Подтвердить что ты не робот

Пассажир/mod_rails не может инициализироваться в Fedora 12 при запуске Apache

Я занимаюсь настройкой сервера для запуска приложения Ruby on Rails на Fedora 12 с помощью Passenger.

Я нахожусь на том этапе, когда я установил Passenger, настроил его как предписано, но при перезапуске Apache получаю следующие ошибки:

[Wed Jan 13 15:41:38 2010] [notice] caught SIGTERM, shutting down
[Wed Jan 13 15:41:40 2010] [notice] SELinux policy enabled; httpd running as context unconfined_u:system_r:httpd_t:s0
[Wed Jan 13 15:41:40 2010] [notice] suEXEC mechanism enabled (wrapper: /usr/sbin/suexec)
[Wed Jan 13 15:41:40 2010] [error] *** Passenger could not be initialized because of this error: Cannot create FIFO file /tmp/passenger.25235/.guard: Permission denied (13)
[Wed Jan 13 15:41:40 2010] [notice] Digest: generating secret for digest authentication ...
[Wed Jan 13 15:41:40 2010] [notice] Digest: done
[Wed Jan 13 15:41:40 2010] [error] *** Passenger could not be initialized because of this error: Cannot create FIFO file /tmp/passenger.25235/.guard: Permission denied (13)
[Wed Jan 13 15:41:40 2010] [error] python_init: Python version mismatch, expected '2.6', found '2.6.2'.
[Wed Jan 13 15:41:40 2010] [error] python_init: Python executable found '/usr/bin/python'.
[Wed Jan 13 15:41:40 2010] [error] python_init: Python path being used '/usr/lib/python26.zip:/usr/lib/python2.6/:/usr/lib/python2.6/plat-linux2:/usr/lib/python2.6/lib-tk:/usr/lib/python2.6/lib-old:/usr/lib/python2.6/lib-dynload'.
[Wed Jan 13 15:41:40 2010] [notice] mod_python: Creating 4 session mutexes based on 256 max processes and 0 max threads.
[Wed Jan 13 15:41:40 2010] [notice] mod_python: using mutex_directory /tmp 
[Wed Jan 13 15:41:40 2010] [notice] Apache/2.2.14 (Unix) DAV/2 Phusion_Passenger/2.2.9 PHP/5.3.0 mod_python/3.3.1 Python/2.6.2 mod_ssl/2.2.14 OpenSSL/1.0.0-fips-beta3 mod_perl/2.0.4 Perl/v5.10.0 configured -- resuming normal operations

Как вы можете видеть, возникает проблема с правами доступа, когда Passenger пытается инициализировать:

[Wed Jan 13 15:41:40 2010] [error] *** Passenger could not be initialized because of this error: Cannot create FIFO file /tmp/passenger.25235/.guard: Permission denied (13)

Когда Apache запускается, он создает файл в /tmp:

d-ws--x--x. 2 root  root  4096 2010-01-13 16:04 passenger.26117

Если вместо этого я запускаю приложение, открывая mongrel непосредственно с помощью mongrel_rails start -e production, я вижу следующее:

ActiveRecord::StatementInvalid (Mysql::Error: Can't create/write to file '/tmp/#sql_5d3_0.MYI' (Errcode: 13): SHOW FIELDS FROM `users`):

Снова ошибка указывает на проблемы с разрешениями в каталоге /tmp.

Я не понимаю, что такое решение. Я не уверен, связано ли это с правами доступа к каталогу или безопасностью Fedora SELinux.

Любая помощь будет оценена по достоинству. Спасибо.

4b9b3361

ОТВЕТЫ

Ответ 1

Я сделал то же самое, что и Фред, за исключением того, что вместо одной ошибки за раз:

  • Перейдите в разрешающий режим, запустив setenforce 0
  • Перезапустите apache и нажмите на свой сайт и используйте его некоторое время как обычно.
  • Выполнить grep httpd /var/log/audit/audit.log | audit2allow -M passenger
  • semodule -i passenger.pp
  • Вернитесь в режим принуждения, запустив setenforce 1
  • Перезапустите apache и протестируйте свой сайт - надеюсь, все должно работать как раньше!

Обратите внимание, что это в основном конкретный пример процедуры Centos SELinux help - проверьте это.

Ответ 2

У меня такая же проблема в CentOS 5.4, SELinux становится на пути Пассажира.

Настройка PassengerTempDir в/var/run/пассажир просто дает вам одинаковые ошибки разрешения в новом каталоге вместо /tmp:

[Mon Feb 22 11:42:40 2010] [error] *** Passenger could not be initialized because of this error: Cannot create directory '/var/run/passenger/passenger.3686'

Затем я могу изменить контекст безопасности/var/run/пассажир, чтобы пройти эту ошибку:

chcon -R -h -t httpd_sys_content_t /var/run/passenger/

... и который позволяет Пассажиру создавать каталог temp, но не файлы в этом каталоге:

[Mon Feb 22 12:07:06 2010] [error] *** Passenger could not be initialized because of this error: Cannot create FIFO file /var/run/passenger/passenger.3686/.guard: Permission denied (13)

Как ни странно, повторный запуск рекурсивного chcon не проходит мимо этой ошибки, он продолжает умирать на этом этапе, и именно здесь мои знания SELinux становятся мутными.

Руководство пользователя Phusion Passenger в разделах 6.3.5 и 6.3.7 содержат некоторые полезные мысли, но они, похоже, не полностью разрешают проблема.

Ответ 3

Вам нужно больше, чем просто разрешение httpd_sys_content_t. Для начала работы я использую следующий метод:

  • запустите хвост в журнале аудита: tail -f /var/log/audit/audit.log
  • перезагрузить apache: apachectl restart
  • Перейдите в каталог /tmp/: cd /tmp
  • Если добавлена ​​только одна строка, используйте команду: tail -1 /var/log/audit/audit.log | audit2allow -M httpdfifo
  • Обратите внимание, что имя "httpdfifo" - это просто имя, выбранное для отражения наблюдаемой ошибки.
  • Это создаст файл с именем httpdfifo.pp. Чтобы позволить apache создавать FIFO здесь, после того, как вы должны выполнить команду: semodule -i httpdfifo.pp
  • Продолжайте делать это до тех пор, пока все ошибки аудита не будут устранены (для моей системы, на которой работает Centos 5.4, потребовалось 4 разных вида разрешений)

Ответ 4

Запуск setenforce 0 перед запуском позволит вам проверить, является ли это SELinux. Не забудьте запустить setenforce 1 после.

Ответ 5

Я попробовал то, что предложил Дэн Скетчер и Фред Эпплман, т.е. повторить следующее:

yum install setroubleshoot
echo > /var/log/audit/audit.log # clear irrelevant errors
cd ~
service httpd restart # try booting passenger -- audit.log now shows the relevant permission errors
tail -f /var/log/httpd/error_log # check that passenger is still failing due to permission errors
sealert -a /var/log/audit/audit.log > selinux-diag.txt # translate the permission errors
# read and check that you are happy with selinux-diag.txt 
# and either follow its specific advice, or if it just wants you to grep into audit2allow, then:
cat /var/log/audit/audit.log | audit2allow -M mypol  # grant everything just denied
semodule -i mypol.p # commit new permissions

Но после этого 5 или 6 раз я продолжал сталкиваться с новыми ошибками, и некоторые из тех же ошибок возникали даже после того, как я пытался разрешить им "audit2allow".

В итоге я просто отключил SELinux, используя:

echo 0 >/selinux/enforce