WSGI はファイルにアクセスできませんが、権限は正しいです

WSGI はファイルにアクセスできませんが、権限は正しいです

私は問題をデバッグしていますMoinMoinCentOS では権限エラーが発生しますが、問題のあるファイル/ディレクトリがどこにあるか追跡できません。

strace -vp <pid>Apache PID で実行したところ、問題が発生すると次のように表示されます。

epoll_wait(10, {{EPOLLIN, {u32=3487534344, u64=140367313734920}}}, 2, 10000) = 1
accept4(6, {sa_family=AF_INET6, sin6_port=htons(52621), inet_pton
    (AF_INET6, "::ffff:105.193.30.91", &sin6_addr), sin6_flowinfo=0, 
    sin6_scope_id=0}, [28], SOCK_CLOEXEC) = 11
## Later on...
read(7, 0x7fffa658ad7f, 1)              = -1 EAGAIN (Resource temporarily 
    unavailable)

しかし、Apacheはすでに実行されているため、open()と呼ばれるファイルに対応するものはありません7。したがって、権限の問題はわかりますが、まだわかりません。どれのファイルに問題があります。

Apache を再起動したときに開いているすべてのファイルをキャッチすることはできると思いますが、ファイルを7実際のファイル名にマップする方法があることを期待しています...これを行う方法はありますか?

編集1:

@lain さんの指導に従って を実行しましたlsof | grep 266474069が、結果が不明瞭です...

[root@lnxlmf moin]# ls -la /proc/9707/fd/7
lr-x------. 1 root root 64 Aug 28 15:39 /proc/9707/fd/7 -> pipe:[266474069]
[root@lnxlmf moin]#

[root@lnxlmf moin]# lsof | grep 266474069
httpd      9703      root    7r     FIFO                0,8          0t0  266474069 pipe
httpd      9703      root    8w     FIFO                0,8          0t0  266474069 pipe
httpd      9705    apache    7r     FIFO                0,8          0t0  266474069 pipe
httpd      9705    apache    8w     FIFO                0,8          0t0  266474069 pipe
httpd      9706    apache    7r     FIFO                0,8          0t0  266474069 pipe
httpd      9706    apache    8w     FIFO                0,8          0t0  266474069 pipe
httpd      9707    apache    7r     FIFO                0,8          0t0  266474069 pipe
httpd      9707    apache    8w     FIFO                0,8          0t0  266474069 pipe
httpd      9733    apache    7r     FIFO                0,8          0t0  266474069 pipe
httpd      9733    apache    8w     FIFO                0,8          0t0  266474069 pipe
[root@lnxlmf moin]#

これは FIFO パイプであることはわかりましたが、これはシステム構成にとって何を意味するのでしょうか? 問題の根本原因を突き止めるにはどうすればよいでしょうかEAGAIN?

編集2:

@Alan Curry のおかげで、ランニングでstrace -fp <pid_of_wsgi_proc>少し遠くまで行けるようになった気がします...

[pid  9731] stat("/opt/moin/share/moin/wikiconfig.py", {st_mode=S_IFREG|0770, st_size=6463, ...}) = 0
[pid  9731] stat("/opt/moin/share/moin/data/pages", {st_mode=S_IFDIR|0770, st_size=4096, ...}) = 0
[pid  9731] access("/opt/moin/share/moin/data/pages", R_OK|W_OK|X_OK) = -1 EACCES (Permission denied)

ただし、Apache と実行はどちらもユーザーwsgiとして実行されますapache...

[root@lnxlmf moin]# ps auxw | grep -E "apache|wsgi"
apache   10187  0.0  0.1 373488  5884 ?        Sl   17:18   0:00 moin_http_wsgi
apache   10188  0.0  0.1 373488  5884 ?        Sl   17:18   0:00 moin_https_wsgi
apache   10189  0.0  0.1 185096  5824 ?        S    17:18   0:00 /usr/sbin/httpd
root     10243  0.0  0.0 103240   848 pts/1    S+   17:21   0:00 grep -E apache|wsgi
[root@lnxlmf moin]#

しかし、次のコマンドを実行して Apache を再起動しても、問題は解決しません...

[root@lnxlmf moin]# pwd
/opt/moin/share/moin
[root@lnxlmf moin]# chown -R apache:apache data/
[root@lnxlmf moin]# sudo chmod -R ug+rwx data/
[root@lnxlmf moin]# sudo chmod -R o-rwx data/

私はこれを wiki http 設定で使用しています:

<VirtualHost *:443>
  ServerName netwiki.foo.com
  DocumentRoot /opt/moin/share/moin
  WSGIScriptAlias / /opt/moin/share/moin/server/moin.wsgi
  WSGIDaemonProcess moin_https display-name=moin_https_wsgi \
      user=apache group=apache \
      processes=1 threads=10 maximum-requests=1000 umask=0007
  WSGIProcessGroup moin_https
  WSGIApplicationGroup %{GLOBAL}

  # Generate with...
  # openssl req -new -x509 -days 365 -nodes -out netwiki.pem -keyout netwiki.key
  SSLEngine on
  SSLCertificateFile /etc/httpd/ssl/netwiki.pem
  SSLCertificateKeyFile /etc/httpd/ssl/netwiki.key
</VirtualHost>

答え1

/proc/<PID>/fd開いているすべてのファイルがリストされているところを確認してくださいPID


私のCentOSシステムではfd 7は

lrwx------. 1 root root 64 Aug 28 22:01 7 -> socket:[1872522]

そうnetstat -ane | grep 1872522すれば

tcp    0  0 :::443              :::*               LISTEN      0          1872522

使用できます

lsof | grep 266474069

パイプの情報を取得します。

答え2

私の小さな VPS を見ると、次の方法で fd 番号を判別できます。

 ll /proc/17684/fd/ |colrm 1 46

0 -> /dev/null
1 -> /dev/null
10 -> /var/www/vhosts/censored.xenuser.org/statistics/logs/error_log
11 -> /var/www/vhosts/censored.de/statistics/logs/error_log
12 -> /var/www/vhosts/censored.org/statistics/logs/error_log 
13 -> /var/www/vhosts/xenuser.org/statistics/logs/error_log
14 -> /var/log/apache2/access.log

[以下同様、17684 は先ほど strace したプロセスの PID です]

答え3

問題は私が にいたことSELINUX=enforcingです/etc/selinux/config

を設定した後SELINUX=permissiveSELINUXTYPE=targeted再起動するとwsgiすべてのファイルに正しくアクセスできるようになります。

関連情報