Отказ в доступе консольному контролеру, как решить?

Question

[Дмитрий]

Добрый день.
Необходимо по cron-у обрабатывать загруженные изображения.
Создал такой консольный контролер.

class ImagesController extends Controller
{
    public function actionResize()
    {
        Yii::setAlias('@web', dirname(__DIR__) . '/web');
        $path = Yii::getAlias('@web') . '/uploads';

        $images = $this->scanDir($path); // рекурсивный обход директорий
        try{
            foreach ($images as $image){
                $img = Image::getImagine()->open($path . '/' . $image);
                //echo $path . '/' . $image . PHP_EOL;
                if($img->getSize()->getWidth() > 1000){
                    Image::resize($path . '/' . $image, 1000, null)->save($path. '/' . $image, ['jpeg_quality' => 80]);
                    echo 'Done!' . PHP_EOL;
                }
            }
        }
        catch (Exception $exception){
            Yii::getLogger()->log($exception, Logger::LEVEL_WARNING);
            Yii::getLogger()->log($exception, Logger::LEVEL_ERROR);
            echo 'Error' . PHP_EOL;
        }
    }
}

При попытке запустить консольную команду происходит ошибка

ImagickException: unable to open image `/home/slonik/localhost/www/memory/web/uploads/country_1/region_5/city_5/JPJvU8GlmulD-KCHdlwBKSHHcVHhBWpk.jpg': Permission denied @ error/blob.c/OpenBlob/2712 in /home/slonik/localhost/www/memory/vendor/imagine/imagine/lib/Imagine/Imagick/Image.php:287

Если перенести это действие в web контроллер или изменить права на директории 0777, то всё работает отлично. Изображения обрабатываются.
Я понимаю, что проблема в правах доступа, но как решить эту проблему не могу сообразить.
Загрузил на рабочий сервер консольный контроллер - работает без ошибок. Вот только на localhost проблема.
В директории uploads несколько директорий, которые создаются при загрузке изображений. Директории создаются при помощи mkdir(), но параметр mode никак не влияет на права, изменить я их не могу. Просто не меняются, без всяких ошибок.

if(!file_exists($p)){
     mkdir($p, 0777, true);
};

Права доступа к директориям

drwxrwxrwx 1 slonik slonik  18 Сен 26 18:05 uploads
drwxr-xr-x 1 www-data www-data 16 Сен 26 18:05 country_1
drwxr-xr-x 1 www-data www-data 12 Сен 26 18:05 region_5
drwxr-xr-x 1 www-data www-data 20 Сен 26 18:05 city_5

Права к загруженным файлам

-rw-r--r-- 1 www-data www-data 845155 Сен 26 18:05 1g62QFwjgt67kwUcMEV3DcAViJHlAmUN.jpg
-rw-r--r-- 1 www-data www-data 878004 Сен 26 18:05 4HSV4UdL3gWFC5UKNmcYSgDJmYQODj6V.jpg
-rw-r--r-- 1 www-data www-data 824929 Сен 26 18:05 C9asvh5KiEvpOvbkh8SXXyVLzzCQyenr.jpg

Сравнил эти права доступа с правами на сервере - всё одинаково.
Как решить эту проблему для localhost?

Comments

[Arman]

если себя(slonik) добавить в группу www-data?

[Дмитрий]

Arik, пробовал. Добавлял www-data к себе в группу(slonik) и наоборот, добавлял себя в группу www-data.
Всё равно отказ в доступе.

[Максим Тимофеев]

yii тут точно не при чем, тут дело в пользователях консоли и web.

[Дмитрий]

Максим Тимофеев, да тут подредактировали уже мой вопрос, убрали тег "php")))
Понятно, что в пользователя, но как это всё увязать?
Ведь с веб контролера всё обрабатывается с текущими правами.

[Arman]

slo_nik, c web запускается от apache/php-fpm, а с консоли запускается от вашего юзера.
если попробовать:

su www-data
php -f ./yii images/resize

[Дмитрий]

Arik, su www-data требует пароль. А какой?
Если просто php -f ./yii images/resize, то всё равно ошибка, недостаточно прав.

[Arman]

slo_nik, пустой не подходит? как вариант сначала под рут (просто su), дальше от рут под su www-data

[Максим Тимофеев]

Arik, пустой - как-то звучит даже дыряво

[Дмитрий]

Arik, добавил ответ с решением.

[Дмитрий]

Максим Тимофеев, добавил ответ с решением. Возни на пару минут.

Answer 1

[Дмитрий]

Вопрос решился. Подсказали как правильно сделать.
Необходим модуль apache2 mpm-itk.

Этот модуль позволяет запускать виртуальные хосты от имени пользователя. Кроме всего прочего, это позволяет не задумываться о выставлении дополнительных прав на те, или иные папки и файлы на ваших сайтах.

У меня Ubuntu 16.04., сервер apache2.
1)Проверяем, собран ли apache2 c поддержкой mpm-itk
в консоли
apachectl -t -D DUMP_MODULES
в результате ищем строку mpm_itk_module (static)
2)Если нет, то устанавливаем модуль.

sudo apt-get install libapache2-mpm-itk && sudo service apapche2 restart

3) Редактируем конфигурацию виртуального хоста, вписываем туда следующую инструкцию

<IfModule mpm_itk_module>
      AssignUserId your_user_name your_user_groupe
</IfModule>

4) Перезагружаем apache2.

Всё, можно пользоваться.

Comments

[Denis]

если вдруг будут проблемы может помочь

$ sudo a2enmod mpm_prefork
$ sudo a2enmod mpm_itk
$ sudo service apache2 restart

[Дмитрий]

sidni, так они же и так включены уже. mpm-itk включился сразу после установки.

[Denis]

ну это для тех у кого все установлено ранее, но не включено

Answer 2

[Denis]

Проблема думаю в том что веб приложение запускается от пользователя под которым запущен apache или php-fpm а консольное от того кто запускает крон то либо вы от себя.
И ясное дело, если эти файлы созданы из веб приложения то по умолчанию не доступны на измения другим пользователям.
из советов или сохранять изображения изначально с правами 0777 или добавить пользователя который запускает крон в группу апача например если это убунту то обычно это www-data
Как то сталкивался что команда
mkdir($p, 0777, true);
Не выставляет нужные права ниже дописывал chmod

Можно попробывать
sudo usermod -aG www-data YOU_USER

Comments

[Дмитрий]

пробовал через chmod, ошибка "операция не поддерживается" или что-то в это духе.
Насчёт группы. Изначально такой группы у меня нет. Создал, добавил в неё и себя и www-data - результат "0"

[Дмитрий]

sudo usermod -aG www-data YOU_USER

Пробовал, ничего не получилось.

[Denis]

slo_nik,
Если такой группы не было значит и не поможет посмотрите phpinfo кажись пишется от какого пользователя запущено веб и консоль если нет то так можно узнать пользователя
echo exec('whoami');
и потом объединить пользователей в одну группу
Или в свойствах изображений должно в правах писаться кто владелец файла

chmod($dir, 0777);
я надеюсь делается на стороне веб приложения - странно прав должно в этом случае хватить может быть права папки выше не дают разрешения, может в ручную поставить 0777 папке uploads

PS мой способ наверное не подойдет поскольку он подходит для файлов с правами минимум 664

[Дмитрий]

Доброе утро.
Смотрел вчера в инете. Нашёл рекомендацию, что надо добавить себя в группу www-data, владельца и группу на директории и файлы проекта выставить slonik:www-data. Вы так же это советовали. Но не дало результата.
Сейчас я вернул всё в исходное положение, владелец/группа я, на директории 755, файлы 644
В phpinfo, всё www-data запускает, если я правильно понял.

APACHE_RUN_USER 	www-data
APACHE_RUN_GROUP 	www-data 
User/Group ww-data(33)/33

Вписал в консольный контроллер echo exec('whoami') получил на выходе себя, то есть slonik)))
Эту же команду вписал в метод, который создаёт директории и пытается присвоить им права через mkdir - на выходе www-data.
Ещё, что я забыл упомянуть в вопросе. Директория с проектами находится у меня в домашней папке. То есть /home/slonik/localhost/www/тут_директории_с_проектами. Возможно это влияет?
Делал владельцем и группу www-data -консольный работает, но не могу грузить изображения, ругается на mkdir(). Если делаю slonik:www-data, то гружу изображения, но не работает консольный скрипт.

p.s. немного путано, то я уже просто сам запутался)))

[Дмитрий]

sidni, загруженные изображения и созданные директории владелец/группа www-data.

[Denis]

slo_nik,
я там в PS отписал что этот метод сработает в том случае файлы будут создаваться с разрешением 664 (группа может их редактировать) а директории 775, а по умолчанию они создаются 644 (755) то есть их может менять только тот пользователь который их создал и root

А "живом", где все работает сервере какие права?

[Дмитрий]

sidni, на рабочем сервере всё принадлежит одному владельцу/группе, только не могу сказать точно, владелец/группа обозначены цифрами.
Подсказали ответ, сейчас обновлю вопрос.

[Дмитрий]

sidni, добавил ответ с решением.