Hallo zusammen,
habe diesen Bug in ISPConfig 3.1.11 gefunden:
Wenn ein neuer Client angelegt wird und diesem eine neue Webseite mit PHP-FCGI Unterstützung zugeordnet wird, funktioniert keinerlei PHP - basiertes Script, es kommt immer nur ein "HTTP 500 - Internal Server Error" zurück.
Im Apache error.log der Seite ist dann das hier zu lesen:
Ich konnte herausfinden, dass das FCGI - Wrapper Script für diesen neuen Kunden, welches unter "/var/www/php-fcgi-scripts/..." für die entsprechende Webseite angelegt wurde, offenbar gar nicht erst gestartet werden konnte; zumindest war kein entsprechender Prozess zu finden. Das Script hat als Owner den user der Webseite (web<nr>) und als Primäre Gruppe die Clientgruppe ("client<nr>"), die Rechte stehen auf 550. Das heißt also, dass nur der Owner bzw. ein Mitglied der Primären Gruppe das Script ausführen darf:
Das führte mich letztendlich dazu, dass der Benutzer "www-data", unter dem der Apache Prozess ja läuft, in der Primären Gruppe des Kunden fehlt, so dass der Apache das Wrapper Script nicht ausführen durfte:
Ich habe den Benutzer "www-data" dann manuell in die Primäre Gruppe des Kunden aufgenommen und nach einem Apache neustart hat es dann funktioniert:
Hier scheint seit einer der letzten ISPConfig Versionen also ein Bug rein gekommen zu sein, denn bei den "älteren" Kunden auf dem Server war der Benutzer "www-data" richtigerweise in den entsprechenden "Kunden"-Gruppen. Offenbar wird bei neuen Kunden / Webseiten der Benutzer "www-data" nicht mehr in die entsprechende Gruppe hinzugefügt.
Ich würde gerne einen Issue unter
https://git.ispconfig.org/ispconfig/ispconfig3/issues
einstellen, aber entweder bin ich blind oder es gibt keine Möglichkeit (mehr), sich dort neu zu registrieren.
Vllt. kann das jmd übernehmen, der dort einen Zugang hat...
Viele Grüße
T0mc@
habe diesen Bug in ISPConfig 3.1.11 gefunden:
Wenn ein neuer Client angelegt wird und diesem eine neue Webseite mit PHP-FCGI Unterstützung zugeordnet wird, funktioniert keinerlei PHP - basiertes Script, es kommt immer nur ein "HTTP 500 - Internal Server Error" zurück.
Im Apache error.log der Seite ist dann das hier zu lesen:
[Tue May 22 15:13:18.446702 2018] [fcgid:warn] [pid 19493] (104)Connection reset by peer: [client 85.197.12.163:42220] mod_fcgid: error reading data from FastCGI server
[Tue May 22 15:13:18.446765 2018] [core:error] [pid 19493] [client 85.197.12.163:42220] End of script output before headers: index.php
Ich konnte herausfinden, dass das FCGI - Wrapper Script für diesen neuen Kunden, welches unter "/var/www/php-fcgi-scripts/..." für die entsprechende Webseite angelegt wurde, offenbar gar nicht erst gestartet werden konnte; zumindest war kein entsprechender Prozess zu finden. Das Script hat als Owner den user der Webseite (web<nr>) und als Primäre Gruppe die Clientgruppe ("client<nr>"), die Rechte stehen auf 550. Das heißt also, dass nur der Owner bzw. ein Mitglied der Primären Gruppe das Script ausführen darf:
/var/www/php-fcgi-scripts/web105# ls -al
total 12
dr-xr-x--- 2 web105 client11 4096 Mai 22 20:42 .
drwxr-xr-x 19 root root 4096 Mai 22 20:42 ..
-r-xr-x--- 1 web105 client11 580 Mai 22 20:42 .php-fcgi-starter
Das führte mich letztendlich dazu, dass der Benutzer "www-data", unter dem der Apache Prozess ja läuft, in der Primären Gruppe des Kunden fehlt, so dass der Apache das Wrapper Script nicht ausführen durfte:
~# cat /etc/group
[...]
client5:x:5014:www-data
client8:x:5015:www-data
client10:x:5016:www-data
client11:x:5017:
Ich habe den Benutzer "www-data" dann manuell in die Primäre Gruppe des Kunden aufgenommen und nach einem Apache neustart hat es dann funktioniert:
~# cat /etc/group
[...]
client5:x:5014:www-data
client8:x:5015:www-data
client10:x:5016:www-data
client11:x:5017:www-data
Hier scheint seit einer der letzten ISPConfig Versionen also ein Bug rein gekommen zu sein, denn bei den "älteren" Kunden auf dem Server war der Benutzer "www-data" richtigerweise in den entsprechenden "Kunden"-Gruppen. Offenbar wird bei neuen Kunden / Webseiten der Benutzer "www-data" nicht mehr in die entsprechende Gruppe hinzugefügt.
Ich würde gerne einen Issue unter
https://git.ispconfig.org/ispconfig/ispconfig3/issues
einstellen, aber entweder bin ich blind oder es gibt keine Möglichkeit (mehr), sich dort neu zu registrieren.
Vllt. kann das jmd übernehmen, der dort einen Zugang hat...
Viele Grüße
T0mc@