2x pro Woche Permission denied

[cdn]

Hallo zusammen,

 

ich habe ein sehr kurioses Problem: Zwei mal die Woche kann ich nicht auf die Internetseiten des Users mit UID 10000 zugreifen. Fehlermeldung: Permission Denied.

 

Log:

[Mon Apr 11 18:08:06.408376 2016] [core:crit] [pid 20241] (13)Permission denied: [client IP] AH00529: /var/customers/webs/User/.htaccess pcfg_openfile: unable to check htaccess file, ensure it is readable and that '/var/customers/webs/User/' is executable

So das Problem lässt sich beheben, indem ich usermod -a -G www-data User ausführe und danach apache neu starte.

 

Ich habe keine Ahnung woher der Fehler kommt. Zu der Zeit zu der es passiert wird nur der normale Froxlor Cronjob mit Parameter --tasks ausgeführt.

 

Aber wieso wird der Nutzer - und nur der Nutzer - immer aus der Gruppe ww-data herausgeschmissen?

 

Freue mich auf Eure Antworten.

[Dieter]

Hallo .. ich weiß, dass dieser Thread schon etwas älter ist, aber bei mir scheint exakt das selbe Problem aufzutreten. Gibt es hierzu inzwischen evtl. schon weitere Erkentnisse? Bei mir ist es definitiv so, dass dieses Problem (mehrmals am Tag) temporär auftritt. Wie und wann genau ist leider ziemlich schwer zu ermitteln. Aktuell habe ich ein Script aufgesetzt, dass bestimmte URLs in definierten Zeitintervallen abfrägt, und entsprechende Fehlermeldungen "Permission oder Access denied" protokolliert, um rauszufinden, ob es hierbei definierte Zeitintervalle gibt. Mein Verdacht ist, dass irgendein Froxlor cronjob zeitweise irgendwie dafür Ursache ist, dass z. B. der Apache meint, auf bestimmte Dateien nicht zugreifen zu können.

Für weitere Hinweise, wie der Ursache weiter auf den Grund gegangen werden könnte, wäre ich überaus dankbar!

[d00p]

Dann fang Mal ganz oben im Thread an und prüfe alles was gesagt wurde, beantworte alle Fragen, stell logs bereit, etc.etc.etc.

[Dieter]

Von oben angefangen hatte ich natürlich und gehofft, dass ich dann weiter unten etwas finde, das mir evtl. weiterhelfen könnte. Eine Lösung für das Problem von cdn scheint es jedoch nicht gegeben zu haben, oder? Zumindest hab' ich hier nichts dazu gefunden. Trotzdem auf jeden Fall erst mal danke für das überaus schnelle Feedback! Die Fragen werde ich so gut wie möglich beantworten und natürlich auch entsprechende Logs bereitstellen. Allerdings vermutlich erst morgen oder übermorgen, weil ich im Augenblick unterwegs bin und der Zugriff auf die Ressourcen relativ eingeschränkt ist. WLAN oder Mobilfunk in der Bahn ist halt leider doch nicht ganz das was die Bahnwerbung einem so verspricht!

 

[Dieter]

Erste Rückmeldung: In meinem Falls scheint das Problem tatsächlich durch den nscd verursacht zu werden. Ich habe gestern Nachmittag als erste Aktion mal den nscd cache komplett deaktiviert (setzen von enable-cache in /etc/nscd.conf für alle services auf "no"). Seitdem scheint das Problem nun nicht mehr aufgetreten zu sein.

[d00p]

Nutzt du FCGID / php-fpm? Wenn ja sollte Froxlor den webserver-Benutzer (Einstellungen prüfen!) zu der Gruppe des Kunden hinzufügen, schau mal in der ftp_groups Tabelle nach ob dieser in der Liste steht

[cdn]

Nutzt du FCGID / php-fpm? Wenn ja sollte Froxlor den webserver-Benutzer (Einstellungen prüfen!) zu der Gruppe des Kunden hinzufügen, schau mal in der ftp_groups Tabelle nach ob dieser in der Liste steht

Ach sorry vergessen zu erwähnen. Ja ich nutze FCGID. Dies ist auch in den Einstellungen aktiviert. In der Tabelle ftp_user ist der Nutzer vorhanden:

 

ID=1

UID=10000

GID=10000

[d00p]

ftp_groups...

[cdn]

Ups. Verlesen. Ja da ist der Kunde auch vorhanden:

 

ID=1

Groupname=User

GID=10000

members= User,www-data,froxlorlocal

 

Im Username ist eine Zahl vorhanden. Sollte aber denke ich keinen Einfluss haben oder?

[d00p]

joa, steht drin, dann is das wohl ein nscd/libnss problem, mal "nscd -i groups" gemacht?

[cdn]

nscd: 'groups' is not a known database
Try `nscd --help' or `nscd --usage' for more information.

 

Bei nscd -i group kommt nur eine leere Zeile zurück.

[d00p]

"nscd -i group" ist korrekt ja, sorry. Das hat auch keinen output, das leert nur den cache von NSCD

[cdn]

Okay. Und das soll es jetzt gewesen sein?

[d00p]

Ich kann dir nur sagen, dass froxlor es korrekt in die tabelle eingetragen hat, der rest ist problem von libnss und nscd...prüfe halt mit "id www-data" ob der www-data user in der gruppe der kunden ist, wenn ja dürfte dieser fehler nicht auftauchen

[cdn]

Ok habe ich überprüft. Ja ist er. Hmm dann muss ich mal bei libnss und nscd nachschauen.

[v3ng]

Hatte ich auch mal, generell hat NSCD unter debian 8 bei mir enorme Probleme gemacht.

Ich habe es letztendlich einfach weggelassen, seitdem läuft es prima.

[cdn]

Hmm Und dann? Ich würde schon gerne FCGID weiter nutzen und möchte die Nutzer ungern per Hand auf dem Server anlegen.

[d00p]

Wer sagt denn was von User manuell anlegen? Ich glaube Vengance meinte du sollst einfach das Caching in nscd deaktivieren (was ja im Grunde Sinn von NSCD ist). Dann sollte das Problem behoben sein.

[v3ng]

Ja, das wollte ich damit sagen

[cdn]

Ah alles klar. Okay, das ging aus dem Post nicht wirklich hervor!

 

Also in der /etc/nscd.conf einfach alle enable-cache auf no setzen oder?

[v3ng]

Ja, oder NSCD einfach deinstallieren.

Da müsstest du dann aber vermutlich auch das Skript entfernen, welches dafür sorgt, dass bei einem Start des Servers NSCD auch läuft.

Deine Methode ist wohl die einfachere. Aber nicht vergessen, danach NSCD neuzustarten

[cdn]

Danke. Ja daran hätte ich wohl gedacht ;-)

[v3ng]

Scheint behoben zu sein?

[cdn]

Nein leider nicht. Ist heute wieder aufgetreten.

[d00p]

ist ja unsinn wenn das nur sporadisch auftritt...wenn das ein echtes permission-problem wäre, dann hat der user entweder immer zugriff oder nie...so ein "hin und wieder" gibt es nicht

[cdn]

Naja es ist aber so. Wie es auch im Titel schon steht, tritt das Problem meistens 2x pro Woche auf.