apache + fastcgi + fpm Почему требуется suexec?

Итак, у меня есть следующий РАБОЧИЙ виртуальный хост:

<VirtualHost 192.168.128.20:80> 
        ServerName euclid.domain.tld 

        #LogLevel debug 
        ErrorLog /var/www/euclid/logs/error_log 

        SuexecUserGroup fastcgi www_euclid 
        FastCgiExternalServer /var/www/euclid/htdocs/cgi-bin -socket /var/run/php-fpm/euclid.sock -user fastcgi -group www_euclid 
        AddHandler php-fastcgi .php 
        Action php-fastcgi /cgi-bin 
        Alias /cgi-bin /var/www/euclid/htdocs/cgi-bin 

        <Location /cgi-bin> 
                Order Deny,Allow 
                Deny from All 
                # Prevent accessing this path directly 
                Allow from env=REDIRECT_STATUS 

                Options +ExecCGI +FollowSymLInks +SymLinksIfOwnerMatch 
        </Location> 

        DocumentRoot /var/www/euclid/htdocs 
        <Directory /var/www/euclid/htdocs> 
                AllowOverride all 
                Order allow,deny 
                Allow from all 
        </Directory> 
</VirtualHost>

Похоже, я не могу понять, почему мне нужно иметь / оба SuexecUserGroup fastcgi www_euclid и FastCgiExternalServer с флагами -user fastcgi -group www_euclid. В FPM включен пул, и каждый пул работает под своим собственным пользователем / группой. Это работает правильно, нет проблем. Если я удаляю аргументы SuexecUserGroup и / или -user fastcgi -group www_euclid, я получаю следующую ошибку и понятия не имею, почему. Кроме того, какие uid и gid используются для доступа к файлу сокета при помощи fastcgi? Это, конечно, не fastcgi: ww_euclid.

(13)Permission denied: FastCGI: failed to connect to server
"/var/www/euclid/htdocs/cgi-bin": connect() failed  FastCGI:
incomplete headers (0 bytes) received from server
"/var/www/euclid/htdocs/cgi-bin"
Источник

2 ответа

Решение

Хорошо, я думаю, я понял, в чем проблема. Простой ответ: mod_fastcgi отстой. Это старое, необслуживаемое и плохо документированное. Почему это происходит, когда я смотрю, как запустить php-fpm, мне не под силу. Избавьте себя от головной боли и просто не используйте ее!

Реальное решение довольно просто:

<VirtualHost 192.168.128.20:80> 
        ServerName euclid.domain.tld 

        #LogLevel debug 
        ErrorLog /var/www/euclid/logs/error_log 

        <IfDefine PROXY>
                #If you want to use mod_proxy (Probably the best option)
                ProxyPassMatch ^/(.*\.php(/.*)?)$ fcgi://localhost:9000/var/www/euclid/htdocs/$1
        </IfDefine>

        <IfDefine FASTCGI_HANDLER>
                #If you want to use mod_fastcgi_handler (3rd party)
                AddHandler fcgi:/var/run/php-fpm-euclid.sock .php
        </IfDefine>


        DocumentRoot /var/www/euclid/htdocs 
        <Directory /var/www/euclid/htdocs> 
                AllowOverride all 
                Order allow,deny 
                Allow from all 
        </Directory> 
</VirtualHost>
Источник

Вы случайно использовали SELinux? Я столкнулся с подобной проблемой, которая была вызвана политикой безопасности SELinux, которая препятствовала подключению Apache к сокету fastcgi Django. Бег setenforce Permissive позволил ему работать.

Источник
Другие вопросы по тегам