Debian + apache + php-fpm Socket Zugriff Fehler unter KVM

Dieses Thema im Forum "Installation und Konfiguration" wurde erstellt von Till, 6. Juni 2016.

  1. Till

    Till Administrator

    Moin allerseits,

    heute möchte ich mal eine Frage ins Forum stellen bei dem ich nicht weiter komme. Und zwar geht es wie in der Überschrift beschrieben um Probleme beim Zugriff auf das php-fpm Socket unter Debian, das Phänomen tritt auf wenigen Systemen auf, es scheinen aber mehr zu werden. Ich persönlich hatte es bislang auf keinem eigenen Server, dies kann aber auch daran liegen dass das Problem möglicherweise KVM spezifisch ist.

    Es handelt sich um normale Debian 8 perfect setup's mit apache, webseite läuft im php-fpm mode und suexec ist an. Apache nutzt folgende config für die php-fpm verbindung mittels mod_fastcgi:

    FastCgiExternalServer /var/www/clients/client0/web4/cgi-bin/php5-fcgi-*-80-test100.int -idle-timeout 300 -socket /var/lib/php5-fpm/web4.sock -pass-header Authorization

    Das Socket gehört dem richtigen User und ist für den web user und die Web Gruppe les- und beschreibbar:

    root@server1:/etc/apache2/sites-available# ls -la /var/lib/php5-fpm/web4.sock
    srw-rw---- 1 web4 client0 0 May 24 03:50 /var/lib/php5-fpm/web4.sock

    Exakt diese config läuft einwandfrei bei mir unter z.B. OpenVZ oder VMWare, aber nicht auf den betroffenen Servern die meines Wissns nach als Gemeinsamkeit KVM nutzen.

    Mann kann PHP auf den betroffenen Systemen zum Laufen bekommen, indem man:

    a) dem Socket 666 Rechte gibt (also world read/write)
    b) oder aber statt der Web Gruppe www-data als Gruppe des sockets angibt (in der pool Datei).

    Laut Aussage von Usern scheint es sogar so zu sein das selbst server die alle vom selben master imgage gecloned wurden betroffen sind, alte laufen, neue nicht. Ein Diff auf die KVM config Datei der alten und neuen VM zeigt keine Auffälligkeiten (nur andere hostname ip etc.).

    Ich habe ja bei solch mysteriösen Zugriffsproblemen trotz korrekter Rechte erst mal Selinux und co im Verdacht, aber in der vm ist weder selinux noch apparmor installiert noch erweiterte filesystem acl's.

    Hat jemand eine Idee?
     
  2. JeGr

    JeGr Member

    Hallo Till,
    klingt wirklich strange. Ist auf den betroffenen Systemen im Gegensatz zu bspw. vmWare Kisten denn an der PHP Einstellung im Pool was anders? Also genutzter User/Gruppe/Rechte in der pool Einstellung? Das einzige worüber wir schonmal gefallen sind, waren Änderungen beim Update von PHP die das Socket Handling verändert hatten (User/Gruppe konnte plötzlich auf den Socket nicht mehr zugreifen), das war m.W. irgendwo bei PHP5.4 was sich da verändert hatte. Deshalb wärs interessant, ob da bei den Maschinen bei denen es klappt, auch die Pool und FPM Config wirklich gleich ist.

    Gruß Jens
     

Diese Seite empfehlen