【问题标题】:Unix domain socket permissions between Ubuntu Lucid and TrustyUbuntu Lucid 和 Trusty 之间的 Unix 域套接字权限
【发布时间】:2014-11-05 18:16:51
【问题描述】:

我有一个 Web 应用程序,我正在从 Ubuntu Lucid 迁移到 Trusty。该应用程序通过 unix 域套接字与 Nginx 进行通信(使用 000 的 umask 创建)。在 Lucid 上,我对这个设置没有任何问题。但是,在 Trusty 上,使用相同的权限设置,Nginx 给了我以下错误:

*51 connect() to unix:/opt/run/skyhook/skyhook.socket failed (13: Permission denied) while connecting to upstream, client

检查两台服务器上的权限,我看到了:

清醒:

$ sudo ls -lh /opt/run/skyhook/skyhook.socket
srwxrwxrwx 1 skyhook skyhook 0 2014-08-21 17:09 /opt/run/skyhook/skyhook.socket
$ sudo sudo -u www-data ls -lh /opt/run/skyhook/skyhook.socket
srwxrwxrwx 1 skyhook skyhook 0 2014-08-21 17:09 /opt/run/skyhook/skyhook.socket

信任:

$ sudo ls -lh /opt/run/skyhook/skyhook.socket
srwxrwxrwx 1 skyhook skyhook 0 Nov  4 15:36 /opt/run/skyhook/skyhook.socket
$ sudo sudo -u www-data ls -lh /opt/run/skyhook/skyhook.socket
ls: cannot access /opt/run/skyhook/skyhook.socket: Permission denied

两台服务器上的权限相同,结果不同。 Nginx 在 Ubuntu 上作为 www-data 运行。使用777 权限,我希望 www-data 能够与套接字交互,但它不能。怎么回事?

更新:

/opt/run/skyhook在lucid和trusty上的权限是一样的:

$ sudo ls -lhd /opt/run/skyhook
drwxrwx--- 2 skyhook skyhook 4.0K Nov  4 15:36 /opt/run/skyhook

对于/opt/run,差异很小。清醒:

$ sudo ls -lhd /opt/run/
drwxrwxr-x 4 www-data www-data 4.0K 2014-01-27 18:11 /opt/run/

信任:

$ sudo ls -lhd /opt/run/
drwxr-xr-x 4 root root 4.0K Nov  4 09:33 /opt/run/

对于/opt,两者都是一样的:

$ sudo ls -lhd /opt/
drwxr-xr-x 7 root root 4.0K 2013-06-07 17:15 /opt/

但是,我看不出父目录之外的任何祖先会如何影响这一点?

【问题讨论】:

  • /opt/run/skyhook/ 的权限是什么? www-data 是否有执行权限?
  • 同样,/opt/run/opt 本身。
  • 我已更新问题以反映父目录权限。
  • www-data 用户是否属于skyhook 组?如果没有,那么它没有权限chdir()/opt/run/skyhook 或阅读它...id -a www-data 检查...
  • @twalberg 是的,事实上,这就是问题所在。随意添加答案。

标签: linux sockets ubuntu-10.04 ubuntu-14.04 unix-socket


【解决方案1】:

鉴于更新,/opt/run/skyhook 目录似乎仅授予 a) skyhook 用户和 b) 属于 skyhook 组成员的任何用户的权限。

www-data 无法访问/opt/run/skyhook 目录中的文件的系统上,很可能www-data 不是skyhook 组的成员,而另一方面它确实具有这样的成员资格系统。

这可以通过将www-data 添加到skyhook 组来解决,或者通过向/opt/run/skyhook 上的世界授予读取/执行权限,使其看起来类似于/opt/run 上的权限。

【讨论】:

  • 最后是一个愚蠢的错误。我正在从一个主要是手工组装的服务器转移到一个托管配置服务器,所以像这样晦涩但重要的细节将被编入某个地方!
猜你喜欢
  • 2014-02-16
  • 1970-01-01
  • 2017-10-09
  • 2010-11-02
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
  • 2020-10-13
  • 1970-01-01
相关资源
最近更新 更多