ssl कॉन्फ़िगरेशन के लिए सर्टिफिकेट फ़ाइलों के लिए nginx अनुमति से इनकार किया

मैं अपने फेडोरा सर्वर पर एक nginx ssl प्रॉक्सी स्थापित कर रहा हूं।

मैंने / etc / nginx के तहत एक प्रमाणित और मुख्य जोड़ी बनाई है। वे इस तरह दिखते हैं:

ls -l /etc/nginx/
total 84
...
-rw-r--r--. 1 root root 1346 Sep 20 12:11 demo.crt
-rw-r--r--. 1 root root 1679 Sep 20 12:11 demo.key

...

जड़ के रूप में, मैं nginx सेवा शुरू करने की कोशिश कर रहा हूं:

systemctl start nginx.service

मुझे निम्नलिखित त्रुटि मिलती है:

nginx[30854]: nginx: [emerg]
SSL_CTX_use_certificate_chain_file("/etc/nginx/demo.crt") failed (SSL: error:0200100D:system     library:fopen:Permission denied...e:system lib)
nginx[30854]: nginx: configuration file /etc/nginx/nginx.conf test failed

क्या इन फ़ाइलों पर अनुमतियों में कुछ गड़बड़ है?

संभवतः आपके पास SELinux इनफोर्सिंग मोड (फेडोरा के लिए डिफ़ॉल्ट):

sestatus -v

यदि यह स्थिति है, तो ऑडिट लॉग की जांच करें, आपको पहुंच त्रुटि का पता लगाना चाहिए:

ausearch -m avc -ts today | audit2allow

आपने शायद इसे कॉपी करने के बजाय दायर को स्थानांतरित कर दिया है, इसलिए फ़ाइल का सुरक्षा संदर्भ गलत हो सकता है।

ls -lrtZ /etc/nginx/demo.* 

और जरूरत पड़ने पर सही करें:

restorecon -v -R /etc/nginx

मुझे लगता है कि यह SELinux है जो अनुमति से इनकार करता है। उनके SELinux संदर्भ की जाँच करें। उनका होना httpd_config_t होना चाहिए। यदि नहीं, तो भागो

restorecon /etc/nginx/demo.*

या

chcon httpd_config_t /etc/nginx/demo.*

जड़ के रूप में।

आप यह देख सकते हैं कि / SEL / var / log / ऑडिट के तहत लॉग की जाँच करें कि क्या यह SELinux है जो अनुमति से इनकार करता है। आप भी चला सकते हैं

setenforce 0

SELinux को परमिशन मोड में सेट करने के लिए । इस तरह, SELinux अभी भी AVC मैसेज (/ / var / log / ऑडिट / में) जेनरेट करता है लेकिन एक्सेस की अनुमति देता है।