March 8, 2026

403 Forbidden: Rechte und SELinux als Fehlerquelle verstehen

Der HTTP-Statuscode 403 Forbidden weist darauf hin, dass der Webserver die Anfrage eines Clients verstanden hat, die angeforderte Ressource aber nicht ausliefert. Häufige Ursachen sind fehlerhafte Dateisystemrechte, falsche Webserver-Konfigurationen oder restriktive Sicherheitsrichtlinien wie SELinux. Dieses Tutorial zeigt praxisnah, wie Einsteiger, IT-Studierende und Junior Network Engineers 403-Fehler erkennen, analysieren und beheben können.

Datei- und Verzeichnisrechte prüfen

Der häufigste Grund für 403-Fehler sind unzureichende Dateisystemrechte. Webserver wie Nginx oder Apache benötigen Lese- und gegebenenfalls Ausführungsrechte auf die Dateien und Verzeichnisse.

Standardrechte für Webserver

  • Verzeichnisse: 
    chmod 755 /var/www/html
  • Dateien: 
    chmod 644 /var/www/html/index.html
  • Besitzrechte sicherstellen: 
    chown -R www-data:www-data /var/www/html

Die Benutzergruppe und der Besitzer hängen vom eingesetzten Webserver ab (z. B. www-data für Nginx/Apache unter Debian/Ubuntu).

Webserver-Konfiguration prüfen

Auch falsche Konfigurationen in Nginx oder Apache können zu 403-Fehlern führen.

Nginx

server {
    listen 80;
    server_name example.com;
    root /var/www/html;

location / {
    index index.php index.html;
    try_files $uri $uri/ =404;
}


}




Wichtig ist, dass root auf das richtige Verzeichnis zeigt und try_files korrekt gesetzt ist.


Apache


<Directory /var/www/html>
    Options Indexes FollowSymLinks
    AllowOverride All
    Require all granted
</Directory>



Fehlt Require all granted, verweigert Apache standardmäßig den Zugriff.


SELinux als mögliche Fehlerquelle


Unter Distributionen wie CentOS, RHEL oder Fedora kann SELinux restriktive Zugriffskontrollen verursachen.


SELinux Status prüfen


getenforce



Ergebnis:


    

  • Enforcing: SELinux aktiv, strikte Policies
    • 

  • Permissive: Protokolliert nur, blockiert aber nicht
    • 

  • Disabled: SELinux deaktiviert
    • 



Fehler in den SELinux Logs erkennen


sudo ausearch -m avc -ts recent
sudo tail -f /var/log/audit/audit.log



Einträge mit denied deuten auf blockierte Zugriffe hin.


Kontext der Dateien prüfen


ls -Z /var/www/html



Dateien und Verzeichnisse benötigen in der Regel den Kontext httpd_sys_content_t.


Kontext korrigieren


sudo chcon -R -t httpd_sys_content_t /var/www/html
sudo restorecon -R /var/www/html



Damit werden die richtigen SELinux-Kontexte gesetzt, sodass der Webserver wieder auf die Dateien zugreifen kann.


Access Logs analysieren


Die Webserver-Logs geben Hinweise auf die Ursache von 403-Fehlern.


Nginx


sudo tail -f /var/log/nginx/access.log
sudo tail -f /var/log/nginx/error.log



Apache


sudo tail -f /var/log/apache2/access.log
sudo tail -f /var/log/apache2/error.log



Suchen Sie nach Einträgen mit Statuscode 403, um festzustellen, welche Ressource verweigert wurde.


Zusammenfassung der Vorgehensweise


    

  • Prüfen Sie Datei- und Verzeichnisrechte.
    • 

  • Kontrollieren Sie Webserver-Konfiguration auf korrekte root und Require-Direktiven.
    • 

  • Analysieren Sie SELinux-Status und Logs.
    • 

  • Setzen Sie bei Bedarf korrekte SELinux-Kontexte.
    • 

  • Verfolgen Sie Zugriffe in Access- und Error-Logs.
    • 



403 Forbidden ist häufig ein Zusammenspiel von Berechtigungen, Konfiguration und Sicherheitsrichtlinien. Mit systematischem Vorgehen lassen sich die Fehlerquellen schnell identifizieren und beheben, wodurch Webserver stabil und sicher betrieben werden können.


Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3


Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.


Meine Leistungen umfassen:


    

  • 

    Professionelle Konfiguration von Routern und Switches
    

    • 

  • 

    Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen
    

    • 

  • 

    Erstellung von Topologien und Simulationen in Cisco Packet Tracer
    

    • 

  • 

    Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG
    

    • 

  • 

    Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible
    

    • 

  • 

    Erstellung von Skripten für wiederkehrende Netzwerkaufgaben
    

    • 

  • 

    Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege
    

    • 

  • 

    Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting
    

    • 



Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.

Related Articles

Cost-Aware Operations: Image Pull Policies, Cache und Bandbreite

Registry Mirror Setup: Pulls beschleunigen und Ausfälle überleben

Air-Gapped Deployments: Images, Dependencies und Updates offline managen

Compose Migration zu Swarm: Wann der Schritt Sinn macht

Compose Migration zu Kubernetes: Mapping von Services, Volumes, Secrets

Kubernetes vs. Compose: Betriebsaufwand, Resilienz und Komplexität

Multi-Host Networking ohne Kubernetes: Optionen und Grenzen

Security Posture Reviews: Threat Modeling für Compose Stacks

Incident Response für Container: Forensik, Artefakte, Evidence

Observability: OpenTelemetry Collector in Compose integrieren

Debugging ohne Shell: Distroless Container in Produktion analysieren

Metrics Pipeline: Prometheus + exporters für Container und Host