Apache-Problem mit BS-Zugriff
Hallo miteinander, ich möchte das Paket 'gitweb' einsetzen und tue das auch ;). Es ist nicht groß, hat aber wunderbar geholfen. Nun habe ich nach längerer Pause wieder zugreifen wollen und scheitere. Ich versuche es auf 2 Hosts mit SLES 11 SP3, deren Apache m. W. identisch (bis auf den Hostnamen) konfiguriert ist. Bei dem einen (hier ist /srv/git via Symlink auf ein NFS-Volume eingebunden): [zeit] [error] [client 141.65.129.225] sh: /usr/bin/git: Permission denied, referer: http://svcinst.intranet.ufz.de/git/ [zeit] [error] [client 141.65.129.225] [Mon Mar 2 12:32:57 2015] gitweb.cgi: Can't cd to /var/lib/xdm/authdir: Permission denied, referer: http://svcinst.intranet.ufz.de/git/ [zeit] [error] [client 141.65.129.225] [Mon Mar 2 12:32:57 2015] gitweb.cgi: at /usr/share/gitweb/gitweb.cgi line 3078, referer: http://svcinst.intranet.ufz.de/git/ -> die Zeilen folgen 6 mal hintereinander [zeit] [error] [client 141.65.129.225] [Mon Mar 2 12:32:58 2015] gitweb.cgi: Can't exec "/usr/bin/git": Permission denied at /usr/share/gitweb/gitweb.cgi line 3266., referer: http://svcinst.intranet.ufz.de/git/ -> anschließend wird diese Meldung 6 mal angezeigt Bei dem anderen (hier ist /srv/git ein Symlink auf /srv/nfs/ersatz/srv/git; das Filesystem wird von diesem Host aus freigegeben und auf dem anderen Host gemountet): [zeit] [error] [client 141.65.128.22] sh: /usr/bin/git: Permission denied [zeit] [error] [client 141.65.128.22] [Mon Mar 2 12:33:44 2015] gitweb.cgi: Can't opendir(/zdisk/nfs4/ersatz/srv/git): Permission denied [zeit] [error] [client 141.65.128.22] [Mon Mar 2 12:33:44 2015] gitweb.cgi: at /usr/share/gitweb/gitweb.cgi line 3078 Da ergeben sich bei mir einige Fragen, z. B. -> welcher Sicherheitspatch (beide Systeme sind aktuell) hat die Berechtigungen entzogen? Im Sommer letzten Jahres klappte alles noch wunderbar. -> wie bekomme ich die Berechtigungen wieder hin, also wie sind sie entzogen worden? -> in der Apache-Konfiguration habe ich schon rumgeschraubt, mit "Options +FollowSymlinks", "AllowOverride AuthConfig" und "Satisfy any" habe ich die anfänglichen "configuration error: couldn't check user. No user file?: /git"-Fehler wegbekommen Dem User wwwrun habe ich testhalber die Shell /bin/bash gegeben; der Befehl "su - wwwrun -c /usr/bin/git" funktioniert, am Befehl liegt es also nicht... NFS-Freigabeoptionen sind übrigens (sync,no_subtree_check,no_root_squash,rw), gemountet wird (lt. "mount") (rw,relatime,vers=3,rsize=524288,wsize=524288,namlen=255,hard,proto=tcp, timeo=600,retrans=2,sec=sys,mountaddr=141.65.x.y,mountvers=3, mountport=53772,mountproto=udp,local_lock=none,addr=141.65.x.y) Ich hätte ja nun vermutet, dass AppArmor wieder zuschlägt, aber in den Logs finde ich nichts dergleichen, und ein Apache-Profile sehe ich auch nicht. Außerdem steht AA auf "Complain", nicht "Enforce". Wer hilft mir, die Ursache einzukreisen? Gruß Werner --
On Mon, Mar 02, 2015 at 01:11:49PM +0100, Werner Flamme wrote:
Hallo miteinander,
ich möchte das Paket 'gitweb' einsetzen und tue das auch ;). Es ist nicht groß, hat aber wunderbar geholfen. Nun habe ich nach längerer Pause wieder zugreifen wollen und scheitere. Ich versuche es auf 2 Hosts mit SLES 11 SP3, deren Apache m. W. identisch (bis auf den Hostnamen) konfiguriert ist.
Bei dem einen (hier ist /srv/git via Symlink auf ein NFS-Volume eingebunden):
[zeit] [error] [client 141.65.129.225] sh: /usr/bin/git: Permission denied, referer: http://svcinst.intranet.ufz.de/git/ [zeit] [error] [client 141.65.129.225] [Mon Mar 2 12:32:57 2015] gitweb.cgi: Can't cd to /var/lib/xdm/authdir: Permission denied, referer: http://svcinst.intranet.ufz.de/git/ [zeit] [error] [client 141.65.129.225] [Mon Mar 2 12:32:57 2015] gitweb.cgi: at /usr/share/gitweb/gitweb.cgi line 3078, referer: http://svcinst.intranet.ufz.de/git/ -> die Zeilen folgen 6 mal hintereinander [zeit] [error] [client 141.65.129.225] [Mon Mar 2 12:32:58 2015] gitweb.cgi: Can't exec "/usr/bin/git": Permission denied at /usr/share/gitweb/gitweb.cgi line 3266., referer: http://svcinst.intranet.ufz.de/git/ -> anschließend wird diese Meldung 6 mal angezeigt
Bei dem anderen (hier ist /srv/git ein Symlink auf /srv/nfs/ersatz/srv/git; das Filesystem wird von diesem Host aus freigegeben und auf dem anderen Host gemountet):
[zeit] [error] [client 141.65.128.22] sh: /usr/bin/git: Permission denied [zeit] [error] [client 141.65.128.22] [Mon Mar 2 12:33:44 2015] gitweb.cgi: Can't opendir(/zdisk/nfs4/ersatz/srv/git): Permission denied [zeit] [error] [client 141.65.128.22] [Mon Mar 2 12:33:44 2015] gitweb.cgi: at /usr/share/gitweb/gitweb.cgi line 3078
Da ergeben sich bei mir einige Fragen, z. B.
-> welcher Sicherheitspatch (beide Systeme sind aktuell) hat die Berechtigungen entzogen? Im Sommer letzten Jahres klappte alles noch wunderbar.
gitweb wird durch AppArmor abgesichert. Mit "logprof" die Apparmor Denies durchgehen und erlauben. Evt. Wobei er ja /usr/bin/git finden sollte, bzw er hat "/usr/lib/git/git rix, " whitegelistet.
-> wie bekomme ich die Berechtigungen wieder hin, also wie sind sie entzogen worden?
logprof
Ich hätte ja nun vermutet, dass AppArmor wieder zuschlägt, aber in den Logs finde ich nichts dergleichen, und ein Apache-Profile sehe ich auch nicht. Außerdem steht AA auf "Complain", nicht "Enforce".
Wuerde ich vermuten. Evt mal complain /usr/share/gitweb/gitweb.cgi
Wer hilft mir, die Ursache einzukreisen?
Ciao, Marcus -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
participants (2)
-
Marcus Meissner -
Werner Flamme