おのたく日記 YouTubeも始めました→
2021-12-18(Sat) 2021年11月6日より「おのたく日記」動いてなかった [長年日記]
■ 久しぶりに日記を書こうと思って、開こうとしてらHTTP 500エラー。
「サーバエラーって何よ?」と調べるとsuexec.logに
[2021-12-18 23:51:41]: uid: (9000/takuya) gid: (9000/takuya) cmd: index.rb
[2021-12-18 23:51:41]: failed to setgid/initgroups (9000: index.rb): Operation not permitted
とか出まくっている。よく調べると前回日記を更新した11月2日の4日後の11月6日から。
発生開始の原因は不明。他のMediawikiやpukiwikiなどは正常に動いてる。
ログを見るとaudit.logに
type=AVC msg=audit(1639753525.733:232873): apparmor="DENIED" operation="capable" profile="apache2//DEFAULT_URI" pid=1140731 comm="suexec" capability=6 capname="setgid"
なんてあり、apparmerでsuexecのsetgidが禁止されてしまっている模様。
suexecやapache2の該当リクエストをcomplainモードにしようと/etc/apparmer.d/localや、同じく/apache.d/あたりに追記してみても状況変わらず500エラー。
切羽詰まって、すべてのURIでsetgid許す駄目な設定と分かりつつ
^DEFAULT_URI flags=(attach_disconnected) {
include
include
capability setgid,
/ rw,
/** mrwlkix,
}
[/etc/apparmor.d/usr.sbin.apache2より引用]
と書くと、update.rbだけうまく行く。 (後で見てみると、この途中で、index.rbのgroupをwww-dataに変えたミスでindex.rbが動かなかったのだけど・・・)
なんか、aa-statusで、妙にたくさん登録されているのに気が付き、結局、
# aa-teardown
# systemctrl reload apparomer
として、aa-tearmdownで、きれいにして設定ファイルをreloadしたら、問題なく動いた・・・(なんてこった)
参考にした資料: AppArmor - ArchWiki
|