↑日記で日々積み重ねた情報をトップの「わんこのページ」にまとめています。

おのたく日記 [RDF] YouTubeも始めました→


2021-12-18(Sat) 2021年11月6日より「おのたく日記」動いてなかった [長年日記]

久しぶりに日記を書こうと思って、開こうとしてらHTTP 500エラー。

「サーバエラーって何よ?」と調べるとsuexec.logに

[2021-12-18 23:51:41]: uid: (9000/takuya) gid: (9000/takuya) cmd: index.rb

[2021-12-18 23:51:41]: failed to setgid/initgroups (9000: index.rb): Operation not permitted

とか出まくっている。よく調べると前回日記を更新した11月2日の4日後の11月6日から。

発生開始の原因は不明。他のMediawikiやpukiwikiなどは正常に動いてる。

ログを見るとaudit.logに

type=AVC msg=audit(1639753525.733:232873): apparmor="DENIED" operation="capable" profile="apache2//DEFAULT_URI" pid=1140731 comm="suexec" capability=6 capname="setgid"

なんてあり、apparmerでsuexecのsetgidが禁止されてしまっている模様。

suexecやapache2の該当リクエストをcomplainモードにしようと/etc/apparmer.d/localや、同じく/apache.d/あたりに追記してみても状況変わらず500エラー。

切羽詰まって、すべてのURIでsetgid許す駄目な設定と分かりつつ

^DEFAULT_URI flags=(attach_disconnected) {

include

include

capability setgid,

/ rw,

/** mrwlkix,

}

[/etc/apparmor.d/usr.sbin.apache2より引用]

と書くと、update.rbだけうまく行く。 (後で見てみると、この途中で、index.rbのgroupをwww-dataに変えたミスでindex.rbが動かなかったのだけど・・・)

なんか、aa-statusで、妙にたくさん登録されているのに気が付き、結局、

# aa-teardown

# systemctrl reload apparomer

として、aa-tearmdownで、きれいにして設定ファイルをreloadしたら、問題なく動いた・・・(なんてこった)

参考にした資料: AppArmor - ArchWiki

本日のPingbacks(全0件)

Google Web検索 on-o.com内を検索