nginx repentinamente redirecionando tudo para a página 403, isso pode ser depurado ou rastreado?

Navegue suas respostas
1

Não sei ao certo o que aconteceu com a minha nginx install. De repente, todas as solicitações de página estão sendo redirecionadas para a página 403 .

Ontem eu tentei adicionar um agente de usuário para bloquear, reiniciei o serviço a partir daquele ponto tudo estava sendo enviado para 403. Eu fiz o backup dessa mudança, reiniciei nginx e tudo ainda está sendo direcionado para a página 403 . Mesmo se eu remover as instruções $http_user_agent e $http_referer if, tudo ainda será enviado para 403.

Eu até restaurei a pasta nginx inteira de um backup e todas as solicitações de minha página continuam sendo direcionadas para a página 403 ....

Não tenho certeza de como solucionar isso, os arquivos conf estão limpos. Existe algum traço que eu possa fazer por nginx quando as solicitações chegarem? 

[root@soupcan nginx]# nginx -t
nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: configuration file /etc/nginx/nginx.conf test is successful

Aqui está o site conf: 

server {
    listen       80;
    server_name  localhost;

    #charset koi8-r;

    access_log  /var/log/nginx/website1/access.log  main;
    error_log /var/log/nginx/website1/error.log;

    root /srv/www/website1;

    ## Block http user agent - morpheus fucking scanner ##
    if ($http_user_agent ~* "morfeus fucking scanner|ZmEu|Morfeus strikes again.|OpenWebSpider v0.1.4 (http://www.openwebspider.org/)") {
        return 403;
     }

    if ($http_referer ~* (semalt.com|WeSEE)) {
        return 403;
    }

    ## Only allow GET and HEAD request methods. By default Nginx blocks
    ## all requests type other then GET and HEAD for static content.
    if ($request_method !~ ^(GET|HEAD)$ ) {
      return 405;
    }


    location / {
        index  index.html index.htm index.php;
        ssi on;
    }

    location ~ \.php {
        try_files $uri =404;
        include /etc/nginx/fastcgi_params;
        fastcgi_pass 127.0.0.1:9000;
        #fastcgi_index index.php;
        fastcgi_param SCRIPT_FILENAME /srv/www/website1/$fastcgi_script_name;
    }

    #error_page  404              /404.html;

    # redirect server error pages to the static page /50x.html
    error_page   500 502 503 504  /50x.html;
    location = /50x.html {
        root   /usr/share/nginx/html;
    }


    # Redirect server error pages to the static page
    error_page 403 404 /error403.html;
    location = /error403.html {
        root /usr/share/nginx/html;
    }
}

nginx.conf 

user  nginx;
worker_processes  1;

error_log  /var/log/nginx/error.log warn;
pid        /var/run/nginx.pid;


events {
    worker_connections  1024;
}


http {
    include       /etc/nginx/mime.types;
    default_type  application/octet-stream;

    log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
                      '$status $body_bytes_sent "$http_referer" '
                      '"$http_user_agent" "$http_x_forwarded_for"';

    access_log  /var/log/nginx/access.log  main;

    sendfile        on;
    #tcp_nopush     on;

    keepalive_timeout  65;

    gzip  on;
    gzip_disable "msie6";
    gzip_min_length 1100;
    gzip_vary on;
    gzip_proxied any;
    gzip_buffers 16 8k;
    gzip_types text/plain text/css application/json application/x-javascript
        text/xml application/xml application/rss+xml text/javascript
        image/svg+xml application/x-font-ttf font/opentype
        application/vnd.ms-fontobject;

    server_tokens off;

    include /etc/nginx/conf.d/*.conf;
    # Load virtual host configuration files.
    include /etc/nginx/sites-enabled/*;

    # BLOCK SPAMMERS IP ADDRESSES
    include /etc/nginx/conf.d/blockips.conf;
}

Permissões para dir webroot: 

[root@soupcan nginx]# namei -om /srv/www/website1/
f: /srv/www/website1/
 dr-xr-xr-x root  root   /
 drwxr-xr-x root  root   srv
 drwxrwxr-x brian nobody www
 drwxr-x--x brian nobody website1

EDITAR

Descobri que o CentOS 6.6 e o SELinux quebram o nginx. Ainda estou procurando uma solução, mas aqui está a causa.

EDIT 2

Solução publicada abaixo.

    
por ProfessionalAmateur 22.01.2015 / 18:12

2 respostas

1

O problema foi causado pela atualização do CentOS de 6.5 para 6.6 e como o SElinux permite o tipo de conteúdo. Com este upgrade, o SElinux por padrão só permite httpd_t content (semelhante a como eles tratam o apache), e como eu armazeno todo meu webcontent em /srv/www/ , essas pastas criadas pelo usuário não tinham rótulo de conteúdo definido automaticamente pelo sistema. p>

Para verificar isso, execute o seguinte comando em sua webroot e em seus diretórios /etc/nginx e compare os tipos de conteúdo: 

ls -Z /srv/www/

Eu executei estes comandos e reiniciei nginx e agora tudo está funcionando normalmente. 

grep nginx /var/log/audit/audit.log | audit2allow -m nginx > nginx.te
grep nginx /var/log/audit/audit.log | audit2allow -M nginx
semodule -i nginx.pp

Não tenho certeza do que esse módulo do SElinux faz, mas achei que estava lendo este post sobre o mesmo problema. Eu posso tentar recuar hoje, porque acho que a segunda coisa que fiz para consertar isso realmente funcionou. 

[09:15 AM] robotoverlord ~>chcon -Rv --type=httpd_sys_content_t /srv/www/
[09:15 AM] robotoverlord ~> ls -Z /srv/www/
drwxr-xr-x. www-data nobody unconfined_u:object_r:httpd_sys_content_t:s0 website1
[09:15 AM] robotoverlord ~>service nginx restart

Informações adicionais sobre a rotulagem de conteúdo para o SElinix

Problema resolvido!

    
por 23.01.2015 / 17:23
0
chmod ogw file

define a permissão no arquivo para o wner, g e w orld, cada sendo a soma de read (4), write (2), execute (1), se desejado

sem acesso adequado para leitura de gravação 

drwxr-x--x brian nobody website1

O nginx está apenas lendo, então você deve deixá-lo entrar! 

cd /srv/
find . -type d -exec chmod 755 {} \;
    
por 22.01.2015 / 20:48

Tags

Puppet for Patch Management Consultando o servidor LDAP no UDP