As permissões de arquivo padrão para os logs nginx no Ubuntu são rw-r-----
. Esses arquivos são de propriedade de www-admin:adm
.
nginx
começa com o usuário root
, que tem o recurso CAP_DAC_OVERRIDE
por padrão (lembre-se que root
pode ler e gravar em qualquer arquivo no sistema) mas quando o confinamento do AppArmor entra em ação, o processo perde essa capacidade mesmo que seja executado como root
, o processo nginx principal não pode abrir os arquivos de log.
A solução está alterando as permissões para que root
também possa gravar nesses arquivos ou adicionar o recurso dac_override
ao perfil do nginx do AppArmor.