Passenger / mod_rails не может инициализироваться в Fedora 12 при запуске Apache - PullRequest
Новая
       35

Passenger / mod_rails не может инициализироваться в Fedora 12 при запуске Apache

10 голосов
/ 13 января 2010

Я нахожусь в процессе настройки сервера для запуска приложения Ruby on Rails в Fedora 12 с использованием Passenger.

Я нахожусь на этапе, где я установил Passenger, настроил его, как предписано, но получаю следующие ошибки при перезапуске Apache: 

[Wed Jan 13 15:41:38 2010] [notice] caught SIGTERM, shutting down
[Wed Jan 13 15:41:40 2010] [notice] SELinux policy enabled; httpd running as context unconfined_u:system_r:httpd_t:s0
[Wed Jan 13 15:41:40 2010] [notice] suEXEC mechanism enabled (wrapper: /usr/sbin/suexec)
[Wed Jan 13 15:41:40 2010] [error] *** Passenger could not be initialized because of this error: Cannot create FIFO file /tmp/passenger.25235/.guard: Permission denied (13)
[Wed Jan 13 15:41:40 2010] [notice] Digest: generating secret for digest authentication ...
[Wed Jan 13 15:41:40 2010] [notice] Digest: done
[Wed Jan 13 15:41:40 2010] [error] *** Passenger could not be initialized because of this error: Cannot create FIFO file /tmp/passenger.25235/.guard: Permission denied (13)
[Wed Jan 13 15:41:40 2010] [error] python_init: Python version mismatch, expected '2.6', found '2.6.2'.
[Wed Jan 13 15:41:40 2010] [error] python_init: Python executable found '/usr/bin/python'.
[Wed Jan 13 15:41:40 2010] [error] python_init: Python path being used '/usr/lib/python26.zip:/usr/lib/python2.6/:/usr/lib/python2.6/plat-linux2:/usr/lib/python2.6/lib-tk:/usr/lib/python2.6/lib-old:/usr/lib/python2.6/lib-dynload'.
[Wed Jan 13 15:41:40 2010] [notice] mod_python: Creating 4 session mutexes based on 256 max processes and 0 max threads.
[Wed Jan 13 15:41:40 2010] [notice] mod_python: using mutex_directory /tmp 
[Wed Jan 13 15:41:40 2010] [notice] Apache/2.2.14 (Unix) DAV/2 Phusion_Passenger/2.2.9 PHP/5.3.0 mod_python/3.3.1 Python/2.6.2 mod_ssl/2.2.14 OpenSSL/1.0.0-fips-beta3 mod_perl/2.0.4 Perl/v5.10.0 configured -- resuming normal operations

Как видите, при попытке инициализации Пассажира существует проблема с разрешениями: 

[Wed Jan 13 15:41:40 2010] [error] *** Passenger could not be initialized because of this error: Cannot create FIFO file /tmp/passenger.25235/.guard: Permission denied (13)

Когда Apache запускается, он создает файл в / tmp: 

d-ws--x--x. 2 root  root  4096 2010-01-13 16:04 passenger.26117

Если вместо этого я запускаю приложение, запуская дворняга напрямую с помощью mongrel_rails start -e production, я вижу следующее: 

ActiveRecord::StatementInvalid (Mysql::Error: Can't create/write to file '/tmp/#sql_5d3_0.MYI' (Errcode: 13): SHOW FIELDS FROM `users`):

Снова ошибка указывает на проблемы с правами доступа к каталогу / tmp .

Я в недоумении относительно решения. Я не уверен, связано ли это просто с правами доступа к каталогам или с безопасностью Fedin SELinux.

Любая помощь будет принята с благодарностью. Спасибо.

Ответы [ 5 ]

13 голосов
/ 12 марта 2010

Я сделал то же самое, что и Фред, за исключением того, что вместо того, чтобы делать это по одной ошибке за раз:

  1. Перейдите в разрешительный режим, запустив setenforce 0
  2. Перезапустите apache, зайдите на свой сайт и некоторое время пользуйтесь им как обычно
  3. Пробег grep httpd /var/log/audit/audit.log | audit2allow -M passenger
  4. semodule -i passenger.pp
  5. Вернитесь в принудительный режим, запустив setenforce 1
  6. Перезапустите apache и протестируйте свой сайт - надеюсь, все должно работать как раньше!

Обратите внимание, что это в основном конкретный пример процедуры в справке Centos SELinux - посмотрите.

3 голосов
/ 22 февраля 2010

У меня такая же проблема в CentOS 5.4, SELinux мешает Passenger.

Установка PassengerTempDir в / var / run / passenger просто дает вам те же ошибки разрешения в новом каталоге вместо / tmp: 

[Mon Feb 22 11:42:40 2010] [error] *** Passenger could not be initialized because of this error: Cannot create directory '/var/run/passenger/passenger.3686'

Затем я могу изменить контекст безопасности / var / run / passenger, чтобы обойти эту ошибку:

* +1007 *

... и это позволяет Passenger создавать временный каталог, но не файлы в этом каталоге: 

[Mon Feb 22 12:07:06 2010] [error] *** Passenger could not be initialized because of this error: Cannot create FIFO file /var/run/passenger/passenger.3686/.guard: Permission denied (13)

Как ни странно, повторный запуск рекурсивного chcon снова не преодолеет эту ошибку, он продолжает умирать в этот момент, и здесь мои знания SELinux становятся неясными.

В справочнике Phusion Passenger в разделах 6.3.5 и 6.3.7 есть некоторые полезные мысли, но, похоже, они не решают полностью проблему.

3 голосов
/ 10 марта 2010

Вам нужно больше, чем просто разрешение httpd_sys_content_t. Для начала я использую следующую технику:

  • начать хвост в журнале аудита: tail -f /var/log/audit/audit.log
  • перезагрузить apache: apachectl restart
  • Перейдите в каталог / tmp /: cd /tmp
  • Если добавлена ​​только 1 строка, используйте команду: tail -1 /var/log/audit/audit.log | audit2allow -M httpdfifo
  • Обратите внимание, что имя 'httpdfifo' - это просто имя, выбранное, чтобы отразить тип обнаруженной ошибки.
  • Это создаст файл с именем 'httpdfifo.pp'. Чтобы разрешить apache создавать FIFO с этого момента после ввода команды: semodule -i httpdfifo.pp
  • Продолжайте делать это до тех пор, пока все ошибки аудита не будут устранены (в моей системе, использующей Centos 5.4, потребовалось 4 вида разрешений)
2 голосов
/ 13 января 2010

Запуск setenforce 0 перед запуском позволит вам проверить, является ли это SELinux. Не забудьте запустить setenforce 1 потом.

0 голосов
/ 20 сентября 2012

Я попробовал то, что предложили Дэн Скетчер и Фред Эпплман, то есть повторил следующее: 

yum install setroubleshoot
echo > /var/log/audit/audit.log # clear irrelevant errors
cd ~
service httpd restart # try booting passenger -- audit.log now shows the relevant permission errors
tail -f /var/log/httpd/error_log # check that passenger is still failing due to permission errors
sealert -a /var/log/audit/audit.log > selinux-diag.txt # translate the permission errors
# read and check that you are happy with selinux-diag.txt 
# and either follow its specific advice, or if it just wants you to grep into audit2allow, then:
cat /var/log/audit/audit.log | audit2allow -M mypol  # grant everything just denied
semodule -i mypol.p # commit new permissions

Но после этого 5 или 6 раз я продолжал сталкиваться с новыми ошибками, и возникали некоторые из тех же самых ошибок, даже после того, как я попытался разрешить их с помощью "audit2allow".

В конце концов я просто выключил SELinux с помощью: 

echo 0 >/selinux/enforce
...