RootForum Community

Resources for System-Administrators
https://www.rootforum.org/forum/

Apache 2.2 + mod_fcgid + suexec [UNGELÖST]

https://www.rootforum.org/forum/viewtopic.php?t=49667

Page 1 of 1

Apache 2.2 + mod_fcgid + suexec [UNGELÖST]

Posted: 2008-11-16 19:28
by schnere
Hallo!

Hab grad Apache2.2 inkl. mod_fcgid sowie Suexec auf einem Testserver installiert. Komm einfach nicht mehr weiter... HTML-Dateien kann ich aufrufen, PHP-Dateien geben einen 503: Service temporarly unavailabel...

error.log

Code: Select all

[Sun Nov 16 19:11:38 2008] [debug] arch/unix/fcgid_proc_unix.c(491): (111)Connection refused: mod_fcgid: can't connect unix domain socket: /var/lib/apache2/fcgid/sock/5297.10
[Sun Nov 16 19:11:39 2008] [debug] arch/unix/fcgid_proc_unix.c(491): (111)Connection refused: mod_fcgid: can't connect unix domain socket: /var/lib/apache2/fcgid/sock/5297.11
[Sun Nov 16 19:11:40 2008] [debug] arch/unix/fcgid_proc_unix.c(491): (111)Connection refused: mod_fcgid: can't connect unix domain socket: /var/lib/apache2/fcgid/sock/5297.12
[Sun Nov 16 19:11:51 2008] [debug] arch/unix/fcgid_proc_unix.c(491): (111)Connection refused: mod_fcgid: can't connect unix domain socket: /var/lib/apache2/fcgid/sock/5297.13
[Sun Nov 16 19:11:52 2008] [debug] arch/unix/fcgid_proc_unix.c(491): (111)Connection refused: mod_fcgid: can't connect unix domain socket: /var/lib/apache2/fcgid/sock/5297.14
[Sun Nov 16 19:11:55 2008] [debug] arch/unix/fcgid_proc_unix.c(491): (111)Connection refused: mod_fcgid: can't connect unix domain socket: /var/lib/apache2/fcgid/sock/5297.15
[Sun Nov 16 19:11:56 2008] [debug] arch/unix/fcgid_proc_unix.c(491): (111)Connection refused: mod_fcgid: can't connect unix domain socket: /var/lib/apache2/fcgid/sock/5297.16
[Sun Nov 16 19:12:03 2008] [debug] arch/unix/fcgid_proc_unix.c(491): (111)Connection refused: mod_fcgid: can't connect unix domain socket: /var/lib/apache2/fcgid/sock/5297.17
[Sun Nov 16 19:12:04 2008] [debug] arch/unix/fcgid_proc_unix.c(491): (111)Connection refused: mod_fcgid: can't connect unix domain socket: /var/lib/apache2/fcgid/sock/5297.18
[Sun Nov 16 19:12:04 2008] [warn] mod_fcgid: can't apply process slot for /var/www/testsite/htdocs/bak/index.php
Ich denk mal, da funktioniert was mit suexec nicht so ganz:

Der user sollte "testuser" und nicht "www-data" sein??

Code: Select all

ls -l /var/lib/apache2/fcgid/sock/
insgesamt 0
srwx------ 1 www-data www-data 0 2008-11-16 19:23 5297.23
srwx------ 1 www-data www-data 0 2008-11-16 19:23 5297.24

Code: Select all

cat /etc/apache2/sites-available/testsite.conf
<VirtualHost 192.168.2.70:80>
        SuexecUserGroup testuser testgroup
        AddHandler fcgid-script .php

        DocumentRoot "/var/www/testsite/htdocs/"
        DirectoryIndex index.php index.html index.htm

        <Directory "/var/www/testsite/htdocs/">
                FCGIWrapper /var/www/testsite/php-fcgi/php-fcgi-starter .php
                #FCGIWrapper /var/www/testsite/php-fcgi/php5-fcgi .php
                Options Indexes FollowSymLinks MultiViews +ExecCGI
                AllowOverride None
                Order allow,deny
                Allow from all
        </Directory>

        ErrorLog /var/www/testsite/log/error.log
        LogLevel debug
        CustomLog /var/www/testsite/log/access.log combined
        ServerSignature On
</VirtualHost>
In die suexec.log kommt nur mehr was rein, wenn ich zB als FCGIWrapper /usr/bin/php5-cgi .php nehmen, also ist sie schreibbar...

Code: Select all

cat /etc/apache2/mods-enabled/fcgid.conf
<IfModule mod_fcgid.c>
  AddHandler fcgid-script .php
  SocketPath /var/lib/apache2/fcgid/sock
  IPCConnectTimeout 60
  IPCCommTimeout 120
</IfModule>
Hat jemand eine Ahnung woran das liegen kann?


MfG schnere

Re: Apache 2.2 + mod_fcgid + suexec

Posted: 2008-11-16 19:42
by Roger Wilco
schnere wrote:Der user sollte "testuser" und nicht "www-data" sein??
Nein, das stimmt schon so.
schnere wrote:In die suexec.log kommt nur mehr was rein, wenn ich zB als FCGIWrapper /usr/bin/php5-cgi .php nehmen, also ist sie schreibbar...
Welchen Inhalt hat /var/www/testsite/php-fcgi/php-fcgi-starter und welche Rechte sind auf die Datei gesetzt?

Re: Apache 2.2 + mod_fcgid + suexec

Posted: 2008-11-16 19:57
by schnere
Hi!
Roger Wilco wrote: Welchen Inhalt hat /var/www/testsite/php-fcgi/php-fcgi-starter und welche Rechte sind auf die Datei gesetzt?

Code: Select all

cat php-fcgi-starter
#!/bin/sh
PHPRC="/var/www/testsite/conf/"
#PHPRC="/etc/php5/cgi/"
export PHPRC
#PHP_FCGI_CHILDREN=3
#export PHP_FCGI_CHILDREN
exec /usr/bin/php5-cgi

Code: Select all

ls -l php-fcgi-starter
-rwxr-x--- 1 testuser testgroup 146 2008-11-16 18:57 php-fcgi-starter

Code: Select all

lsattr php-fcgi-starter
----i------------- php-fcgi-starter
Wenn ich ein Skript mit ./php-fcgi-start < ../htdocs/test.php aufrufe, funktioniert es....

MfG

Re: Apache 2.2 + mod_fcgid + suexec

Posted: 2008-11-17 13:35
by schnere
Mhm, suexec gibt irgendwie nur einen Fehler aus, wenns wirklich schlimme Probleme gibt:

Code: Select all

[2008-11-17 13:12:07]: uid: (2001/testuser) gid: (2001/2001) cmd: index.php
[2008-11-17 13:12:07]: file is writable by others: (/var/www/testsite/htdocs/index.php)
Kann ich da evtl. irgendwie einen Debug-Mode einstellen?

Sonst bin ich auch nicht wirklich weiter gekommen.

MfG

Re: Apache 2.2 + mod_fcgid + suexec

Posted: 2008-11-17 13:45
by dotme
Verfolge mal alle Komponenten des Pfades "/var/lib/apache2/fcgid/sock/", wo die Sockets angelegt werden, ob der User "www-data" bis in das Verzeichnis wechseln darf (eXecute-bit).

:evil: Ach ist ein "Connection refused" und kein "Permission denied". Dürfte also eher was anderes sein.

Re: Apache 2.2 + mod_fcgid + suexec

Posted: 2008-11-17 14:25
by schnere
mhm, ja der User www-data kommt ins Verzeichnis "/var/lib/apache2/fcgid/sock/".
Habs auch ausprobiert mit "su -s /bin/bash www-data" und "cd /var/lib/apache2/fcgid/sock/".

Re: Apache 2.2 + mod_fcgid + suexec

Posted: 2008-11-17 16:58
by schnere
Okey, ich weiß nicht, ob ich jetzt besser dran bin oder eher schlechter ;)

Ich bekomm jetzt einen 403er - forbidden


ich hab einfach die Zeile

Code: Select all

Options Indexes FollowSymLinks MultiViews +ExecCGI

so abgeändert:

Code: Select all

Options +ExecCGI Indexes FollowSymLinks MultiViews
also einfach das ExecCGI an die erste Stelle gegeben.

In den Error logs steht jetzt nichts mehr, und in der access.log eben der 403er.


MfG

Re: Apache 2.2 + mod_fcgid + suexec

Posted: 2008-11-17 21:35
by Roger Wilco
schnere wrote:

Code: Select all

Options +ExecCGI Indexes FollowSymLinks MultiViews
Ich würde das + einfach weglassen. Das ist in diesem Kontext nutzlos.
schnere wrote:In den Error logs steht jetzt nichts mehr, und in der access.log eben der 403er.
Ja, die Datei darf von deinem Apache httpd ja auch nicht gelesen werden.
Kleiner Tipp: Rechte für 'others' setzen oder den Apache httpd in die entsprechende Gruppe hinzufügen.

Re: Apache 2.2 + mod_fcgid + suexec [UNGELÖST]

Posted: 2008-11-17 21:45
by schnere
Okay, + ist wieder heraußen, jetzt bekomm ich wieder den 503: Service temporarly unavailabel...,
wie vorhin. Und bin wieder mal kein Stück weiter :(

Weiß echt nicht mehr, was ich noch alles probieren soll. Kann das denn sooo schwer sein?
All times are UTC+01:00
Page 1 of 1