Nginx front + apache back. Как настроить под разных пользователей?

Question

[Михаил Воронцов]

Доброе время суток. Пытаюсь настроить связку apache+nginx для увеличения скорости отдачи статики. Однако не работает. Каждый сайт в целях безопасности работает под отдельным пользователем через suexec, соответственно в каждом каталоге права на файлы принадлежат разным пользователям.

<VirtualHost 172.19.2.88:8080>
SuexecUserGroup "#500" "#500"
ServerName username.ru
DocumentRoot /home/gent/public_html
ErrorLog /var/log/virtualmin/username_error_log
</VirtualHost>

Думаю этого куска хватит для понимания.
Далее, я на каждый сайт навешиваю соответствующие конфиги nginx'a:

user nginx;
server {
        listen       80;
        server_name  username.ru

        location / {
            proxy_pass          http://username.ru:8080/;
            proxy_redirect      off;
            proxy_set_header    Host $host;
            proxy_set_header    X-Real-IP $remote_addr;
            proxy_set_header    X-Forwarded-For $proxy_add_x_forwarded_for;
            client_max_body_size 10m;
            proxy_connect_timeout 90;
        }
        location ~* ^.+\.(jpg|jpeg|gif|png|ico|css|zip|rar|tgz|gz|js|bzip2|zip|tar|tiff)$ {
            root /home/username/public_html;
        }
    }

Однако статика не отдаётся

[error] 37187#0: *3 open() "/home/username/public_html/style.css" failed (13: Permission denied)

Если, конечно же, сменить пользователя от имени которого запускается nginx - то всё работает, но только для конкретного пользователя. Остальные сайты по прежнему остаются в ауте. nobody так же не помогло.
Доп. данные:
на все файлы в каталоге public_html установлены права 644 (это относительно статики)
CentOS 7.2
nginx 1.6.3
Вопрос: как заставить работать nginx, и отдавать статику? Я чувствую, что ответ на поверхности, однако с nginx работаю дай Бог раз третий, а гугление на тему nginx + suexec не помогли...

Answer 1

[Юрий]

А на директории стоит 755 хотя бы? Если бит запуска не стоит на директориях (на всем пути от корня до статики) -  nginx не сможет получить туда доступ, даже если на файле стоит 644.
И, кстати, почему такой древний nginx? В мейнлайне сейчас 1.9.9, а в 1.6.7 много чего не хватает по сравнению с версиями 1.9...

Comments

[Юрий]

proxy_pass http://username.ru:8080/;
Вот тут еще непонятно. Если там реальное имя сайта, то будет тратиться время на резолвинг, плюс обращение будет к внешнему интерфейсу, да и держать апач на внешнем интерфейсе, хотя и не на стандартном порту - как-то не очень. (Это я исхожу из того, что nginx на той же машине, что и apache)
Далее - в конфиге nginx можно использовать переменные, если конфиги однотипные. Например:

upstream apache {
  server 127.0.0.1:8080 fail_timeout=0 max_fails=0;
}

server {
        listen 80;
        server_name  "~^(?<userhost>username|username2|username3)\.ru$";

        proxy_set_header    Host $host;
        proxy_set_header    X-Real-IP $remote_addr;
        proxy_set_header    X-Forwarded-For $proxy_add_x_forwarded_for;
        client_max_body_size 10m;
        proxy_connect_timeout 90;

        location / {
            proxy_pass          http://apache; #Кстати, завершающий слэш не нужен, $uri передается начиная со слеша, так что будет задвоение
            proxy_redirect      off;
        }

        location ~* ^.+\.(jpg|jpeg|gif|png|ico|css|zip|rar|tgz|gz|js|bzip2|zip|tar|tiff)$ {
            root /home/$userhost/public_html;
        }
    }

[Михаил Воронцов]

Юрий: Юрий, многократное спасибо за помощь) К сожалению вторую часть инструкции применить вряд ли получится. Не все логины соответствуют имени сайта + некоторые сайты имеют алиасы. Если и на этот случай есть какие то механизмы решения - буду крайне признателен)

[Юрий]

Есть конечно механизмы. Можно использовать map для соответствия имени пользователя директориям или виртхостам... nginx.org/ru/docs/http/ngx_http_map_module.html и дальше уже оперируем переменными.
Хотя, если честно, Сысоев не очень рекомендует использовать регулярки и вообще любые "упрощения" в конфиге. Но, иногда проще написать один маленький конфиг, чем плодить сотню одинаковых.

Answer 2

[Михаил Воронцов]

Спасибо Вам, Юрий. Что то глаз замылился, как то и внимания не обратил.
По поводу версии - то что есть в репозиториях. Подключены epel, remi и rpmforge (помимо стандартных).

UPD: подключил репозиторий nginx, обновился до версии 1.8.0

Comments

[Юрий]

Сам Сысоев рекомендует в продакшн использовать mainline-версию. Попробуйте 1.9.9 - там есть http2, reuseport и aio threads. На свежей системе вполне себе прикольные штуковины.