Apache 2.4 + PHP-FPM + mod_proxy_fcgi Unterst?tzung?

[kutte128]

Hallo alle miteinander,

 

ich habe einen grunds?tzlich  funktionierenden Server mit Apache 2.4, PHP-FPM und mod_proxy_fcgi.

Wenn ich eine Domain anlege, startet nat?rlich der Apacher erstmal nicht, da das fastfcgi zeugs noch drin ist und ProxyPassMatch noch fehlt.

System ist gentoo, froxlor kommt frisch aus dem git.

 

Wo m?sste ich eingreifen, damit ich proxy_fcgi mit froxlor nutzen kann?

 

Viele Gr??e,

kutte128

[kutte128]

Jupp, ist klar

 

Vielen Dank f?r die Hilfen, ich markiere das mal als gel?st.
 

Viele Gr??e,

kutte128

[d00p]

Hast du denn die Einstellung f?r mod_proxy_fcgi in Froxlor auch aktiviert? Stimmen die Vhosts? Gibt der Apache eine Fehlermeldung aus, wenn ja, bitte posten

[kutte128]

Hi,

 

das war tats?chlich deaktiviert.

Ich bin jetzt noch mal alles durchgegeangen, irgendwas scheine ich aber noch ?bersehen zu haben. Der apache startet jetzt zwar,aber trotzdem scheinen die vhosts noch nicht zu passen.

Der ProxyPassMatch fehlt noch immer und die <Directory> Direktive fehlt auch, ohne darf ich auch nicht auf die index.html zugreifen. Anpassungen f?r Apache 2.4 verwenden ist aktiv.
Dies ist die vhosts, die generiert wird:

<VirtualHost MEINEIP:80>
DocumentRoot "/var/www/localhost/htdocs/froxlor/"
 ServerName panel.MEINEDOMAIN.de
 <FilesMatch \.php$>
 SetHandler proxy:unix:/var/lib/apache2/fastcgi/froxlor.panel-panel.MEINEDOMAIN.de-php-fpm.socket|fcgi://localhost/
 </FilesMatch>
</VirtualHost>

Wenn ich manuell Directory und ProxyPassMatch hinzuf?ge und FilesMatch/SetHandler auskommentiere, l?ufts.

[d00p]

Ich sag mal Dessa bescheid, der hat das laufen und gesagt ,dass es tut...

[kutte128]

thx!

[Dessa]

klar fehlt proxypassmatch, die sethandler variante braucht das ja nicht.

 

man haette auch die proxypassmatch variante nehmen koennen, klar, nur habe ich mich wegen eines bugs in php 5.6.1 (.2 war nen security only release) dagegen entschieden: https://github.com/php/php-src/commit/8cac75969e5abb2b6be5bbd489d851a4f9e50979

ausserdem gingen bei mir mit proxypassmatch die directoryprotections kaputt, warum weiss ich bis heute nicht...

 

ich kann mir grade nicht wirklich erklaeren warum das nicht laufen sollte (apache-2.4.10-r1 und php-5.6.3)

[kutte128]

Ah, ok

 

Hier mal aus der aktuellen error-log:

Der Fehler ist immer AH01630

[Mon Nov 24 16:08:56.440901 2014] [authz_core:error] [pid 24641:tid 140036863387392] [client 84.171.5.210:51561] AH01630: client denied by server configuration: /var/www/localhost/htdocs/froxlor/

Apache ist apache-2.4.10-r1, php 5.5.18

 

 

 

 

[d00p]

Passiert das auch beim Aufruf von Kunden-Domains oder nur beim Froxlor-Vhost?

[kutte128]

Mahlzeit!

 

Das passiert bei beiden.

[d00p]

F?ge in den Vhost mal ein "Require all granted" ein, schau ob das funktioniert...kann sein, das das aber sogar in ein <Directory>-Tag muss

[kutte128]

japp, das funktioniert in einem Directory.

Allerdings nur f?r den froxlor vhost, nicht f?r den user.

Hab ich nat?rlich in beide .conf gemacht. Pfad stimmt jeweils, Verzeichnisrechte passen, index.html ist auch angelegt worden

 

Dabei hab ich gleich ein neues problem:

Ich darf nicht auf den php-fpm socket zugreifen, es sei denn, ich setzte den listen.mode auf 0666

 

Aber das soll erst mal egal sein

[d00p]

Allerdings nur f?r den froxlor vhost, nicht f?r den user.

Das macht ja irgendwie keinen Sinn wa? Nopaste der beiden vhosts bitte

 

Dabei hab ich gleich ein neues problem:

Ich darf nicht auf den php-fpm socket zugreifen, es sei denn, ich setzte den listen.mode auf 0666

dann richte libnss entsprechend der config richtig ein und f?ge den webserveruser der froxlor-local gruppe hinzu, sonst darf der nicht ans socket (f?r die kunden regelt das libnss)

[kutte128]

Nein, das ist in der Tat v?llig unsinnig.

Hier die vhosts

Panel

Kunde

 

Und die Kunden-Log:

[Tue Nov 25 16:12:11.461449 2014] [core:error] [pid 31792:tid 140687771395840] (13)Permission denied: [client 84.171.2.148:53206] AH00035: access to / denied (filesystem path '/var/www/vhosts/dsmAdmin/xxx-xxx.de') because search permissions are missing on a component of the path

Danke f?r den Hinweis wegen dem Socket, die Usergruppe wars!
 

[kutte128]

OK, ich habe irgendwo ein rechte/konfigurations Probem.

Die Userverzeichnisse werden automatisch mit 0750 angelegt, wenn ich Required all granted angebe, darf ich nicht rein.

Wenn ich die Rechte vom Userverzeichnis manuell auf 0751 setze, darf ich rein, solange ich den Require drin habe.

[d00p]

Hast du libnss korrekt konfiguriert und ist der Webserver user in der Gruppe froxlorlocal? Das 750 hat schon seinen Grund

[kutte128]

Ja, libnss ist nach Anleitung eingerihtet und der webuser ist noch in der froxlorlocal Gruppe.
Ich habe das Problem etwas eingrenzen k?nnen und 2 Probleme gefunden.

 

Edit:

Cronie l?uft jetzt aber das hier ist noch aktuell:

 

Ich muss nscd und apache manuell neu starten. Dann habe ich Zugriff auf meine vhosts. Zumindest, wenn ich den Require all granted eingef?gt habe.

Dann passts auch mit den rechten und php funktioniert auch.

[kutte128]

Guten Morgen,

eine abschlie?ende Frage noch zur Directory directive:
Ist das richtig so, dass ich die manuell in den vhost tippen muss oder habe ich noch einen Fehler drin?
Alternativ kann ich nat?rlich global in der apache conf den /var/www ?ndern (default auf denied), wenn das keine negativen Effekte mit sich bringt.

 

Viele Gr??e,

kutte128

[d00p]

Eigentlich f?gt froxlor das selbst ein, ein globales f?r /var/www/ kann aber nicht schaden, wenn du das machen willst.

[kutte128]

W?re ne l?sung, da froxlor das bei Nutzung von proxy_fcgid bei mir nicht einf?gt. Jetzt w?re die Frage, warum macht er das nicht?
Der Rest funktioniert einwandfrei

[d00p]

Das testen wir gerade noch aus, bei anderen funktioniert es ohne das "require all granted"... Ansonsten denk daran das du die Entwicklerversion mit neuem feature nutzt