OracleLinux9 安装 fcgiwrap 并添加 selinux 规则以在 nginx 调用
fcgiwrap在其他系统上一般直接输命令就能安装,但是OracleLinux9会提示找不到软件包。安装成功后,selinux也会阻碍nginx的调用。
原因
OracleLinux9的这个软件包位于默认不启用的developer仓库。
安装fcgiwrap
- 编辑配置,将repo启用
sudo vi /etc/yum.repos.d/oracle-epel-ol9.repo
sudo dnf update
- 成功安装
sudo dnf install fcgiwrap
手动配置fcgiwrap服务
安装的fcgiwrap并没有systemd服务,因此需要手动配置
- 新建
/var/run/nginx目录
cd /var/run
sudo mkdir nginx
sudo chown nginx:nginx nginx
- 创建fcgiwrap服务(需要先安装nginx)
sudo dnf install nginx
sudo nano /etc/systemd/system/fcgiwrap.service
写入如下内容
[Unit]
Description=Simple CGI Server
After=network.target[Service]
ExecStart=/usr/sbin/fcgiwrap -s unix:/run/nginx/fcgiwrap.socket
User=nginx
Group=nginx[Install]
WantedBy=multi-user.target
- 刷新并启动服务,查看运行状态
sudo systemctl daemon-reload
sudo systemctl start fcgiwrap
sudo systemctl status fcgiwrap
- 启动正常后,设置开机启动
sudo systemctl enable fcgiwrap
配置nginx CGI
- 进入某网站的配置
sudo vi /etc/nginx/conf.d/yourweb.conf
- 写入cgi配置
location /cgi-bin/yourcgi {include fastcgi_params;fastcgi_pass unix:/var/run/nginx/fcgiwrap.socket;fastcgi_param SCRIPT_FILENAME /path/to/your/cgi/file;# 继续传递其他参数...
}
解决selinux问题
在这一步后,nginx对cgi的访问仍然会被selinux拦截,因此还需要放行访问。请按如下步骤操作
- 创建审计规则文件夹
sudo mkdir /etc/selinux/audit2allow
cd /etc/selinux/audit2allow
- 访问目标cgi路径,被拒绝访问
- 查看审计拦截情况
sudo cat /var/log/audit/audit.log | grep nginx | grep denied
输出示例如下
type=AVC msg=audit(1699720883.997:1431781): avc: denied { connectto } for pid=2205472 comm="nginx" path="/var/run/nginx/fcgiwrap.socket" scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:system_r:unconfined_service_t:s0 tclass=unix_stream_socket permissive=0
- 基于此创建放行规则
sudo cat /var/log/audit/audit.log | grep nginx | grep denied | audit2allow -M allow_nginx_proxy_fcgiwrap
正常情况下输出:
******************** IMPORTANT ***********************
To make this policy package active, execute:semodule -i allow_nginx_proxy_fcgiwrap.pp
- 加载放行规则
sudo semodule -i allow_nginx_proxy_fcgiwrap.pp
- 检查是否能正常访问cgi,如不行,重复执行2~6直至成功访问。
- 大功告成!