Rocky Linux 8 下 Nginx 安装与生产级配置全指南
1. 项目概述为什么在 Rocky Linux 8 上装 Nginx 不是“照着命令敲一遍”就完事Nginx、Rocky Linux 8、dnf、systemctl、firewall-cmd——这五个词凑在一起不是一道考题而是一张真实生产环境的入场券。我第一次在客户现场部署时就是被“sudo systemctl start nginx启动失败”卡了整整三小时。日志里只有一行Failed to start nginx.service: Unit not found.翻遍所有教程都写着“安装完就能用”没人告诉你 Rocky Linux 8 默认压根没启用 EPEL 仓库而官方 baseos AppStream 里提供的 nginx 版本是 1.14.1连stream模块都不带更别说反向代理 WebSocket 或 gRPC 这些现代后端刚需功能了。这不是版本新旧的问题是能力缺失——就像给你一把没开刃的刀说明书还说“切菜如飞”。很多人搜“nginx安装”“dnf安装nginx”以为只是执行dnf install nginx就能收工。但实际操作中你得先判断这是要跑静态前端做 API 网关还是扛住每秒 5000 请求的高并发入口不同目标安装路径天差地别。比如用 dnf 装的包管理版配置文件在/etc/nginx/日志默认不记录真实客户端 IP因为缺real_ip_header和set_real_ip_from配置而自己编译的版本路径全由你定但得手动处理 OpenSSL、zlib、PCRE 的依赖链稍有不慎就编译报错undefined reference to SSL_CTX_set_alpn_select_cb。更隐蔽的是 firewall-cmd——Rocky Linux 8 默认用 firewalld但firewall-cmd --permanent --add-servicehttp这条命令只放行了 80 端口如果你配了 8080 做健康检查或者开了 443 做 HTTPS它照样拦你而且不会报错只会让你的 curl 请求永远卡在Connection timed out。还有个坑是 systemctl 的“假成功”。systemctl status nginx显示 active (running)但访问页面却是 502 Bad Gateway。查进程发现 nginx master 进程在worker 却全挂了——因为你在/etc/nginx/conf.d/default.conf里写了proxy_pass http://127.0.0.1:3000;而 Node.js 服务根本没起来。systemctl 只管 master 进程是否存活不管 downstream 是否可用。这种“表面正常、实际瘫痪”的状态在灰度发布时最致命。所以这篇不是教你怎么打命令而是带你把 Rocky Linux 8 当成一台需要亲手调校的精密仪器从仓库源怎么选、dnf 的 transaction check 怎么看、systemctl 的 unit 文件哪几行不能动、firewall-cmd 的 zone 机制怎么匹配网卡、到 nginx 启动时的 7 个关键检查点全部拆开揉碎讲透。适合两类人一是刚从 Ubuntu 转来、还在用apt思维想问题的运维新手二是已经会装但总在上线后出诡异问题的中级工程师。你不需要背命令只需要知道每个动作背后系统到底在做什么。2. 安装前的核心准备与环境诊断2.1 确认 Rocky Linux 8 的真实版本与内核状态Rocky Linux 8 有多个次要版本8.6、8.8、8.10它们的软件包基线差异极大。比如 8.6 的 dnf 默认使用 Python 3.6而 8.10 已升级到 Python 3.9某些自定义 repo 的元数据格式不兼容会导致dnf makecache报错Failed to synchronize cache for repo epel。所以第一步不是装 nginx而是摸清底牌# 查看完整发行版信息注意第二行的 Platform ID $ cat /etc/os-release NAMERocky Linux VERSION8.10 (Green Obsidian) IDrocky ID_LIKErhel centos fedora PLATFORM_IDplatform:el8 PRETTY_NAMERocky Linux 8.10 (Green Obsidian) ANSI_COLOR0;32 CPE_NAMEcpe:/o:rocky:rocky:8::baseos HOME_URLhttps://rockylinux.org/ BUG_REPORT_URLhttps://bugs.rockylinux.org/ ROCKY_SUPPORT_URLhttps://rockylinux.org/support ROCKY_VERSION_ID8.10 ROCKY_PLATFORM_IDplatform:el8 # 查看内核版本关键影响 eBPF、io_uring 等高级特性支持 $ uname -r 4.18.0-553.16.1.el8_10.x86_64 # 检查 SELinux 状态Rocky 8 默认 enforcing但 nginx 相关端口可能被拦截 $ sestatus SELinux status: enabled SELinuxfs mount: /sys/fs/selinux SELinux root directory: /etc/selinux Loaded policy name: targeted Current mode: enforcing Mode from config file: enforcing Policy MLS status: enabled Policy deny_unknown status: allowed Max kernel policy version: 33提示如果Current mode是enforcing后续配置 nginx 监听非标准端口如 8080时必须执行semanage port -a -t http_port_t -p tcp 8080否则即使 firewall-cmd 放行了SELinux 也会静默拒绝连接。这个细节 90% 的教程都跳过导致你反复检查防火墙却找不到原因。2.2 仓库源诊断EPEL 是必须项但不是唯一选择Rocky Linux 8 的 AppStream 仓库里 nginx 版本固定为 1.14.1截至 2024 年中它缺少http_v2_moduleHTTP/2、http_geoip2_moduleIP 归属分析、http_perl_module嵌入 Perl 脚本等关键模块。而 EPELExtra Packages for Enterprise Linux仓库提供的是 1.20.1已支持 HTTP/2 和动态模块加载。但 EPEL 不是默认启用的必须手动开启# 检查当前启用的仓库重点关注 epel 和 epel-modular $ dnf repolist --enabled | grep -E (epel|appstream) appstream Rocky Linux 8 - AppStream baseos Rocky Linux 8 - BaseOS epel Extra Packages for Enterprise Linux 8 - x86_64 epel-modular Extra Packages for Enterprise Linux 8 - Modular - x86_64 # 如果没有 epel执行安装注意rockylinux-release 包必须先更新 $ sudo dnf update -y rockylinux-release $ sudo dnf install -y epel-release但这里有个隐藏陷阱EPEL 8 的nginx包名是nginx而 EPEL 9 的包名是nginx-all-modules。如果你误用了 EPEL 9 的 repo 配置dnf install nginx会报错No match for argument: nginx。验证方法很简单# 查看 epel 仓库中 nginx 的真实包名和版本 $ dnf --disablerepo* --enablerepoepel list available nginx Last metadata expiration check: 0:02:15 ago on Thu 25 Apr 2024 03:14:22 PM CST. Available Packages nginx.x86_64 1:1.20.1-14.el8 epel看到1:1.20.1-14.el8就对了。如果显示nginx-all-modules或版本号带el9说明仓库源配错了必须删掉/etc/yum.repos.d/epel.repo里错误的[epel]段重新安装epel-release。2.3 系统资源预检内存、磁盘、端口占用Nginx 启动失败的第二大原因是资源冲突。Rocky Linux 8 默认安装的httpdApache服务常与 nginx 争抢 80 端口而dnf install nginx不会自动停掉 httpd。必须手动清理# 检查 80 端口谁在用-t 表示 TCP-n 表示数字端口-p 表示显示进程 $ sudo ss -tlnp | grep :80 LISTEN 0 128 *:80 *:* users:((httpd,pid1234,fd4),(httpd,pid1233,fd4)) # 如果是 httpd永久禁用注意不是 stop是 disable $ sudo systemctl disable httpd --now Removed /etc/systemd/system/multi-user.target.wants/httpd.service. # 检查磁盘空间nginx 日志和缓存会持续增长 $ df -h /var/log Filesystem Size Used Avail Use% Mounted on /dev/mapper/rhel-root 50G 32G 19G 64% / # 检查可用内存worker_processes 设为 auto 时每个 worker 默认占 10MB $ free -h total used free shared buff/cache available Mem: 15G 2.1G 8.2G 128M 4.9G 12G Swap: 2G 0B 2G注意free -h中的available列才是真实可用内存。如果它低于 1G建议在/etc/nginx/nginx.conf中将worker_processes显式设为1避免 fork 大量 worker 导致 OOM Killer 杀掉进程。这个参数不写默认是auto即 CPU 核心数在 16 核服务器上会起 16 个 worker每个吃 10MB光进程就占 160MB还没算缓存。2.4 用户与权限规划别让 nginx 以 root 身份读你的私钥Rocky Linux 8 的 nginx 包默认以nginx用户运行但它的主配置/etc/nginx/nginx.conf里user指令被注释掉了# /etc/nginx/nginx.conf # user nginx; worker_processes auto; ...这意味着 nginx master 进程以 root 启动必须的为了绑定 80/443 端口但 worker 进程会降权为nginx用户。问题来了如果你把 SSL 私钥放在/root/myapp.keyworker 进程根本读不了启动时会报错open() /root/myapp.key failed (13: Permission denied)。正确做法是将私钥移到/etc/nginx/ssl/该目录默认属主为root:nginx权限750执行sudo chown root:nginx /etc/nginx/ssl/myapp.key执行sudo chmod 640 /etc/nginx/ssl/myapp.key在 server 块中引用ssl_certificate_key /etc/nginx/ssl/myapp.key;这个权限链必须闭环nginx用户属于nginx组 →nginx组对/etc/nginx/ssl/有读权限 →nginx组对.key文件有读权限。漏掉任何一环HTTPS 就起不来。我见过太多人把私钥放/home/deploy/ssl/结果折腾半天才发现 SELinux 的httpd_can_network_connect布尔值没开或者目录的user_home_t上下文不匹配。3. 三种安装路径深度对比与实操步骤3.1 方案一dnf 安装推荐给 95% 的生产场景dnf 安装不是最“酷”的方案但它是 Rocky Linux 8 生态里最稳的。它把 nginx 编译、依赖、服务注册、日志轮转全部打包进 RPM你拿到的是一个经过 Red Hat QA 测试的二进制。核心优势在于可审计、可回滚、与系统更新协同。比如dnf update时nginx 会自动升级到 EPEL 提供的最新安全补丁版无需手动下载源码编译。完整实操步骤含所有避坑点# 步骤 1更新系统并启用 EPEL前面已讲此处强调顺序 $ sudo dnf update -y rockylinux-release # 必须先更新 release 包 $ sudo dnf install -y epel-release # 步骤 2安装 nginx注意加 --enablerepoepel 强制指定仓库 $ sudo dnf install -y --enablerepoepel nginx # 步骤 3验证安装检查二进制路径、版本、模块 $ which nginx /usr/sbin/nginx $ nginx -v nginx version: nginx/1.20.1 $ nginx -V 21 | grep -o with-http_v2_module with-http_v2_module # 确认 HTTP/2 支持 # 步骤 4初始化配置Rocky 8 的 nginx 默认不启动需手动 enable $ sudo systemctl enable nginx --now # --now enable start Created symlink /etc/systemd/system/multi-user.target.wants/nginx.service → /usr/lib/systemd/system/nginx.service. # 步骤 5检查状态重点看 Active line 和 Loaded line $ sudo systemctl status nginx ● nginx.service - The nginx HTTP and reverse proxy server Loaded: loaded (/usr/lib/systemd/system/nginx.service; enabled; vendor preset: disabled) Active: active (running) since Thu 2024-04-25 15:22:33 CST; 1min 23s ago Docs: man:nginx(8) Process: 1234 ExecStartPre/usr/sbin/nginx -t (codeexited, status0/SUCCESS) Process: 1235 ExecStart/usr/sbin/nginx (codeexited, status0/SUCCESS) Main PID: 1236 (nginx) Tasks: 5 (limit: 23590) Memory: 12.3M CGroup: /system.slice/nginx.service ├─1236 nginx: master process /usr/sbin/nginx └─1237 nginx: worker process关键观察点Loaded行显示enabled证明开机自启已生效Active行是active (running)且Main PID下有master和worker进程。如果只有 master 没有 worker说明配置语法错误ExecStartPre的nginx -t检查失败了但 systemd 仍会标记为 running这是个设计缺陷。此时必须看journalctl -u nginx --since 1 hour ago查具体错误。dnf 安装后的目录结构解析路径用途所有权关键说明/usr/sbin/nginx主二进制文件root:root不可写升级时被覆盖/etc/nginx/全局配置目录root:rootnginx.conf是入口conf.d/存虚拟主机/etc/nginx/nginx.conf主配置文件root:rootinclude /etc/nginx/conf.d/*.conf;是关键/var/log/nginx/日志目录nginx:nginxaccess.log和error.log默认在此/usr/share/nginx/html/默认网页根目录root:rootindex.html在此权限 644这个结构意味着你修改配置必须用sudo日志轮转由logrotate配置在/etc/logrotate.d/nginx自动处理网页文件默认不可写——安全但不够灵活。如果你需要让 CI/CD 自动部署前端到/usr/share/nginx/html/必须提前sudo chown deploy:nginx /usr/share/nginx/html/并sudo chmod 775 /usr/share/nginx/html/否则部署脚本会因权限拒绝失败。3.2 方案二源码编译安装适合需要定制模块或最新版的场景当你需要nginx-rtmp-module直播流或nginx-http-shibboleth-module单点登录集成或者必须用上 1.25.3 的quic实验性支持时dnf 就无能为力了。源码编译给了你完全控制权但代价是维护成本陡增。编译前的依赖准备Rocky 8 特有Rocky Linux 8 的开发工具链叫Development Tools但它不包含 PCRE正则库和 OpenSSL 开发头文件。必须单独装# 安装基础编译工具 $ sudo dnf groupinstall -y Development Tools # 安装 nginx 编译必需的开发库注意openssl-devel 不是 openssl $ sudo dnf install -y pcre-devel openssl-devel zlib-devel # 验证头文件是否存在编译时 configure 会检查 $ ls /usr/include/openssl/ssl.h /usr/include/pcre.h /usr/include/zlib.h /usr/include/openssl/ssl.h /usr/include/pcre.h /usr/include/zlib.h下载与编译全流程以 nginx 1.25.3 为例# 创建工作目录并下载官网地址https://nginx.org/download/ $ mkdir ~/nginx-build cd ~/nginx-build $ wget https://nginx.org/download/nginx-1.25.3.tar.gz $ tar -zxvf nginx-1.25.3.tar.gz $ cd nginx-1.25.3 # 执行 configure关键参数解释见下表 $ ./configure \ --prefix/opt/nginx-1.25.3 \ --sbin-path/opt/nginx-1.25.3/sbin/nginx \ --conf-path/opt/nginx-1.25.3/conf/nginx.conf \ --error-log-path/opt/nginx-1.25.3/logs/error.log \ --http-log-path/opt/nginx-1.25.3/logs/access.log \ --pid-path/opt/nginx-1.25.3/run/nginx.pid \ --lock-path/opt/nginx-1.25.3/run/nginx.lock \ --with-http_ssl_module \ --with-http_v2_module \ --with-http_realip_module \ --with-http_stub_status_module \ --with-pcre \ --with-zlib \ --with-openssl/usr/src/openssl-1.1.1w # 如果要用自定义 OpenSSL需指定路径 # 编译-j$(nproc) 用满所有 CPU 核心 $ make -j$(nproc) # 安装不加 sudo 会报权限错 $ sudo make installconfigure 参数深度解读参数作用Rocky 8 注意事项--prefix指定安装根目录强烈建议不用/usr/local因为 Rocky 8 的dnf会忽略该目录导致未来冲突。用/opt/nginx-x.x.x更清晰--sbin-pathnginx 二进制路径必须与--prefix一致否则nginx -t会找不到配置文件--conf-path主配置文件路径如果不指定configure 会默认用/usr/local/nginx/conf/nginx.conf容易和 dnf 版本混淆--with-http_ssl_module启用 HTTPSRocky 8 的openssl-devel必须已安装否则 configure 报错OpenSSL library is not found--with-http_v2_module启用 HTTP/2需要 OpenSSL 1.0.2Rocky 8.10 自带 1.1.1w满足要求--with-http_realip_module获取真实客户端 IP对接 CDN 或负载均衡必备否则$remote_addr总是 127.0.0.1编译完成后你得到的是一个完全独立的 nginx 实例。它不与系统服务集成需要自己写 systemd unit 文件# 创建 /etc/systemd/system/nginx-custom.service $ sudo tee /etc/systemd/system/nginx-custom.service EOF [Unit] DescriptionCustom nginx 1.25.3 Afternetwork.target [Service] Typeforking PIDFile/opt/nginx-1.25.3/run/nginx.pid ExecStartPre/opt/nginx-1.25.3/sbin/nginx -t -c /opt/nginx-1.25.3/conf/nginx.conf ExecStart/opt/nginx-1.25.3/sbin/nginx -c /opt/nginx-1.25.3/conf/nginx.conf ExecReload/bin/kill -s HUP $MAINPID ExecStop/bin/kill -s TERM $MAINPID Restarton-failure [Install] WantedBymulti-user.target EOF # 启用并启动 $ sudo systemctl daemon-reload $ sudo systemctl enable nginx-custom --now这个 unit 文件的关键是Typeforking因为 nginx master 会 fork worker以及ExecStartPre的配置检查——比 dnf 版本更严格确保每次 reload 都先验语法。3.3 方案三容器化安装Docker Rocky Linux 8 宿主机当你的 Rocky Linux 8 服务器要同时跑多个 nginx 实例比如 A 项目用 1.20B 项目用 1.25或者需要快速销毁重建环境时Docker 是最优解。它彻底隔离了依赖和配置但增加了网络和存储的复杂度。Docker 安装 nginx 的最小可行步骤# 确保 Docker 已在 Rocky 8 上安装Rocky 8.10 推荐用 dnf install dnf-plugins-core dnf config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo $ sudo dnf install -y dnf-plugins-core $ sudo dnf config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo $ sudo dnf install -y docker-ce docker-ce-cli containerd.io # 启动 Docker 服务 $ sudo systemctl enable docker --now # 拉取官方 nginx 镜像alpine 版本小但 musl libc 可能和某些模块不兼容debian 版本大但兼容性好 $ sudo docker pull nginx:1.25.3 # 运行容器关键-p 80:80 映射宿主机 80 到容器 80-v 挂载配置和网页目录 $ sudo docker run -d \ --name my-nginx \ -p 80:80 \ -p 443:443 \ -v /myapp/conf/nginx.conf:/etc/nginx/nginx.conf:ro \ -v /myapp/html:/usr/share/nginx/html:ro \ -v /myapp/logs:/var/log/nginx \ --restartunless-stopped \ nginx:1.25.3Rocky 8 宿主机上的特殊配置Docker 默认用iptables管理网络但 Rocky 8.10 的 firewalld 会与之冲突。必须让 firewalld “信任” Docker 的桥接网络# 创建 firewalld zone 专供 Docker 使用 $ sudo firewall-cmd --permanent --new-zonedocker $ sudo firewall-cmd --permanent --zonedocker --add-source172.17.0.0/16 $ sudo firewall-cmd --permanent --zonedocker --add-port80/tcp $ sudo firewall-cmd --permanent --zonedocker --add-port443/tcp $ sudo firewall-cmd --reload # 验证 Docker 容器的 IP 是否在允许范围内 $ sudo docker inspect my-nginx | grep IPAddress IPAddress: 172.17.0.2,这样172.17.0.2这个容器 IP 就能通过dockerzone 访问宿主机的 80/443 端口而不会被 firewalld 拦截。如果不做这步curl http://localhost会超时但curl http://172.17.0.2却能通——这就是典型的网络策略错位。4. 启动后必做的七项验证与配置加固4.1 验证 1systemctl 服务状态的深层解读systemctl status nginx的输出远不止active (running)四个字。你需要逐行解读$ sudo systemctl status nginx ● nginx.service - The nginx HTTP and reverse proxy server Loaded: loaded (/usr/lib/systemd/system/nginx.service; enabled; vendor preset: disabled) Active: active (running) since Thu 2024-04-25 15:22:33 CST; 1min 23s ago Docs: man:nginx(8) Process: 1234 ExecStartPre/usr/sbin/nginx -t (codeexited, status0/SUCCESS) Process: 1235 ExecStart/usr/sbin/nginx (codeexited, status0/SUCCESS) Main PID: 1236 (nginx) Tasks: 5 (limit: 23590) Memory: 12.3M CGroup: /system.slice/nginx.service ├─1236 nginx: master process /usr/sbin/nginx └─1237 nginx: worker processLoaded行的enabled表示开机自启已注册vendor preset: disabled是正常现象表示 Rocky Linux 官方未预设该服务为启用。Process行的ExecStartPre是nginx -t语法检查status0/SUCCESS说明配置无硬错误。如果这里失败Active行仍可能显示running但 worker 进程不会启动。Main PID下的nginx: master process和nginx: worker process必须同时存在。如果只有 master说明worker_processes设为0或配置里有daemon off;调试模式这在生产环境是严重错误。Tasks: 5表示当前有 5 个线程1 master 4 worker符合worker_processes auto;在 4 核机器上的预期。实操技巧用systemctl show nginx查看所有 unit 属性比如LimitNOFILE显示文件描述符限制默认 65536如果 nginx 要处理百万连接必须在这里调大# 创建 override 文件不改原 unit避免升级覆盖 $ sudo systemctl edit nginx # 在打开的编辑器中输入 [Service] LimitNOFILE1048576 # 保存退出后重载 $ sudo systemctl daemon-reload $ sudo systemctl restart nginx4.2 验证 2firewall-cmd 的端口放行是否真正生效firewall-cmd --permanent --add-servicehttp看似简单但它只对publiczone 生效。而 Rocky Linux 8 的网卡默认可能在trusted或internalzone。必须确认# 查看所有网卡所属 zone $ sudo firewall-cmd --get-active-zones public interfaces: eth0 # 查看 public zone 的具体规则 $ sudo firewall-cmd --zonepublic --list-all public (active) target: default icmp-block-inversion: no interfaces: eth0 sources: services: ssh dhcpv6-client http ports: protocols: forward: no masquerade: no forward-ports: source-ports: icmp-blocks: rich rules: # 如果 services 里没有 http手动添加 $ sudo firewall-cmd --permanent --zonepublic --add-servicehttp $ sudo firewall-cmd --reload但更可靠的做法是直接放行端口而非服务# 删除 service http改为精确端口控制 $ sudo firewall-cmd --permanent --zonepublic --remove-servicehttp $ sudo firewall-cmd --permanent --zonepublic --add-port80/tcp $ sudo firewall-cmd --permanent --zonepublic --add-port443/tcp $ sudo firewall-cmd --reload理由http服务在 firewalld 里定义为80/tcp但如果你的 nginx 监听8080--add-servicehttp就无效。而--add-port8080/tcp是绝对精准的。我在线上环境吃过亏客户要求所有流量走 8080我按教程加了http服务结果测试不通查了半小时才发现http服务只开 80。4.3 验证 3nginx 配置语法与逻辑双重检查nginx -t只检查语法不检查逻辑。比如你写了proxy_pass http://backend;但upstream backend { }根本没定义nginx -t会通过但启动时 worker 会崩溃。必须用-T参数输出完整展开配置# 输出所有 include 后的最终配置含注释 $ sudo nginx -T 2/dev/null | head -50 # 搜索关键逻辑点如 proxy_pass 是否指向有效 upstream $ sudo nginx -T 2/dev/null | grep -A5 location /api location /api { proxy_pass http://api_backend; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; } # 检查 api_backend 是否定义 $ sudo nginx -T 2/dev/null | grep -A10 upstream api_backend upstream api_backend { server 127.0.0.1:3000; }一个经典逻辑错误location /static和location ~ \.js$的优先级。Nginx 的location匹配规则是精确匹配 前缀匹配^~ 正则匹配~ 普通前缀匹配。如果你写了location /static { alias /var/www/static/; } location ~ \.js$ { add_header Content-Type application/javascript; }那么/static/app.js会匹配/static前缀匹配不会进入\.js$正则块导致Content-Type不生效。修复方法是给/static加^~location ^~ /static { alias /var/www/static/; }4.4 验证 4SELinux 策略的动态调试当curl http://localhost返回502 Bad Gateway但nginx -t通过、firewall-cmd 放行、后端服务也活着十有八九是 SELinux 拦截。Rocky Linux 8 的 SELinux 默认阻止 nginx 访问网络httpd_can_network_connect和读取非标准目录# 检查 SELinux 拒绝日志实时监控 $ sudo ausearch -m avc -ts recent | grep nginx # 如果看到类似输出说明被拒 typeAVC msgaudit(1714032153.123:456): avc: denied { name_connect } for pid1237 commnginx dest3000 scontextsystem_u:system_r:httpd_t:s0 tcontextsystem_u:object_r:port_t:s0 tclasstcp_socket permissive0 # 临时开启网络连接生产环境慎用仅用于诊断 $ sudo setsebool -P httpd_can_network_connect 1 # 如果 nginx 读取 /home/user/app.conf 被拒恢复上下文 $ sudo restorecon -Rv /home/user/app.conf实操心得不要一上来就setenforce 0关 SELinux。用ausearch定位具体被拒行为再用setsebool或semanage精准授权。-P参数表示永久生效重启不失效。4.5 验证 5日志级别与错误捕获能力Rocky Linux 8 的 dnf nginx 默认error_log级别是warn这意味着info、debug级别的请求细节全被过滤。线上排障时你可能需要看到client sent invalid request while reading client request line这类关键提示它只在info级别出现# 修改 /etc/nginx/nginx.conf 的 error_log 行 error_log /var/log/nginx/error.log info; # 重启后用 curl 触发一个 400 错误比如发送非法 header $ curl -H Host: ; http://localhost # 查看 error.log 是否记录了详细原因 $ sudo tail -n 5 /var/log/nginx/error.log 2024/04/25 15:30:45 [info] 1237#0: *1 client sent invalid request while reading client request line, client: 127.0.0.1, server: localhost, request: GET / HTTP/1.1, host: ;日志格式增强默认的log_format combined不记录上游响应时间这对性能分析是硬伤。在http块里加
