Apache 2.2 + mod_fcgid + suexec [UNGELÖST]

Apache, Lighttpd, nginx, Cherokee
schnere
Posts: 64
Joined: 2006-08-15 17:28

Apache 2.2 + mod_fcgid + suexec [UNGELÖST]

Post by schnere » 2008-11-16 19:28

Hallo!

Hab grad Apache2.2 inkl. mod_fcgid sowie Suexec auf einem Testserver installiert. Komm einfach nicht mehr weiter... HTML-Dateien kann ich aufrufen, PHP-Dateien geben einen 503: Service temporarly unavailabel...

error.log

Code: Select all

[Sun Nov 16 19:11:38 2008] [debug] arch/unix/fcgid_proc_unix.c(491): (111)Connection refused: mod_fcgid: can't connect unix domain socket: /var/lib/apache2/fcgid/sock/5297.10
[Sun Nov 16 19:11:39 2008] [debug] arch/unix/fcgid_proc_unix.c(491): (111)Connection refused: mod_fcgid: can't connect unix domain socket: /var/lib/apache2/fcgid/sock/5297.11
[Sun Nov 16 19:11:40 2008] [debug] arch/unix/fcgid_proc_unix.c(491): (111)Connection refused: mod_fcgid: can't connect unix domain socket: /var/lib/apache2/fcgid/sock/5297.12
[Sun Nov 16 19:11:51 2008] [debug] arch/unix/fcgid_proc_unix.c(491): (111)Connection refused: mod_fcgid: can't connect unix domain socket: /var/lib/apache2/fcgid/sock/5297.13
[Sun Nov 16 19:11:52 2008] [debug] arch/unix/fcgid_proc_unix.c(491): (111)Connection refused: mod_fcgid: can't connect unix domain socket: /var/lib/apache2/fcgid/sock/5297.14
[Sun Nov 16 19:11:55 2008] [debug] arch/unix/fcgid_proc_unix.c(491): (111)Connection refused: mod_fcgid: can't connect unix domain socket: /var/lib/apache2/fcgid/sock/5297.15
[Sun Nov 16 19:11:56 2008] [debug] arch/unix/fcgid_proc_unix.c(491): (111)Connection refused: mod_fcgid: can't connect unix domain socket: /var/lib/apache2/fcgid/sock/5297.16
[Sun Nov 16 19:12:03 2008] [debug] arch/unix/fcgid_proc_unix.c(491): (111)Connection refused: mod_fcgid: can't connect unix domain socket: /var/lib/apache2/fcgid/sock/5297.17
[Sun Nov 16 19:12:04 2008] [debug] arch/unix/fcgid_proc_unix.c(491): (111)Connection refused: mod_fcgid: can't connect unix domain socket: /var/lib/apache2/fcgid/sock/5297.18
[Sun Nov 16 19:12:04 2008] [warn] mod_fcgid: can't apply process slot for /var/www/testsite/htdocs/bak/index.php


Ich denk mal, da funktioniert was mit suexec nicht so ganz:

Der user sollte "testuser" und nicht "www-data" sein??

Code: Select all

ls -l /var/lib/apache2/fcgid/sock/
insgesamt 0
srwx------ 1 www-data www-data 0 2008-11-16 19:23 5297.23
srwx------ 1 www-data www-data 0 2008-11-16 19:23 5297.24


Code: Select all

cat /etc/apache2/sites-available/testsite.conf
<VirtualHost 192.168.2.70:80>
        SuexecUserGroup testuser testgroup
        AddHandler fcgid-script .php

        DocumentRoot "/var/www/testsite/htdocs/"
        DirectoryIndex index.php index.html index.htm

        <Directory "/var/www/testsite/htdocs/">
                FCGIWrapper /var/www/testsite/php-fcgi/php-fcgi-starter .php
                #FCGIWrapper /var/www/testsite/php-fcgi/php5-fcgi .php
                Options Indexes FollowSymLinks MultiViews +ExecCGI
                AllowOverride None
                Order allow,deny
                Allow from all
        </Directory>

        ErrorLog /var/www/testsite/log/error.log
        LogLevel debug
        CustomLog /var/www/testsite/log/access.log combined
        ServerSignature On
</VirtualHost>


In die suexec.log kommt nur mehr was rein, wenn ich zB als FCGIWrapper /usr/bin/php5-cgi .php nehmen, also ist sie schreibbar...

Code: Select all

cat /etc/apache2/mods-enabled/fcgid.conf
<IfModule mod_fcgid.c>
  AddHandler fcgid-script .php
  SocketPath /var/lib/apache2/fcgid/sock
  IPCConnectTimeout 60
  IPCCommTimeout 120
</IfModule>


Hat jemand eine Ahnung woran das liegen kann?


MfG schnere
Last edited by schnere on 2008-11-17 17:23, edited 1 time in total.

Roger Wilco
Administrator
Administrator
Posts: 6001
Joined: 2004-05-23 12:53

Re: Apache 2.2 + mod_fcgid + suexec

Post by Roger Wilco » 2008-11-16 19:42

schnere wrote:Der user sollte "testuser" und nicht "www-data" sein??

Nein, das stimmt schon so.

schnere wrote:In die suexec.log kommt nur mehr was rein, wenn ich zB als FCGIWrapper /usr/bin/php5-cgi .php nehmen, also ist sie schreibbar...

Welchen Inhalt hat /var/www/testsite/php-fcgi/php-fcgi-starter und welche Rechte sind auf die Datei gesetzt?

schnere
Posts: 64
Joined: 2006-08-15 17:28

Re: Apache 2.2 + mod_fcgid + suexec

Post by schnere » 2008-11-16 19:57

Hi!

Roger Wilco wrote:Welchen Inhalt hat /var/www/testsite/php-fcgi/php-fcgi-starter und welche Rechte sind auf die Datei gesetzt?


Code: Select all

cat php-fcgi-starter
#!/bin/sh
PHPRC="/var/www/testsite/conf/"
#PHPRC="/etc/php5/cgi/"
export PHPRC
#PHP_FCGI_CHILDREN=3
#export PHP_FCGI_CHILDREN
exec /usr/bin/php5-cgi


Code: Select all

ls -l php-fcgi-starter
-rwxr-x--- 1 testuser testgroup 146 2008-11-16 18:57 php-fcgi-starter


Code: Select all

lsattr php-fcgi-starter
----i------------- php-fcgi-starter


Wenn ich ein Skript mit ./php-fcgi-start < ../htdocs/test.php aufrufe, funktioniert es....

MfG

schnere
Posts: 64
Joined: 2006-08-15 17:28

Re: Apache 2.2 + mod_fcgid + suexec

Post by schnere » 2008-11-17 13:35

Mhm, suexec gibt irgendwie nur einen Fehler aus, wenns wirklich schlimme Probleme gibt:

Code: Select all

[2008-11-17 13:12:07]: uid: (2001/testuser) gid: (2001/2001) cmd: index.php
[2008-11-17 13:12:07]: file is writable by others: (/var/www/testsite/htdocs/index.php)

Kann ich da evtl. irgendwie einen Debug-Mode einstellen?

Sonst bin ich auch nicht wirklich weiter gekommen.

MfG

dotme
Posts: 150
Joined: 2004-12-15 16:48

Re: Apache 2.2 + mod_fcgid + suexec

Post by dotme » 2008-11-17 13:45

Verfolge mal alle Komponenten des Pfades "/var/lib/apache2/fcgid/sock/", wo die Sockets angelegt werden, ob der User "www-data" bis in das Verzeichnis wechseln darf (eXecute-bit).

:evil: Ach ist ein "Connection refused" und kein "Permission denied". Dürfte also eher was anderes sein.

schnere
Posts: 64
Joined: 2006-08-15 17:28

Re: Apache 2.2 + mod_fcgid + suexec

Post by schnere » 2008-11-17 14:25

mhm, ja der User www-data kommt ins Verzeichnis "/var/lib/apache2/fcgid/sock/".
Habs auch ausprobiert mit "su -s /bin/bash www-data" und "cd /var/lib/apache2/fcgid/sock/".

schnere
Posts: 64
Joined: 2006-08-15 17:28

Re: Apache 2.2 + mod_fcgid + suexec

Post by schnere » 2008-11-17 16:58

Okey, ich weiß nicht, ob ich jetzt besser dran bin oder eher schlechter ;)

Ich bekomm jetzt einen 403er - forbidden


ich hab einfach die Zeile

Code: Select all

Options Indexes FollowSymLinks MultiViews +ExecCGI



so abgeändert:

Code: Select all

Options +ExecCGI Indexes FollowSymLinks MultiViews


also einfach das ExecCGI an die erste Stelle gegeben.

In den Error logs steht jetzt nichts mehr, und in der access.log eben der 403er.


MfG

Roger Wilco
Administrator
Administrator
Posts: 6001
Joined: 2004-05-23 12:53

Re: Apache 2.2 + mod_fcgid + suexec

Post by Roger Wilco » 2008-11-17 21:35

schnere wrote:

Code: Select all

Options +ExecCGI Indexes FollowSymLinks MultiViews

Ich würde das + einfach weglassen. Das ist in diesem Kontext nutzlos.
schnere wrote:In den Error logs steht jetzt nichts mehr, und in der access.log eben der 403er.

Ja, die Datei darf von deinem Apache httpd ja auch nicht gelesen werden.
Kleiner Tipp: Rechte für 'others' setzen oder den Apache httpd in die entsprechende Gruppe hinzufügen.

schnere
Posts: 64
Joined: 2006-08-15 17:28

Re: Apache 2.2 + mod_fcgid + suexec [UNGELÖST]

Post by schnere » 2008-11-17 21:45

Okay, + ist wieder heraußen, jetzt bekomm ich wieder den 503: Service temporarly unavailabel...,
wie vorhin. Und bin wieder mal kein Stück weiter :(

Weiß echt nicht mehr, was ich noch alles probieren soll. Kann das denn sooo schwer sein?