Apache + mod_fcgid + mod_security chrootを実行しているWebサーバーを設定しようとしていますが、正常に動作するのが困難です。 Apacheは公式のCentOSリポジトリからインストールされ、mod_fcgidとmod_securityはEPELリポジトリからインストールされます。
当初はchrootを有効にしてApacheを起動することはできませんでしたが、多くの部分を修正しましたが、まだ解決する必要がある問題が残っています。
最初の問題は、Apacheが停止した状態で起動しようとすると問題なく開始されますが、実行中に再起動しようとすると、次の結果が表示されます。
$ service httpd restart
Stopping httpd: [FAILED]
Starting httpd: (98)Address already in use: make_sock: could not bind to address [::]:80
(98)Address already in use: make_sock: could not bind to address 0.0.0.0:80
no listening sockets available, shutting down
Unable to open logs
[FAILED]
Apacheエラーログ
[Mon Jun 17 07:47:51 2013] [notice] suEXEC mechanism enabled (wrapper: /usr/sbin/suexec)
[Mon Jun 17 07:47:52 2013] [notice] ModSecurity: chroot checkpoint #1 (pid=954 ppid=953)
[Mon Jun 17 07:47:52 2013] [notice] ModSecurity for Apache/2.7.3 (http://www.modsecurity.org/) configured.
[Mon Jun 17 07:47:52 2013] [notice] ModSecurity: APR compiled version="1.3.9"; loaded version="1.3.9"
[Mon Jun 17 07:47:52 2013] [notice] ModSecurity: PCRE compiled version="7.8 "; loaded version="7.8 2008-09-05"
[Mon Jun 17 07:47:52 2013] [notice] ModSecurity: LUA compiled version="Lua 5.1"
[Mon Jun 17 07:47:52 2013] [notice] ModSecurity: LIBXML compiled version="2.7.6"
[Mon Jun 17 07:47:52 2013] [notice] Digest: generating secret for digest authentication ...
[Mon Jun 17 07:47:52 2013] [notice] Digest: done
[Mon Jun 17 07:47:53 2013] [notice] ModSecurity: chroot checkpoint #2 (pid=955 ppid=1)
[Mon Jun 17 07:47:53 2013] [notice] ModSecurity: chroot successful, path=/var/www
[Mon Jun 17 07:47:53 2013] [notice] Apache/2.2.15 (Unix) DAV/2 mod_fcgid/2.3.7 configured -- resuming normal operations
2番目の問題は、通常のHTMLファイルは問題なく実行されますが、PHPページはそうではないということです。
mod_securityログ;
--98586c48-A--
[17/Jun/2013:08:01:37 --0400] Ub76oUJVtI0AAAPEDiYAAAAG CLIENT_IP_GOES_HERE 51722 SERVER_IP_GOES_HERE 80
--98586c48-B--
GET /testphp.php HTTP/1.1
Host: hostname
User-Agent: Mozilla/5.0 (Windows NT 6.2; WOW64; rv:20.0) Gecko/20100101 Firefox/20.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-gb,en;q=0.5
Accept-Encoding: gzip, deflate
Cookie: PHPSESSID=5a9jqak7dt30l2vvrs9c74lo81
Connection: keep-alive
Cache-Control: max-age=0
--98586c48-F--
HTTP/1.1 500 Internal Server Error
Content-Length: 543
Connection: close
Content-Type: text/html; charset=iso-8859-1
--98586c48-E--
--98586c48-H--
Apache-Error: [file "fcgid_proc_unix.c"] [line 637] [level 4] [status 104] mod_fcgid: error reading data from FastCGI server
Apache-Error: [file "/builddir/build/BUILD/httpd-2.2.15/server/util_script.c"] [line 435] [level 19] Premature end of script headers: testphp.php
Apache-Handler: fcgid-script
Stopwatch: 1371470497629709 2809 (- - -)
Stopwatch2: 1371470497629709 2809; combined=25, p1=3, p2=10, p3=1, p4=1, p5=9, sr=0, sw=1, l=0, gc=0
Response-Body-Transformed: Dechunked
Producer: ModSecurity for Apache/2.7.3 (http://www.modsecurity.org/).
Server: Apache
Engine-Mode: "ENABLED"
--98586c48-Z--
私はどこで間違っていますか?私は何を見逃していますか?
ベストアンサー1
主な問題
最初の質問は比較的簡単です。これは、他のデーモン/サービスがすでにポート80を使用していることを意味します。これは、Apacheがブラウザの接続をリッスンすることを期待するTCPポートです。
このコマンドは、それを使用する内容を示しています。
$ netstat -tapn |grep :80
$ netstat -tapn |grep :80
tcp 0 0 :::80 :::* LISTEN 13415/httpd
tcp 0 0 ::ffff:127.0.0.1:80 ::ffff:127.0.0.1:35880 TIME_WAIT -
tcp 0 0 ::ffff:127.0.0.1:80 ::ffff:127.0.0.1:35909 TIME_WAIT -
tcp 0 0 ::ffff:192.168.1.105:80 ::ffff:192.168.1.6:40061 TIME_WAIT -
tcp 0 0 ::ffff:192.168.1.105:80 ::ffff:192.168.1.6:40060 TIME_WAIT -
ここでは、Apache(httpd)がすでに実行されており、そのプロセスIDが13415であることがわかります。
これを終了するか、ポート80でリッスンしている他の項目を調べることができます。
2番目の用語
2番目の質問について言えば、現在Apacheサーバーはすでに実行中ですが想像していた方法ではないようです。だからそれを殺し、2番目の問題が消えていることを確認してください。
それ以外の場合は、CentOSリポジトリからいくつかの追加パッケージをインストールする必要があります。特にPHPや特定のアプリケーションに必要なその他すべて。
sudoただし、Apacheサービスをrootとして停止/開始するか、コマンドを使用していることを確認してください。一般ユーザーはこのサービスを停止/開始できません。
3番目の問題
suEXECOPが指摘したように、Chrooted Jailでの使用は直接サポートされていないため、suEXECパッチが必要です。現在のバージョンsuEXEC。
以下は、全体的なアーキテクチャを説明する非常に良いチュートリアルです。suEXECchrootをサポートできるようにApacheを設定し、この方法で手順を再コンパイルします。