OracleLinux9 安装 fcgiwrap 并添加 selinux 规则以在 nginx 调用

fcgiwrap在其他系统上一般直接输命令就能安装,但是OracleLinux9会提示找不到软件包。安装成功后,selinux也会阻碍nginx的调用。

原因

OracleLinux9的这个软件包位于默认不启用的developer仓库。

安装fcgiwrap

  1. 编辑配置,将repo启用
bash 复制代码
sudo vi /etc/yum.repos.d/oracle-epel-ol9.repo
sudo dnf update
  1. 成功安装
bash 复制代码
sudo dnf install fcgiwrap

手动配置fcgiwrap服务

安装的fcgiwrap并没有systemd服务,因此需要手动配置

  1. 新建/var/run/nginx目录
bash 复制代码
cd /var/run
sudo mkdir nginx
sudo chown nginx:nginx nginx
  1. 创建fcgiwrap服务(需要先安装nginx)
bash 复制代码
sudo dnf install nginx
sudo nano /etc/systemd/system/fcgiwrap.service

写入如下内容

bash 复制代码
[Unit]
Description=Simple CGI Server
After=network.target

[Service]
ExecStart=/usr/sbin/fcgiwrap -s unix:/run/nginx/fcgiwrap.socket
User=nginx
Group=nginx

[Install]
WantedBy=multi-user.target
  1. 刷新并启动服务,查看运行状态
bash 复制代码
sudo systemctl daemon-reload
sudo systemctl start fcgiwrap
sudo systemctl status fcgiwrap
  1. 启动正常后,设置开机启动
bash 复制代码
sudo systemctl enable fcgiwrap

配置nginx CGI

  1. 进入某网站的配置
bash 复制代码
sudo vi /etc/nginx/conf.d/yourweb.conf
  1. 写入cgi配置
css 复制代码
location /cgi-bin/yourcgi {
	include fastcgi_params;
	fastcgi_pass unix:/var/run/nginx/fcgiwrap.socket;
	fastcgi_param SCRIPT_FILENAME /path/to/your/cgi/file;
	# 继续传递其他参数...
}

解决selinux问题

在这一步后,nginx对cgi的访问仍然会被selinux拦截,因此还需要放行访问。请按如下步骤操作

  1. 创建审计规则文件夹
bash 复制代码
sudo mkdir /etc/selinux/audit2allow
cd /etc/selinux/audit2allow
  1. 访问目标cgi路径,被拒绝访问
  2. 查看审计拦截情况
bash 复制代码
sudo cat /var/log/audit/audit.log | grep nginx | grep denied

输出示例如下

bash 复制代码
type=AVC msg=audit(1699720883.997:1431781): avc:  denied  { connectto } for  pid=2205472 comm="nginx" path="/var/run/nginx/fcgiwrap.socket" scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:system_r:unconfined_service_t:s0 tclass=unix_stream_socket permissive=0
  1. 基于此创建放行规则
bash 复制代码
sudo cat /var/log/audit/audit.log | grep nginx | grep denied | audit2allow -M allow_nginx_proxy_fcgiwrap

正常情况下输出:

bash 复制代码
******************** IMPORTANT ***********************
To make this policy package active, execute:

semodule -i allow_nginx_proxy_fcgiwrap.pp
  1. 加载放行规则
bash 复制代码
sudo semodule -i allow_nginx_proxy_fcgiwrap.pp
  1. 检查是否能正常访问cgi,如不行,重复执行2~6直至成功访问。
  2. 大功告成!
相关推荐
昊昊昊昊昊明13 分钟前
10天学会嵌入式技术之51单片机-day-7
linux·运维·网络
Sonetto199922 分钟前
Nginx 反向代理,啥是“反向代理“啊,为啥叫“反向“代理?而不叫“正向”代理?它能干哈?
运维·前端·nginx
江沉晚呤时23 分钟前
深入了解C# List集合及两种常见排序算法:插入排序与堆排序
windows·sql·算法·oracle·c#·排序算法·mybatis
达斯维达的大眼睛29 分钟前
如何在Linux用libevent写一个聊天服务器
linux·运维·服务器·网络
末央&31 分钟前
【Linux】gdb工具,Linux 下程序调试的 “透视眼”
linux·运维·服务器
珹洺1 小时前
Jsp技术入门指南【十】IDEA 开发环境下实现 MySQL 数据在 JSP 页面的可视化展示,实现前后端交互
java·运维·前端·mysql·intellij-idea·jsp
每天都要写算法(努力版)3 小时前
【服务器操作指南】从 Hugging Face 上下载文件 | 从某一个网址上下载文件到 Linux 服务器的指定目录
linux·运维·服务器
_extraordinary_4 小时前
MySQL 库的操作 -- 增删改查,备份和恢复,系统编码
android·mysql·oracle
天狼12224 小时前
第5章-1 优化服务器设置
运维·服务器·adb
浪裡遊7 小时前
Linux常用指令
linux·运维·服务器·chrome·功能测试