重启Nginx出现bind() to 0.0.0.0:8088 failed (13: Permission denied)

首先声明：如果不使用SELinux则可以跳过本文章。

在ContOS 7上安装了Nginx服务，为了项目需要必须修改Nginx的默认80端口为8088,修改配置文件后重启Nginx服务，查看日志报以下错误：

[emerg] 9011#0: bind() to 0.0.0.0:8088 failed (13: Permission denied)

权限被拒绝，开始以为是端口被别的程序占用了，查看活动端口然而没有程序使用此端口，网上搜索说是需要root权限，可我执行的是root用户啊，这就挺郁闷的,后来还是给力的google给了答案，是因为selinux默认只允许80,81,443,8008,8009,8443,9000用作HTTP端口使用

要查看selinux允许的http端口必须使用semanage命令，下面首先安装semanage命令工具

在安装semanage工具之前，我们先安装一个tab键补齐二级命令功能工具bash-completion：

yum -y install bash-completion

直接通过yum安装发现semanage发现没有此包：

# yum install semange

...

NO package semanage available.

那先查找semanage命令是哪个软件包提供此命令

# yum provides semanage

或者使用下面的命令：

# yum whatprovides /usr/sbin/semanage

我们发现需要安装包policycoreutils-Python才能使用semanage命令

现在我们通过yum安装此软件包，可以使用tab补齐：

# yum install policycoreutils-python.x86_64

现在终于可以使用semanage了，我们先查看下http允许访问的端口：

# semanage port -l | grep http_port_t

http_port_t                    tcp      80, 81, 443, 488, 8008, 8009, 8443, 9000

然后我们将需要使用的端口8088加入到端口列表中：

# semanage port -a -t http_port_t -p tcp 8088

# semanage port -l | grep http_port_t

http_port_t                    tcp      8088, 80, 81, 443, 488, 8008, 8009, 8443, 9000

好了现在nginx可以使用8088端口了

selinux的日志在/var/log/audit/audit.log

但此文件记录的信息不够明显，很难看出来，我们可以借助audit2why和audit2allow工具查看，这两个工具也是policycoreutils-python软件包提供的。

# audit2why < /var/log/audit/audit.log

收集selinux工具的日志，还有另外一个工具setroubleshoot，对应的软件包为setroubleshoot-server