nginx错误连接到php5-fpm.sock失败(13:权限被拒绝)

时间:2014-05-03 10:47:54

标签: unix nginx php

我将nginx更新为 1.4.7 ,将php更新为 5.5.12 ,之后我收到 502错误。在我更新之前一切正常。

的nginx-error.log中

2014/05/03 13:27:41 [crit] 4202#0: *1 connect() to unix:/var/run/php5-fpm.sock failed (13: Permission denied) while connecting to upstream, client: xx.xxx.xx.xx, server: localhost, request: "GET / HTTP/1.1", upstream: "fastcgi://unix:/var/run/php5-fpm.sock:", host: "xx.xx.xx.xx"

nginx.conf

user  www www;
worker_processes  1;

        location / {
            root   /usr/home/user/public_html;
            index  index.php index.html index.htm;
        }
        location ~ [^/]\.php(/|$) {
            fastcgi_split_path_info ^(.+?\.php)(/.*)$;
            fastcgi_pass unix:/var/run/php5-fpm.sock;
            fastcgi_index index.php;
            fastcgi_param  SCRIPT_FILENAME    /usr/home/user/public_html$fastcgi_script_name;
            include fastcgi_params;
        }

26 个答案:

答案 0 :(得分:593)

php更新后我遇到了类似的错误。 PHP修复了security bug o {/ 1}}对套接字文件的rw权限。

  1. 根据您的版本打开/etc/php5/fpm/pool.d/www.conf/etc/php/7.0/fpm/pool.d/www.conf
  2. 取消注释所有权限行,例如:

    listen.owner = www-data
    listen.group = www-data
    listen.mode = 0660
    
  3. 重新启动fpm - sudo service php5-fpm restartsudo service php7.0-fpm restart

  4. 注意:如果您的网络服务器以www-data以外的用户身份运行,则需要相应地更新www.conf文件

答案 1 :(得分:105)

此处提到的所有修复程序基本上都会重新启用安全漏洞。

我最终做的是将以下行添加到我的PHP-FPM配置文件中。

listen.owner = www-data
listen.group = www-data

确保www-data实际上是nginx worker正在运行的用户。对于debian,它默认为www-data。

这样做不会启用security problem that this change was supposed to fix

答案 2 :(得分:45)

@ Xander的解决方案有效,但重启后不会持续存在。

我发现我必须在listen.mode中将0660更改为/etc/php5/fpm/pool.d/www.conf

来自www.conf的样本:

; Set permissions for unix socket, if one is used. In Linux, read/write
; permissions must be set in order to allow connections from a web server. Many
; BSD-derived systems allow connections regardless of permissions. 
; Default Values: user and group are set as the running user
;                 mode is set to 0660
;listen.owner = www-data
;listen.group = www-data
;listen.mode = 0660

编辑:根据@Chris Burgess,我已将此更改为更安全的方法。

我删除了listen.mode,.group和.owner:

的评论
listen.owner = www-data
listen.group = www-data
listen.mode = 0660

/ var / run仅保存自上次启动以来正在运行的系统的信息,例如,当前登录的用户和正在运行的守护程序。 (http://en.wikipedia.org/wiki/Filesystem_Hierarchy_Standard#Directory_structure)。

旁注:

我的php5-fpm -v报告:PHP 5.4.28-1+deb.sury.org~precise+1。这个问题确实发生在最近的更新之后。

答案 3 :(得分:37)

如果你已经尝试过这篇文章中的所有内容但是没有成功地让PHP工作,那么就是根据我的情况修复了它:

确保在/etc/php5/fpm/pool.d/www.conf中取消注释这些行:

listen.owner = www-data
listen.group = www-data
listen.mode = 0660

确保/ etc / nginx / fastcgi_params看起来像这样:

fastcgi_param  QUERY_STRING       $query_string;
fastcgi_param  REQUEST_METHOD     $request_method;
fastcgi_param  CONTENT_TYPE       $content_type;
fastcgi_param  CONTENT_LENGTH     $content_length;

fastcgi_param  SCRIPT_NAME        $fastcgi_script_name;
fastcgi_param  REQUEST_URI        $request_uri;
fastcgi_param  DOCUMENT_URI       $document_uri;
fastcgi_param  DOCUMENT_ROOT      $document_root;
fastcgi_param  SCRIPT_FILENAME    $document_root$fastcgi_script_name;
fastcgi_param  SERVER_PROTOCOL    $server_protocol;
fastcgi_param  PATH_INFO          $fastcgi_script_name;
fastcgi_param  HTTPS              $https if_not_empty;

fastcgi_param  GATEWAY_INTERFACE  CGI/1.1;
fastcgi_param  SERVER_SOFTWARE    nginx/$nginx_version;

fastcgi_param  REMOTE_ADDR        $remote_addr;
fastcgi_param  REMOTE_PORT        $remote_port;
fastcgi_param  SERVER_ADDR        $server_addr;
fastcgi_param  SERVER_PORT        $server_port;
fastcgi_param  SERVER_NAME        $server_name;

# PHP only, required if PHP was built with --enable-force-cgi-redirect
fastcgi_param  REDIRECT_STATUS    200;

我的/ etc / nginx / fastcgi_params中缺少这两行,请确保它们在那里!

fastcgi_param  SCRIPT_FILENAME    $document_root$fastcgi_script_name;
fastcgi_param  PATH_INFO          $fastcgi_script_name;

然后,重启php5-fpm和nginx。应该做的伎俩。

答案 4 :(得分:25)

事实上,“listen.mode”应该是:“0660”而不是“0666”,因为其他可写或其他可读在这里绝不是一个好选择。

因此,请尝试找出您的网络服务器运行的用户/组。我使用CentOs,它以用户“nginx”运行 所以添加到你的php-fpm.conf:

listen.owner = nginx
listen.group = nginx
listen.mode = 0660

终于重启php-fpm

答案 5 :(得分:22)

检查哪个用户运行nginx。从Ubuntu 12.04开始,nginx由nginx用户运行,该用户不是www-data组的成员。

  

usermod -a -G www-data nginx

并重新启动nginx和php5-fpm守护进程解决了这个问题。

答案 6 :(得分:11)

除了扩展php配置中的权限外,您还可以更改nginx配置中指定的用户。

在上面nginx.conf摘录的第一行,用户和组分别指定为www和www。

user  www www;

同时,你的php配置可能指定了一个用户和一组www-data:

listen.owner = www-data
listen.group = www-data

您可以将nginx.conf中的行更改为以下任何一行,然后:

user www-data www;
user www-data www-data; # or any group, really, since you have the user matching
user www www-data; # requires that your php listen.mode gives rw access to the group

答案 7 :(得分:6)

还必须考虑您的个人FPM池(如果有的话)。

我无法弄清楚为什么今天这些答案都不适合我。这对我来说是一个一劳永逸的场景,在那里我忘记了listen.user和listen.group是按照每个池重复的。

如果您像我一样将池用于不同的用户帐户,每个用户帐户拥有其FPM进程和套接字,则只将默认的listen.owner和listen.group配置选项设置为“nginx”将无法正常工作。显然,让'nginx'拥有它们也是不可接受的。

对于每个游泳池,请确保

listen.group = nginx

否则,您可以单独保留池的所有权。

答案 8 :(得分:6)

我今天再次遇到此错误,因为我更新了运行 Ubuntu 14.04 的计算机(使用PHP更新)。分发配置文件/etc/php5/fpm/pool.d/www.conf很好,目前不需要任何更改。

我发现了以下错误:

dmesg | grep php
[...]
[ 4996.801789] traps: php5-fpm[23231] general protection ip:6c60d1 sp:7fff3f8c68f0 error:0 in php5-fpm[400000+800000]
[ 6788.335355] traps: php5-fpm[9069] general protection ip:6c5d81 sp:7fff98dd9a00 error:0 in php5-fpm[400000+7ff000]

奇怪的是,我有2个运行在这台机器上运行PHP-FPM的站点运行正常,另一个运行(Tiny Tiny RSS安装)给了我一个502,其中两个都有在之前运行良好的

我比较了两个配置文件,发现受影响的网站缺少fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;

现在,两个配置文件都包含以下块,并且再次正常运行:

location ~ \.php$ {
        fastcgi_pass unix:/var/run/php5-fpm.sock;
        include /etc/nginx/snippets/fastcgi-php.conf;
}

更新

应该注意的是,Ubuntu提供了两个与fastcgi相关的参数文件以及一个自Vivid以及PPA版本以来可用的配置片段。解决方案已相应更新。

fastcgi参数文件的差异:

$ diff -up fastcgi_params fastcgi.conf
--- fastcgi_params      2015-07-22 01:42:39.000000000 +0200
+++ fastcgi.conf        2015-07-22 01:42:39.000000000 +0200
@@ -1,4 +1,5 @@

+fastcgi_param  SCRIPT_FILENAME    $document_root$fastcgi_script_name;
 fastcgi_param  QUERY_STRING       $query_string;
 fastcgi_param  REQUEST_METHOD     $request_method;
 fastcgi_param  CONTENT_TYPE       $content_type;

/etc/nginx/snippets/fastcgi-php.conf

中的配置代码段
# regex to split $uri to $fastcgi_script_name and $fastcgi_path
fastcgi_split_path_info ^(.+\.php)(/.+)$;

# Check that the PHP script exists before passing it
try_files $fastcgi_script_name =404;

# Bypass the fact that try_files resets $fastcgi_path_info
# see: http://trac.nginx.org/nginx/ticket/321
set $path_info $fastcgi_path_info;
fastcgi_param PATH_INFO $path_info;

fastcgi_index index.php;
include fastcgi.conf;

答案 9 :(得分:4)

我已通过以下步骤修复了Amazon Linux AMI 2016.09(Centos 7)上的相同问题。

打开 www.conf 文件(例如:sudo nano /etc/php-fpm.d/www.conf) 最后,找到设置listen.owner和listen.group的行,并从" nobody"中更改它们的值。到" nginx":

listen.owner = nginx
listen.group = nginx
listen.mode = 0666

最后,找到设置用户和组的行,并从" apache"中更改它们的值。到" nginx":

user = nginx
group = nginx

重启php-fpm(sudo service php-fpm restart)

答案 10 :(得分:4)

以下简单修复程序适用于我,绕过套接字可能的权限问题。

在你的nginx配置中,将fastcgi_pass设置为:

fastcgi_pass   127.0.0.1:9000;

而不是

fastcgi_pass   /var/run/php5-fpm.sock;

这必须与/etc/php5/fpm/pool.d/www.conf中的listen =参数匹配,因此也将其设置为:

listen = 127.0.0.1:9000;

然后重启php5-fpm和nginx

service php5-fpm restart

service nginx restart

有关详细信息,请参阅:https://wildlyinaccurate.com/solving-502-bad-gateway-with-nginx-php-fpm/

答案 11 :(得分:4)

简单但有效......

listen.owner = nginx
listen.group = nginx

chown nginx:nginx /var/run/php-fpm/php-fpm.sock

答案 12 :(得分:4)

我的问题是,Nginx Web服务器以用户nginx的身份运行,并且该池以用户www-data的形式运行。

我通过更改用户Nginx在/etc/nginx/nginx.conf文件中运行来解决了这个问题(在您的系统上可能有所不同,我的是Ubuntu 16.04.1)

更改:user nginx;

至:user www-data;

然后重启Nginx:service nginx restart

答案 13 :(得分:2)

我有类似的错误。

所有建议都无济于事。

使用nginx唯一替代www-data可以帮助:

$ sudo chown nginx:nginx /var/run/php/php7.2-fpm.sock

/var/www/php/fpm/pool.d/www.conf

user = nginx
group = nginx
...
listen.owner = nginx
listen.group = nginx
listen.mode = 0660

答案 14 :(得分:1)

同时检查SELINUX(/ etc / selinux):

# getenforce

将其关闭:

# setenforce 0

答案 15 :(得分:1)

从Ubuntu 14.04升级到Ubuntu 16.04升后,我发现了另一个我之前没见过的错误原因。

在升级过程中,我完全丢失了我的php5-fpm可执行文件。所有配置文件都完好无损,我花了一段时间才意识到service php5-fpm start没有真正启动进程,因为它没有显示任何错误。

我醒来的那一刻是当我注意到/var/run/php5-fpm.sock中没有套接字文件,因为应该有,netstat -an也没有显示进程在端口上侦听我尝试作为替代方案解决这个问题。由于文件/ usr / sbin / php5-fpm也不存在,我终于走上正轨。

为了解决这个问题,我将PHP从5.5升级到7.0。 apt-get install php-fpm做了一个副作用。之后,安装其他必要的包装,一切都恢复正常。

但是,此升级解决方案可能存在问题。由于php已经发展了很多,软件可能会以难以想象的方式破解。所以,即使我确实走了那条道路,你可能想要保留你喜欢的版本一段时间。

幸运的是,there seems to be a neat way for that,如“自定义Windows站点:

”中所述
add-apt-repository ppa:ondrej/php
apt-get purge php5-common
apt-get update
apt-get install php5.6

可能是Neater解决方案,我没试过。我希望接下来的几天会告诉我是否应该这样做。

答案 16 :(得分:0)

注意至少在centos 8 中),为您分配的用户.search( this.value )和其他内容必须 例如,假设我是 foo 用户

,则与该用户处于同一 POOL
$(document).ready( function () {
    $('#myDatatable').dataTable( {
         "sDom": 'W<"clear">lfrtip',
         "oColumnFilterWidgets": {
               "aiExclude": [ 0,1 ],
               "sSeparator": '<br>'
          }
    });
});

我不知道是否有一个全局池,但是经过数小时的搜索,我终于做到了。

答案 17 :(得分:0)

仅查看/etc/php5/php-fpm.conf pid = /var/run/php5-fpm.pid IS PID文件

在文件/etc/php5/fpm/pool.d/www.conf

listen = /var/run/php5-fpm.sock是SOCKET文件

如果您等于监听(pid = /var/run/php5-fpm.sock and listen = /var/run/php5-fpm.sock)->设置错误 并完成/etc/php5/fpm/pool.d/www.conf

user = nginx
group = nginx
listen.owner = nginx
listen.group = nginx
listen.mode = 0660

答案 18 :(得分:0)

就我而言,php-fpm根本没有运行,因此我只需要启动服务

service php7.3-fpm start
#on ubuntu 18.04

答案 19 :(得分:0)

在之前的答案中已经提到您需要更改以下几行:

listen.owner = foo
listen.group = foo
listen.mode = 0660

但是,请注意您的系统是否支持 ACL。

如果是这样,则不需要触摸以上几行,您需要使用适当的用户更改以下行,在我的情况下是 nginx >

listen.acl_users = nginx
group = nginx

答案 20 :(得分:0)

这里最重要的是,如果用户正在使用nginx,那么是否还需要指定它

在您的nginx.conf中

user www-data;
worker_processes  1;

        location / {
            root   /usr/home/user/public_html;
            index  index.php index.html index.htm;
        }
        location ~ [^/]\.php(/|$) {
            fastcgi_split_path_info ^(.+?\.php)(/.*)$;
            fastcgi_pass unix:/var/run/php5-fpm.sock;
            fastcgi_index index.php;
            fastcgi_param  SCRIPT_FILENAME    /usr/home/user/public_html$fastcgi_script_name;
            include fastcgi_params;
        }

在您的www.conf中

listen.owner = www-data
listen.group = www-data
;listen.mode = 0660

在您的情况下,用户和组为“ www”,因此只需替换它即可。

  • 重新启动nginx和php fpm

答案 21 :(得分:0)

如果您有声明

  

pid = /run/php-fpm.pid

  

listen = /run/php-fpm.pid

在不同的配置文件中,root将是该文件的所有者。

答案 22 :(得分:0)

对于那些在这个帖子中尝试过所有内容但仍然坚持的人:这解决了我的问题。 我更新了/usr/local/nginx/conf/nginx.conf

  1. 取消注释user

  2. 将其www-data变为:user www-data;

  3. 保存(需要root访问权限)

  4. 重新启动nginx

答案 23 :(得分:0)

如果每个用户有不同的池,请确保在配置文件中正确设置了用户和组。您可以在/etc/nginx/nginx.conf文件中找到nginx用户。 nginx组与nginx用户相同。

user = [pool-user]
group = [pool-group]
listen.owner = [nginx-user]
listen.group = [nginx-group]

答案 24 :(得分:0)

我确实在我的服务器上更改了OS,试图获得最舒适的系统。

以前大部分时间都工作得很好但最后我得到了502网关错误。

我为每个帐户使用php fpm套接字,而不是为所有帐户保留相同的套接字。因此,如果一个崩溃,至少其他应用程序继续运行。

我以前有用户和组www-data。但是在我的Debian 8上用最新的Nginx 1.8和php5-fpm改变了这一点。

默认用户是nginx,组也是如此。为了确保这一点,最好的方法是检查/ etc / group和/ etc / passwd文件。这些不能说谎。

在那里,我发现现在我有两个nginx而不再是www-data。

也许这可以帮助一些人仍然试图找出错误信息不断出现的原因。

它对我有用。

答案 25 :(得分:0)

只需在CentOS(可能还有Red Hat和Fedora)上添加更改权限的文件位于:

  

/etc/php-fpm.d/www.conf