用 semanage fcontext 添加持久化上下文规则
semanage fcontext 不修改当前文件属性,只写入策略数据库,确保未来 restorecon 或系统重装后仍生效。
- 为
/data及其子目录递归添加标准 Web 内容类型:sudo semanage fcontext -a -t httpd_sys_content_t "/data(/.*)?" - 若需支持 CGI 或写入(如上传),可额外加:
sudo semanage fcontext -a -t httpd_sys_script_exec_t "/data/cgi-bin(/.*)?"sudo semanage fcontext -a -t httpd_sys_rw_content_t "/data/uploads(/.*)?" - 查看已添加的规则:
sudo semanage fcontext -l | grep '/data'
用 restorecon 应用上下文到实际文件
restorecon 扫描文件系统,按 semanage fcontext 规则批量重设 SELinux 标签。
- 立即应用到
/data及所有子项:sudo restorecon -Rv /data
(-v显示变更,-R递归) - 验证结果:
ls -Z /data应显示类似system_u:object_r:httpd_sys_content_t:s0 - 重启 nginx:
sudo systemctl restart nginx,再测访问是否正常
常见补充说明
如果仍失败,注意以下几点:
-
/data父目录(如/)不能是noexec或nosuid挂载选项,否则httpd_sys_content_t也会受限; - 若
/data是独立挂载点(如 XFS/ext4 单独分区),需在/etc/fstab中添加context="system_u:object_r:httpd_sys_content_t:s0"或使用defcontext; - 不要用
chcon手动改标签——它不持久,重启或 restorecon 后会丢失; - 调试时可用
ausearch -m avc -ts recent | audit2why查具体拒绝原因。
