O Nginx não pode se conectar ao soquete uWSGI com permissões corretas

Navegue suas respostas
3

Estou tentando conectar o Nginx ao uWSGI para poder executar um aplicativo escrito em Ruby (no qual não posso usar o passageiro). Esta é a minha configuração de host virtual: 

server {    
        listen unix:/var/run/nginx/redmine.sock;
        root /var/www/redmine/public;

        location / {
                try_files $uri @uwsgi;
        }

        location @uwsgi {
                include uwsgi_params;
                uwsgi_pass unix:/var/run/uwsgi/redmine.sock;
        }
}

É fácil, eu tento achar um arquivo estático, senão eu passo para o uwsgi ouvindo no socket unix. Isso me preocupa um erro 502 de "gateway ruim". Fui ler os logs de erro e tenho o seguinte: 

2014/09/09 20:08:56 [crit] 20922#0: *29484 connect() to unix:/var/run/uwsgi/redmine.sock failed (13: Permission denied) while connecting to upstream, client: unix:, server: , request: "GET /redmine HTTP/1.0", upstream: "uwsgi://unix:/var/run/uwsgi/redmine.sock:", host: "localhost"

Mas eu tinha certeza de que configurei o uWSGI para usar o mesmo usuário que o Nginx faz: 

user nginx;

e 

[uwsgi]
socket = /var/run/uwsgi/redmine.sock
chdir = /var/www/redmine
rails = .
plugins = 0:rack_ruby20
rack = config.ru
idle = 3600

chmod-socket = 660
chown-socket = nginx:nginx
uid = nginx
gid = nginx

E o soquete é: 

fenix ~ # ls -lh /var/run/uwsgi/redmine.sock 
srw-rw---- 1 nginx nginx 0 Set  9 20:08 /var/run/uwsgi/redmine.sock

Então, o Nginx não consegue nem ler e escrever em um soquete que possui? O que isso quer dizer? Eu não consigo descobrir como fazer isso.

Notei também que o Nginx não funciona mesmo que as permissões do socket sejam 777.

    
por ranisalt 10.09.2014 / 01:51

1 resposta

6

Eu tive um problema semelhante com permissões e foi resultado do SELinux não ter a política para o nginx gravar em sockets

Você pode verificar as mensagens do SELinux AVC via audit2why -al para ver mais detalhes do erro, algo como 

type=AVC msg=audit(1414460265.454:2612): avc:  denied  { connectto } for  pid=22107 comm="nginx" path="/tmp/uwsgi.sock" scontext=system_u:system_r:httpd_t:s0 tcontext=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 tclass=unix_stream_socket
Was caused by:
    Missing type enforcement (TE) allow rule.

    You can use audit2allow to generate a loadable module to allow this access.

Para adicionar a política de imposição do nginx, primeiro confirme a política de imposição executando 

> grep nginx /var/log/audit/audit.log | audit2allow -m nginx

Você deve ver uma saída semelhante a 

module nginx 1.0;

require {
    type unconfined_t;
    type httpd_t;
    type home_root_t;
    type soundd_port_t;
    class sock_file write;
    class unix_stream_socket connectto;
    class tcp_socket name_connect;
}

#============= httpd_t ==============

#!!!! This avc is allowed in the current policy
allow httpd_t home_root_t:sock_file write;

#!!!! This avc is allowed in the current policy
allow httpd_t soundd_port_t:tcp_socket name_connect;
allow httpd_t unconfined_t:unix_stream_socket connectto;

Por fim, você carrega a política personalizada executando 

> grep nginx /var/log/audit/audit.log | audit2allow -M nginx
> semodule -i nginx.pp
    
por 28.10.2014 / 03:09

Tags

adb falha com “não é possível ligar 'local: 5037'” Windows Explorer - Como um arquivo grande pode ter um valor zero “Tamanho no disco”? O que isso significa