nginxエラーがphp5-fpm.sockに接続できませんでした(13:権限が拒否されました)


290

nginxを1.4.7に、phpを5.5.12に更新しました。その後、502エラーが発生しました。更新する前に、すべてが正常に動作します。

nginx-error.log

2014/05/03 13:27:41 [crit] 4202#0: *1 connect() to unix:/var/run/php5-fpm.sock failed (13: Permission denied) while connecting to upstream, client: xx.xxx.xx.xx, server: localhost, request: "GET / HTTP/1.1", upstream: "fastcgi://unix:/var/run/php5-fpm.sock:", host: "xx.xx.xx.xx"

nginx.conf

user  www www;
worker_processes  1;

        location / {
            root   /usr/home/user/public_html;
            index  index.php index.html index.htm;
        }
        location ~ [^/]\.php(/|$) {
            fastcgi_split_path_info ^(.+?\.php)(/.*)$;
            fastcgi_pass unix:/var/run/php5-fpm.sock;
            fastcgi_index index.php;
            fastcgi_param  SCRIPT_FILENAME    /usr/home/user/public_html$fastcgi_script_name;
            include fastcgi_params;
        }

3
このバグレポートは、これがなぜ起こっているのかを説明しています:bugs.php.net/bug.php?id
Matt Cooper

1
ubuntu 14から16へのアップグレードからここに来るすべての人は、sockをunix:/var/run/php/php7.0-fpm.sockに変更する必要があります
Karussell

回答:


626

PHPの更新後に同様のエラーが発生しました。PHP は、ソケットファイルへのアクセス許可があったセキュリティバグを修正しましorw

  1. バージョンに応じて、/etc/php5/fpm/pool.d/www.confまたはを開き/etc/php/7.0/fpm/pool.d/www.confます。
  2. 次のように、すべての許可行のコメントを外します。

    listen.owner = www-data
    listen.group = www-data
    listen.mode = 0660
    
  3. fpmを再起動する- sudo service php5-fpm restartまたはsudo service php7.0-fpm restart

:ウェブサーバーがwww-data以外のユーザーとして実行されている場合は、www.confそれに応じてファイルを更新する必要があります


11
これにより、ソケットが誰にでも書き込み可能になることを考えると、これは恐ろしい解決策だと思わざるを得ません。
Shadur 2014年

11
このアプローチは、bugs.php.net / bug.php?id = 67060で解決された安全でないデフォルト設定を復元します-代わりにartooroによって提案されたlisten.owner修正を検討してください。
Chris Burgess、2014年

2
とても紛らわしい。答えが正しいように編集して(/ etcに移動...)、その後、再起動するまでしか機能しない安全性の低い方法があるかどうかコメントしてください(/ var / ..に移動)。
SamGoody 2014年

1
@Tecnocatなぜ安全性が低いのですか?同じだと思います。www-dataと660。それで、何が悪いのかわかりませんか?
Xander 2014

13
sudo usermod -aG www-data nginxnginxがファイルにアクセスできるようにします
AnthumChris

107

ここで現在言及されているすべての修正により、基本的にセキュリティホールが再び有効になります。

私がやったことは、PHP-FPM構成ファイルに次の行を追加することです。

listen.owner = www-data
listen.group = www-data

www-dataが実際にnginxワーカーを実行しているユーザーであることを確認してください。debianの場合、デフォルトではwww-dataです。

この方法でこれを行っても、この変更で修正されるはずだっセキュリティの問題は有効になりません。


16
nginxユーザー名を確認するにはps aux|grep nginx
SamGoody 2014年

2
Ubuntuの/etc/php5/fpm/php.ini
Reality Extractor

1
@RealityExtractor私はそうは思いません。このファイルには、一般的なPHP設定のみが含まれ、FPMプロセスマネージャーに関連するものはありません。
Martijn Heemels 14

4
私も、で/var/run/php5-fpm.sock作成されているため、手動で削除する必要がありましたwww-data。ただのヘッズアップ...
Giel Berkers 14

1
これは、セキュリティ面での適切な修正です。
jschorr 14

45

@Xanderのソリューションは機能しますが、再起動後も持続しません。

に変更listen.modeする必要があることがわかりまし0660/etc/php5/fpm/pool.d/www.conf

www.confのサンプル:

; Set permissions for unix socket, if one is used. In Linux, read/write
; permissions must be set in order to allow connections from a web server. Many
; BSD-derived systems allow connections regardless of permissions. 
; Default Values: user and group are set as the running user
;                 mode is set to 0660
;listen.owner = www-data
;listen.group = www-data
;listen.mode = 0660

編集: @Chris Burgessによると、これをより安全な方法に変更しました。

listen.mode、.group、および.ownerのコメントを削除しました。

listen.owner = www-data
listen.group = www-data
listen.mode = 0660

/ var / run現在ログインしているユーザーや実行中のデーモンなど、最後の起動以降に実行中のシステムに関する情報のみを保持します。(http://en.wikipedia.org/wiki/Filesystem_Hierarchy_Standard#Directory_structure)。

サイドノート:

私のphp5-fpm -vレポート:PHP 5.4.28-1+deb.sury.org~precise+1。この問題は最近のアップデート後にも発生しました。


5
このアプローチは、bugs.php.net / bug.php?id = 67060で解決された安全でないデフォルト設定を復元します-代わりにartooroによって提案されたlisten.owner修正を検討してください。
Chris Burgess

場合は、listen.acl_groups設定されている、listen.ownerlisten.group無視されます。私がを設定するlisten.acl_groups =と、502 /許可の問題はなくなりました。listen.上記のように行のコメントを外したところ、それが見つかり、502の問題が解決せずsystemctl status php-fpm、警告が表示されましたWARNING: [pool www] ACL set, listen.owner = 'nobody' is ignored
idoimaging

37

この投稿のすべてを試しましたが、PHPを正常に機能させることができない場合は、これが私の場合の問題を修正したものです。

/etc/php5/fpm/pool.d/www.confにこれらの行がコメント化されていないことを確認してください:

listen.owner = www-data
listen.group = www-data
listen.mode = 0660

/ etc / nginx / fastcgi_paramsが次のようになっていることを確認してください:

fastcgi_param  QUERY_STRING       $query_string;
fastcgi_param  REQUEST_METHOD     $request_method;
fastcgi_param  CONTENT_TYPE       $content_type;
fastcgi_param  CONTENT_LENGTH     $content_length;

fastcgi_param  SCRIPT_NAME        $fastcgi_script_name;
fastcgi_param  REQUEST_URI        $request_uri;
fastcgi_param  DOCUMENT_URI       $document_uri;
fastcgi_param  DOCUMENT_ROOT      $document_root;
fastcgi_param  SCRIPT_FILENAME    $document_root$fastcgi_script_name;
fastcgi_param  SERVER_PROTOCOL    $server_protocol;
fastcgi_param  PATH_INFO          $fastcgi_script_name;
fastcgi_param  HTTPS              $https if_not_empty;

fastcgi_param  GATEWAY_INTERFACE  CGI/1.1;
fastcgi_param  SERVER_SOFTWARE    nginx/$nginx_version;

fastcgi_param  REMOTE_ADDR        $remote_addr;
fastcgi_param  REMOTE_PORT        $remote_port;
fastcgi_param  SERVER_ADDR        $server_addr;
fastcgi_param  SERVER_PORT        $server_port;
fastcgi_param  SERVER_NAME        $server_name;

# PHP only, required if PHP was built with --enable-force-cgi-redirect
fastcgi_param  REDIRECT_STATUS    200;

これらの2行は私の/ etc / nginx / fastcgi_paramsにありませんでした。そこにあることを確認してください!

fastcgi_param  SCRIPT_FILENAME    $document_root$fastcgi_script_name;
fastcgi_param  PATH_INFO          $fastcgi_script_name;

次に、php5-fpmとnginxを再起動します。トリックを行う必要があります。


2
どうもありがとうございます!私は私の希望をすべて失っていました、これは私のお尻を救いました。
ディエゴカストロ

1
あなたは私のヒーローです、あなたはその日を救ったのです!
jeppeb 2015

1
私がどれほど感謝しているかを説明できる言葉はありません!パッケージを更新した後、すべてがうまくいき、これで一日が節約されました。
NikolaProkopić2016年

私はあなたに複数をあげたい+
g9m29

28

実際、「listen.mode」は「0666」ではなく「0660」である必要があります。「その他の書き込み可能」または「その他の読み取り可能」は、ここでは決して良い選択ではありません。

したがって、Webサーバーが実行しているユーザー/グループを確認してください。私はCentOを使用し、それはユーザー "nginx"として実行されるので、php-fpm.confに追加します。

listen.owner = nginx
listen.group = nginx
listen.mode = 0660

最後にphp-fpmを再起動します


価値があるのは、私のUbuntu 12.04システムでは、ユーザーとグループはwww-dataです。
ブラッド

1
CentOSの私にとっては、ユーザーを「nobody」、グループを「nginx」に設定することが機能しました。おそらく大きな改善ではないでしょうが、私はできる限り制限された許可を与えたいと思います。
Kzqai 2016年

23

nginxを実行しているユーザーを確認します。Ubuntu 12.04以降、nginxはwww-dataグループのメンバーではないnginxユーザーによって実行されます。

usermod -a -G www-data nginx

そしてnginxとphp5-fpmデーモンを再起動すると問題が解決します。


この修正は、最もクリーンでセキュリティに優れているようです。Ubuntu 14.04、Nginx 1.7.10、PHP 5.5.9-1ubuntu4.6(fpm-fcgi)で
作業

12

PHP設定で権限を広げる代わりに、nginx設定で指定されたユーザーを変更できます。

上記のnginx.confの抜粋の最初の行では、ユーザーとグループはそれぞれwwwとwwwとして指定されています。

user  www www;

一方、php設定ではユーザーとwww-dataのグループを指定している可能性があります。

listen.owner = www-data
listen.group = www-data

次に、nginx.confの行を次のいずれかに変更します。

user www-data www;
user www-data www-data; # or any group, really, since you have the user matching
user www www-data; # requires that your php listen.mode gives rw access to the group

どうもありがとうございました!
Aline Matos 2014年

どうもありがとうございました!nginx.confの変更が必要です。
LCB、2016

7

個別のFPMプールがある場合は、それも考慮する必要があります。

今日、これらの回答がどれもうまくいかなかった理由がわかりませんでした。これは、私にとって、「listen.user」と「listen.group」がプールごとに複製されることを忘れていた、忘れがたいシナリオでした。

私のように、各ユーザーアカウントがFPMプロセスとソケットを所有するさまざまなユーザーアカウントにプールを使用した場合、デフォルトのlisten.ownerおよびlisten.group構成オプションのみを 'nginx'に設定しても機能しません。そして明らかに、「nginx」にそれらすべてを所有させることも受け入れられません。

各プールについて、

listen.group = nginx

それ以外の場合は、プールの所有権などをそのままにすることができます。


ありがとうございました。Ngnixが異なるユーザーアカウントで機能する場合は、「listen.group = nginx」のように変更する必要があります
MURATSPLAT

6

今日、Ubuntu 14.04を実行しているマシン(PHPの更新を含む)を更新したところ、このエラーが再び発生しました。配布設定ファイル/etc/php5/fpm/pool.d/www.confは問題なく、現在変更を必要としません。

次のエラーが見つかりました:

dmesg | grep php
[...]
[ 4996.801789] traps: php5-fpm[23231] general protection ip:6c60d1 sp:7fff3f8c68f0 error:0 in php5-fpm[400000+800000]
[ 6788.335355] traps: php5-fpm[9069] general protection ip:6c5d81 sp:7fff98dd9a00 error:0 in php5-fpm[400000+7ff000]

奇妙なことは、私はこのマシンのいずれかで利用PHP-FPMは罰金と他の(タイニータイニーRSSインストール)を実行していたことを実行している2つのサイトを持っているということであった私に502与えた両方の罰金を実行されている前に

両方の構成ファイルを比較したところfastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;、影響を受けるサイトでは欠落していることがわかりました。

両方の構成ファイルに次のブロックが含まれ、再び正常に実行されます。

location ~ \.php$ {
        fastcgi_pass unix:/var/run/php5-fpm.sock;
        include /etc/nginx/snippets/fastcgi-php.conf;
}

更新

Ubuntuには2つのfastcgi関連のパラメーターファイルと、Vivid以降とPPAバージョンでも利用可能な構成スニペットが同梱されていることに注意してください。ソリューションはそれに応じて更新されました。

fastcgiパラメータファイルの差分:

$ diff -up fastcgi_params fastcgi.conf
--- fastcgi_params      2015-07-22 01:42:39.000000000 +0200
+++ fastcgi.conf        2015-07-22 01:42:39.000000000 +0200
@@ -1,4 +1,5 @@

+fastcgi_param  SCRIPT_FILENAME    $document_root$fastcgi_script_name;
 fastcgi_param  QUERY_STRING       $query_string;
 fastcgi_param  REQUEST_METHOD     $request_method;
 fastcgi_param  CONTENT_TYPE       $content_type;

の構成スニペット /etc/nginx/snippets/fastcgi-php.conf

# regex to split $uri to $fastcgi_script_name and $fastcgi_path
fastcgi_split_path_info ^(.+\.php)(/.+)$;

# Check that the PHP script exists before passing it
try_files $fastcgi_script_name =404;

# Bypass the fact that try_files resets $fastcgi_path_info
# see: http://trac.nginx.org/nginx/ticket/321
set $path_info $fastcgi_path_info;
fastcgi_param PATH_INFO $path_info;

fastcgi_index index.php;
include fastcgi.conf;

3
どうもありがとう。私は同じ問題を抱えています。パッケージにこの行が含まれていないのは奇妙です。それを/ etc / nginx / fastcgi_paramsに追加するだけで、すべてが再び機能するようになります。
Bukashk0zzz 2014

5

次の簡単な修正は私にとってうまくいき、ソケットで起こり得る権限の問題を回避しました。

nginx設定で、fastcgi_passを次のように設定します。

fastcgi_pass   127.0.0.1:9000;

の代わりに

fastcgi_pass   /var/run/php5-fpm.sock;

これは、/ etc / php5 / fpm / pool.d / www.confのlisten =パラメータと一致する必要があるため、次のように設定します。

listen = 127.0.0.1:9000;

次に、php5-fpmとnginxを再起動します

service php5-fpm restart

そして

service nginx restart

詳細については、https//wildlyinaccurate.com/solving-502-bad-gateway-with-nginx-php-fpm/を参照してください。


これはうまくいくかもしれませんが、靴下の問題を解決するためのソリューションではありません。
Chris

5

私の場合の問題は、nginx Webサーバーがユーザーnginxとして実行されており、プールがユーザーwww-dataとして実行されていることでした。

/etc/nginx/nginx.confファイルでNginxを実行しているユーザーを変更することで問題を解決しました(システムによって異なる場合があります。私のものはUbuntu 16.04.1です)

変化する: user nginx;

に: user www-data;

次に、Nginxを再起動します。 service nginx restart


4

シンプルですが動作します。

listen.owner = nginx
listen.group = nginx

chown nginx:nginx /var/run/php-fpm/php-fpm.sock

私が理解しているように、これは再起動後も存続しないため、一時的な修正が多くなります。
Chris

4

次の手順を実行して、Amazon Linux AMI 2016.09(Centos 7)で同じ問題を修正しました。

www.confファイルを開きます(例:sudo nano /etc/php-fpm.d/www.conf)最後に、listen.ownerとlisten.groupを設定する行を見つけ、その値を「nobody」から「nginx」に変更します":

listen.owner = nginx
listen.group = nginx
listen.mode = 0666

最後に、ユーザーとグループを設定し、それらの値を「apache」から「nginx」に変更する行を見つけます。

user = nginx
group = nginx

php-fpmを再起動します(sudo service php-fpm restart)


2
使用660は、代わりに666 666は非セキュアであり、このパッチによって固定しbugs.php.net/...
ザンダー

3

ここで最も重要なことは、ユーザーがnginxを使用していて、それを指定する必要があるかどうかです。

あなたのnginx.confで

user www-data;
worker_processes  1;

        location / {
            root   /usr/home/user/public_html;
            index  index.php index.html index.htm;
        }
        location ~ [^/]\.php(/|$) {
            fastcgi_split_path_info ^(.+?\.php)(/.*)$;
            fastcgi_pass unix:/var/run/php5-fpm.sock;
            fastcgi_index index.php;
            fastcgi_param  SCRIPT_FILENAME    /usr/home/user/public_html$fastcgi_script_name;
            include fastcgi_params;
        }

www.conf

listen.owner = www-data
listen.group = www-data
;listen.mode = 0660

あなたの場合、ユーザーとグループは「www」なので、単に置き換えてください。

  • nginxとphp fpmを再起動します

2

ユーザーごとに異なるプールがある場合は、ユーザーとグループが構成ファイルで正しく設定されていることを確認してください。nginxユーザーは/etc/nginx/nginx.confファイルにあります。nginxグループはnginxユーザーと同じです。

user = [pool-user]
group = [pool-group]
listen.owner = [nginx-user]
listen.group = [nginx-group]

2

SELINUX(/ etc / selinux)も確認してください。

# getenforce

消して:

# setenforce 0

1
何かを機能させるためにシステムのセキュリティを低下させることを選択すべきではありません。問題を解決するには、他の回答にある多くのオプションの1つを使用してください。特に理由がない限り、selinuxを無効にしないでください。
SlyDave、2018年

2

私の場合、php-fpmはまったく実行されていなかったので、サービスを開始するだけでした😂

service php7.3-fpm start
#on ubuntu 18.04

2

/etc/php5/php-fpm.conf pid = /var/run/php5-fpm.pidIS PIDファイルを参照してください

ファイルに /etc/php5/fpm/pool.d/www.conf

listen = /var/run/php5-fpm.sock IS SOCKETファイル

pidがlisten(pid = /var/run/php5-fpm.sock and listen = /var/run/php5-fpm.sock)に等しい場合->誤った設定でsettを終了した場合/etc/php5/fpm/pool.d/www.conf

user = nginx
group = nginx
listen.owner = nginx
listen.group = nginx
listen.mode = 0660


1

Ubuntu 14.04 ltsからUbuntu 16.04 ltsにアップグレードした後、私はこのエラーの別の理由を見つけました。

アップグレードプロセス中に、php5-fpm実行可能ファイルが完全に失われました。すべての構成ファイルはそのままで、service php5-fpm startエラーが表示されなかったため、プロセスが実際には開始されないことに気づくまでにしばらく時間がかかりました。

目が覚めた瞬間は、ソケットファイルが存在しないことに気づいたときでした。また、この問題を解決するために代替手段として試したポートでリッスンしているプロセスを示してい/var/run/php5-fpm.sockませんでしたnetstat -an。ファイル/ usr / sbin / php5-fpmも存在しなかったので、私は最終的に正しい軌道に乗っていました。

この問題を解決するために、phpをバージョン5.5から7.0にアップグレードしました。 apt-get install php-fpm副作用としてトリックを行いました。その後、他の必要なパッケージをインストールすると、すべてが正常に戻りました。


ただし、このアップグレードソリューションには独自の問題がある可能性があります。PHPはかなり進化しているので、ソフトウェアが想像を絶するような方法で壊れる可能性があります。ですから、私はその道を進んだとしても、あなたが好きなバージョンをもう少し長く保持したいと思うかもしれません。

幸いなことに、Windowsのカスタマイズサイトで説明されているように、そのための適切な方法があるようです

add-apt-repository ppa:ondrej/php
apt-get purge php5-common
apt-get update
apt-get install php5.6

きちんとした解決策かもしれませんが、私はそれを試しませんでした。次の数日は私が持っているべきかどうかを教えてくれると思います。


1

同様のエラーが発生しました。

すべての推奨事項は役に立ちませんでした。

www-dataをnginxで置き換えるだけで、次のことが可能になりました。

$ sudo chmod nginx:nginx /var/run/php/php7.2-fpm.sock

/var/www/php/fpm/pool.d/www.conf

user = nginx
group = nginx
...
listen.owner = nginx
listen.group = nginx
listen.mode = 0660

@Alexanderさん、chownコマンドを使用して所有者をnginxに変更する必要があります。これは本当に私を助けてくれました。
Pratik Ghela

0

サーバーのOSを何度か変更して、最も快適なシステムを実現しようとしました。

ほとんどの場合これは非常にうまく機能していましたが、最後にこの502ゲートウェイエラーが発生しました。

すべてに対して同じものを維持する代わりに、各アカウントにphp fpmソケットを使用します。したがって、1つがクラッシュしても、少なくとも他のアプリケーションは実行を続けます。

以前はユーザーとグループのwww-dataがありました。しかし、これは最新のNginx 1.8とphp5-fpmを備えた私のDebian 8で変更されました。

デフォルトのユーザーはnginxで、グループも同様です。これを確認するには、/ etc / groupおよび/ etc / passwdファイルを確認するのが最善の方法です。これらはうそをつくことはできません。

それはそこに私は今両方にnginxがあり、もはやwww-dataではないことがわかりました。

おそらく、これは、エラーメッセージが引き続き表示される理由を見つけようとしている一部の人々を助けることができます。

それは私のために働いた。


0

このスレッドですべてを試し、それでも立ち往生している人へ:これで私の問題は解決しました。/usr/local/nginx/conf/nginx.confを更新しました

  1. 言っている行のコメントを外します user

  2. それがwww-dataそうなるようにしてください:user www-data;

  3. 保存します(rootアクセスが必要です)

  4. nginxを再起動します


0

宣言がある場合

pid = /run/php-fpm.pid

そして

listen = /run/php-fpm.pid

異なる構成ファイルでは、rootがこのファイルの所有者になります。

弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.