SeLinux+CentOS+Apache+mod_fastcgi配置FastCGI环境

转帖请注明出处！！！

 

说明：

最近因为一些原因需要配置FastCGI环境，网上资料一堆，但是没有哪个能完全搞定我的需求，几经折腾，终于配置好，下面作个总结，免得日后忘记。

 

环境：

CentOS5.3（32bit）

Apache 2.2.3

php5.1.6

selinux状态：Enforcing

 

配置步骤：

1. 使用yum安装好Apache、PHP等，并做好基本配置；

2. 安装编译mod_fastcgi模块需要的包：

    #yum install httpd-devel apr apr-devel libtool

3. 从FastCGI官方网站下载mod_fastcgi模块源码包：

    #wget http://www.fastcgi.com/dist/mod_fastcgi-2.4.6.tar.gz

4. 解压上述压缩包，并执行编译、安装：

    #tar zxvf mod_fastcgi-2.4.6.tar.gz

    #cd mod_fastcgi-2.4.6

    （下面依据解压出的目录中的README文件的说明进行编译安装）

    #cp Makefile.AP2 Makefile

    #vim Makefile

    通过vim修改Makefile中的宏top_dir为httpd安装路径/usr/lib/httpd，保存，退出，接着执行下述命令

    #make

    #make install

5. 配置Apache支持mod_fastcgi模块：

    #cd /var/www/

    #mkdir fcgi-bin

    #chcon -R -t httpd_sys_script_exec_t /var/www/fcgi-bin

    #cd /etc/httpd/conf.d/

    #vim fastcgi.conf

    通过vim新建一个配置文件，编辑并保存如下内容

    ##########################
    # FastCGI configuration. #
    # fastcgi.conf           #
    ##########################
    LoadModule fastcgi_module modules/mod_fastcgi.so
    ScriptAlias /fcgi-bin/ "/var/www/fcgi-bin"
    <Directory "/var/www/fcgi-bin">
            AllowOverride None
            Options +ExecCGI -Includes
            AddHandler fastcgi-script .fcg .fcgi
            Order allow,deny
            Allow from all
    </Directory>
    FastCgiIpcDir "/tmp/fcgi-ipc"

6. 重启httpd服务：

    #/etc/init.d/httpd restart

7. 查看是否成功：

    #vim /var/log/httpd/error_log

    如果看到类似mod_fastcgi配置成功之类的话，就OK了

    此处可能看到错误（“问题及解决”部分再阐述）：

    [error]FastCGI: access for server (uid -1, gid -1) failed: read not allowed

    [error]FastCGI: can't create dynamic directory "/tmp/fcgi-ipc/dynamic": access for server (uid -1, gid -1) failed: read not allowed

    是说使用uid为-1的用户去读取/tmp/fcgi-ipc/dynamic失败，因为该目录权限为

    drwx------ root root        fcgi-ipc

    但是httpd依然能正常启动

8. 从FastCGI官方网站下载FastCGI开发库：

    #wget http://www.fastcgi.com/dist/fcgi-2.4.0.tar.gz

9. 解压、编译、安装开发库：

    #tar zxvf fcgi-2.4.0.tar.gz

    #cd fcgi-2.4.0

    （下面依据解压出的目录中的README文件的说明进行编译安装）

    #./configure

    #make

    #make install

    安装完成后，需要编辑/etc/ld.so.conf，添加/usr/local/lib，

    执行：ldconfig （动态链接库的管理命令）

10. 运行例子程序来测试一下：

    #cd fcgi-2.4.0

    #gcc -o echo.fcgi echo.c -I/usr/local/lib -lfcgi

    #cp ./echo.fcgi /var/www/fcgi-bin/

    打开浏览器，在地址栏输入 http://localhost/fcgi-bin/echo.fcgi看看能否正常显示echo.fcgi程序执行的结果

 

问题及解决：

1. 启动httpd可能遇到的失败情况：

    access for server (uid -1, gid -1) failed: read not allowed

    原因很明显，因为自动建立的/tmp/fcgi-ipc/dynamic权限为

    drwx------ root root        fcgi-ipc

    但是从错误提示来看，Apache在启动过程中的某阶段会尝试使用uid=-1的用户去访问这个目录，所以会失败，

    这个目录主要用于放置FastCGI模块和Apache服务器通信用的socket，为什么不直接使用root或者apache用户去访问这个目录呢？

    也许是配置的问题，现在还不十分清楚。

    解决方案：

    只需要临时更新该目录的权限即可

    #chmod -R o+rwx /tmp/fcgi-ipc

    为了方便后续以apache账户访问该目录正常，现一并把该目录拥有者改为apache

    #chown -R apache:apache /tmp/fcgi-ipc

    改为后，重启httpd

    #/etc/init.d/httpd restart

    打开浏览器，在地址栏输入 http://localhost/fcgi-bin/echo.fcgi看看能否正常显示echo.fcgi程序执行的结果

    可以看到socket文件创建成功了，但是还是无法显示正常结果呢（后面说明）

    安全起见，现在，可以把临时改变的目录权限改回来

    #chmod -R o-rwx /tmp/fcgi-ipc

2. 为什么还不能显示呢？通过观察/var/log/httpd/error_log，我们可能发现类似如下错误：

    (13)Permission denied: FastCGI: can't create (dynamic) server "/var/www/fcgi-bin/echo.fcgi": bind() failed [/tmp/fcgi-ipc/dynamic/......] 

    (13)Permission denied: FastCGI: failed to connect to server "/var/www/fcgi-bin/echo.fcgi": connect() failed......    

    权限既然已经没问题了，那就要考虑是不是seLinux引起的，通过观察/var/log/message，我们可以看到确实是seLinux的拦截导致的失败，但是

    参考/var/log/message里面的建议不一定能搞定。

    解决方案：

    求助audit2why和audit2allow，命令如下

    #audit2why < /var/log/audit/audit.log

    我们会看到很多错误，根据提示使用avc作为audit2allow输入，来添加允许访问的规则，操作如下

    #grep '88cf197ab......' /var/log/audit/audit.log | audit2allow -M myhttpdrule

    其中那段'88cf197ab......'是指socket文件名称，下面按提示执行

    #semodule -i myhttpdrule.pp

 

至此，终于能访问了。。。

转载于:https://my.oschina.net/u/2434281/blog/619652