Nginx+php-fpm (chroot). Из-за чего no input file specifed?

Question

[Dzmitry Salodki]

OS: Centos
PHP: 5.5.6
Nginx: 1.4.4

Nginx vhost conf

server {
	listen 80;
	server_name example.ltd;

    root /srv/example.ltd/www;
    index index.php;
    access_log /srv/example.ltd/logs/nginx-main.log	main;
    error_log /srv/example.ltd/logs/nginx-error.log	warn;
    
    autoindex on;
    
	location / {
		try_files $uri $uri/ /index.php;
	}
    
	location ~ \.php$ {
		
	fastcgi_pass unix:/srv/example.ltd/tmp/example.ltd.sock;
        fastcgi_index index.php;
        fastcgi_param SCRIPT_NAME /www$fastcgi_script_name;
        fastcgi_param PATH_INFO $fastcgi_path_info;
		fastcgi_param SERVER_NAME $host;
        fastcgi_param SCRIPT_FILENAME /www$fastcgi_script_name;
        include fastcgi_params;
	}
}

php-fpm pool config

[example.ltd]
    listen = /srv/example.ltd/tmp/example.ltd.sock
    listen.allowed_clients = 127.0.0.1
    listen.owner = example.ltd
    listen.group = example.ltd
    listen.mode = 0660
    user = example.ltd
    group = example.ltd
    pm = dynamic
    pm.max_children = 50
    pm.start_servers = 5
    pm.min_spare_servers = 5
    pm.max_spare_servers = 35
    pm.max_requests = 50
    request_slowlog_timeout = 60
    chroot = /srv/example.ltd
    chdir = /www
    catch_workers_output = yes
    security.limit_extensions = .php .php3 .php4 .php5
    env[HOSTNAME] = example.ltd
    env[TMP] = /srv/example.ltd/tmp
    env[TMPDIR] = /srv/example.ltd/tmp
    env[TEMP] = /srv/example.ltd/tmp
    php_admin_value[sendmail_path] = /usr/sbin/sendmail -t -i -fno-reply@example.ltd
    php_admin_value[error_log] = /srv/example.ltd/logs/php-fpm-error.log
    slowlog = /srv/example.ltd/logs/php-fpm-slow.log
    php_admin_flag[log_errors] = on
    php_flag[display_errors] = on
    php_value[session.save_handler] = files
    php_value[session.save_path] = /srv/example.ltd/sessions
    php_value[soap.wsdl_cache_dir] = /srv/example.ltd/wsdlcache
    php_admin_value[disable_functions] = dl,exec,passthru,shell_exec,system,proc_open,popen,curl_exec,curl_multi_exec
    php_admin_value[open_basedir] = /srv/example.ltd:/usr/share/nginx/html

ls -la from /srv

drwxrwx--- 8 example.ltd example.ltd 4096 Dec 2 11:57 example.ltd

ps aux | grep example.ltd

500 23102 0.0 2.7 702936 7304 ? S 13:38 0:00 php-fpm: pool example.ltd
500 23103 0.0 2.7 702936 7308 ? S 13:38 0:00 php-fpm: pool example.ltd
500 23104 0.0 2.7 702936 7304 ? S 13:38 0:00 php-fpm: pool example.ltd
500 23105 0.0 2.7 702936 7304 ? S 13:38 0:00 php-fpm: pool example.ltd
500 23106 0.0 2.7 702936 7340 ? S 13:38 0:00 php-fpm: pool example.ltd

id example.ltd

uid=500(example.ltd) gid=500(example.ltd) groups=500(example.ltd),499(nginx)

id nginx

uid=498(nginx) gid=499(nginx) groups=499(nginx),500(example.ltd)

Получаем ошибку:

Unable to open primary script: /www/index.php (No such file or directory)

Так же пробовал изменения для виртуального хоста nginx найденный в интернете

fastcgi_param SCRIPT_FILENAME /www$fastcgi_script_name;
    fastcgi_param SCRIPT_FILENAME $fastcgi_script_name;
    fastcgi_param SCRIPT_FILENAME www$fastcgi_script_name;

Но ничего не помогает :(

Unable to open primary script: /index.php (No such file or directory)

nginx статику отдает хорошо

**что я делаю не так?**

Comments

[Dzmitry Salodki]

strace -e trace=open, read, close, connect -p отдал

read(6, "
\f\0QUERY_STRING\16\3REQUEST_METHODGET\f\0CONTENT_TYPE\16\0CONTENT_LENGTH\v\n
SCRIPT_NAME/index.php\v\n
REQUEST_URI/index.php\f\n
DOCUMENT_URI/index.php\r\31DOCUMENT_ROOT/srv/example.ltd/www\17\10SERVER_PROTOCOLHTTP/1.1\21\7GATEWAY_INTERFACECGI/1.1\17\vSERVER_SOFTWAREnginx/1.4.4\v\fREMOTE_ADDR93.84.53.238\v\5REMOTE_PORT32171\v\17SERVER_ADDR109.120.164.153\v\2SERVER_PORT80\v\20SERVER_NAMEexample.ltd\17\3REDIRECT_STATUS200\17\16SCRIPT_FILENAME/www/index.php\t\n
PATH_INFO/index.php\t\20HTTP_HOSTexample.ltd\17\n
HTTP_CONNECTIONkeep-alive\17hHTTP_USER_AGENTMozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.57 Safari/537.36\v\3HTTP_ACCEPT*/*\f!HTTP_REFERERhttp://example.ltd/index.php\24\21HTTP_ACCEPT_ENCODINGgzip,deflate,sdch\24 HTTP_ACCEPT_LANGUAGEru,en-US;q=0.8,en;q=0.6,be;q=0.4\v\200\0\0\353; _pk_id.1.869f=0372cc17b130d4ec.1377241318.29.1382802609.1382603499.; _pk_id.1.2f00=d658172cbb73d4a5.1382962602.2.1383147981.1382962814.\0\0\0", 1024) = 1024

сначала смутило что DOCUMENT_ROOT с www а и SCRIPT_FILENAME тоже, убирал www из скрипта запроса, не помогло

[Dzmitry Salodki]

В итоге помог анализ strace -p
Выяснилось что ломится оно просто в /srv
Оказалось в php.ini doc_root и open_basedir были установлены как /srv
избавились от этих директив

nginx конфиг в секции location ~ \.php$

fastcgi_param SCRIPT_FILENAME /www$fastcgi_script_name;

в пуле php-fpm

chroot = /srv/example.ltd
chdir = /www
php_admin_value[doc_root] = $chroot$chdir

можно было вставить

chroot = /srv/example.ltd/www
chdir = /

но тогда не было доступа к ../logs ../tmp а он нужен был, правда с такими параметрами в конфиге nginx нужно убрать /www

Answer 1

[papahoolio]

По конфигу все должно работать. Ну на первый взгляд. Как вариант, могу предложить сделать

strace -e trace=open, read, close, connect  -p <pid>

pid это php-fpm, который желательно поднять c pm = static, чтобы проще было процесс найти, либо на каждый child повесить strace

а там уже видно будет, что он пытается открыть

Comments

[Dzmitry Salodki]

Спасибо. но не помогло, или я не верно понял полученную информацию :)
read(6, "
\f\0QUERY_STRING\16\3REQUEST_METHODGET\f\0CONTENT_TYPE\16\0CONTENT_LENGTH\v\n
SCRIPT_NAME/index.php\v\n
REQUEST_URI/index.php\f\n
DOCUMENT_URI/index.php\r\31DOCUMENT_ROOT/srv/example.ltd/www\17\10SERVER_PROTOCOLHTTP/1.1\21\7GATEWAY_INTERFACECGI/1.1\17\vSERVER_SOFTWAREnginx/1.4.4\v\fREMOTE_ADDR93.84.53.238\v\5REMOTE_PORT32171\v\17SERVER_ADDR109.120.164.153\v\2SERVER_PORT80\v\20SERVER_NAMEexample.ltd\17\3REDIRECT_STATUS200\17\16SCRIPT_FILENAME/www/index.php\t\n
PATH_INFO/index.php\t\20HTTP_HOSTexample.ltd\17\n
HTTP_CONNECTIONkeep-alive\17hHTTP_USER_AGENTMozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.57 Safari/537.36\v\3HTTP_ACCEPT*/*\f!HTTP_REFERERhttp://example.ltd/index.php\24\21HTTP_ACCEPT_ENCODINGgzip,deflate,sdch\24 HTTP_ACCEPT_LANGUAGEru,en-US;q=0.8,en;q=0.6,be;q=0.4\v\200\0\0\353; _pk_id.1.869f=0372cc17b130d4ec.1377241318.29.1382802609.1382603499.; _pk_id.1.2f00=d658172cbb73d4a5.1382962602.2.1383147981.1382962814.\0\0\0", 1024) = 1024

сначала смутило что DOCUMENT_ROOT с www а и SCRIPT_FILENAME тоже, убирал www из скрипта запроса, не помогло

[papahoolio]

ммм
давай strace -p <pid> -o php-fpm.strace

потом cat php-fpm.strace | grep index.php

Answer 2

[Алексей Сундуков]

include fastcgi_params нужно вставлять самой первой строкой в требуемый location.

Пути в самом конфиге заданного pool нужно писать относительно chroot. Т.е. писать "fastcgi_param SCRIPT_NAME /www$fastcgi_script_name;" в контексте "root /srv/example.ltd/www;" неправильно.

strace лучше анализировать полный, т.е. без фильтрации определенных вызовов. Он гарантированно может показать, что и куда стучится и почему достучаться не может.

Comments

[papahoolio]

> Пути в самом конфиге заданного pool нужно писать относительно chroot. Т.е. писать "fastcgi_param SCRIPT_NAME /www$fastcgi_script_name;" в контексте "root /srv/example.ltd/www;" неправильно.

не правильно было бы писать fastcgi_param SCRIPT_NAME $document_root$fastcgi_script_name;

а тут путь к root, вроде как, отношения не имеет, более того он абсолютный

[Алексей Сундуков]

@papahoolio в контексте chroot-а имеет.

Answer 3

[Walt Disney]

Противоречие:
root /srv/example.ltd/www;
fastcgi_param SCRIPT_NAME /www$fastcgi_script_name;

у вас должно быть типа:
fastcgi_param SCRIPT_NAME /srv/example.ltd/www$fastcgi_script_name;

Comments

[papahoolio]

у него chroot в php-fpm
для адресации внутри FastCGI сервера это нормально

[Walt Disney]

Точно, не дочитал.

No input file specifed это когда файл из SCRIPT_FILENAME не найден

тогда можно попробовать:
fastcgi_param SCRIPT_NAME index.php;
И перебрать все варианты от
fastcgi_param SCRIPT_FILENAME index.php;
fastcgi_param SCRIPT_FILENAME /index.php;
fastcgi_param SCRIPT_FILENAME www/index.php;
fastcgi_param SCRIPT_FILENAME /www/index.php;
на основании результата подумать, что не так.

[Dzmitry Salodki]

@ruFelix Такие варианты пробовались сразу и ни к какому результату не привели, все едино

Answer 4

[kenny_opennix]

в location /
нужно доавить root /srv/example.ltd/www;
в location ~ \.php$

fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;

Если не помогает скажите что за cms.

Comments

[papahoolio]

не надо так.

тут же chroot, попытка вылезти за пределы chroot внутри php-fpm 100% путь к ошибке, описанной выше

[kenny_opennix]

listen.owner = example.ltd
listen.group = example.ltd
где выход из песочницы?

[Dzmitry Salodki]

@kenny_opennix в этой ситуации, вроде бы же сможет читать /etc и прочее, смысл тогда в песочнице?

Answer 5

[Алексей Сундуков]

но тогда не было доступа к ../logs ../tmp а он нужен был,

В случае chroot папки logs и tmp создаются внутри chroot. Собственно, в этом же и есть мысл chroot, закрыться в определенной директории.

При желании можно логи вынести за пределы через nginx error_log (ибо он то не в chroot) через stderr.