web-dev-qa-db-ja.com

Centos7 httpは正常に起動しません。 httpdは機能しますが、systemctl start httpdは機能しません

httpdから直接Apacheを起動できますが、systemctl start httpdから起動することはできません。デーモン方式を選択して、自動的に開始できるようにすることができます。

誰かがこの問題に遭遇しましたか?これは新しいCentOS7 VM上にあります。

systemctl start http

Job for httpd.service failed because the control process exited with error code. See "systemctl status httpd.service" and "journalctl -xe" for details.

systemctl status httpd.service

    ● httpd.service - The Apache HTTP Server
       Loaded: loaded (/usr/lib/systemd/system/httpd.service; disabled; vendor preset: disabled)
       Active: failed (Result: exit-code) since Tue 2018-03-20 17:20:54 EDT; 37s ago
         Docs: man:httpd(8)
               man:apachectl(8)
      Process: 7025 ExecStop=/bin/kill -WINCH ${MAINPID} (code=exited, status=1/FAILURE)
      Process: 7024 ExecStart=/usr/sbin/httpd $OPTIONS -DFOREGROUND (code=exited, status=1/FAILURE)
     Main PID: 7024 (code=exited, status=1/FAILURE)

    Mar 20 17:20:54 test.local.com systemd[1]: Starting The Apache HTTP Server...
    Mar 20 17:20:54 test.local.com systemd[1]: httpd.service: main process exited, code=exited, status=1/FAILURE
    Mar 20 17:20:54 test.local.com kill[7025]: kill: cannot find process ""
    Mar 20 17:20:54 test.local.com systemd[1]: httpd.service: control process exited, code=exited status=1
    Mar 20 17:20:54 test.local.com systemd[1]: Failed to start The Apache HTTP Server.
    Mar 20 17:20:54 test.local.com systemd[1]: Unit httpd.service entered failed state.
    Mar 20 17:20:54 test.local.com systemd[1]: httpd.service failed.

journalctl -xe

ペーストビン

/ etc/httpd/logs/error_log

ペーストビン

デフォルト設定に加えられた唯一の変更:

/etc/httpd/conf/httpd.conf
IncludeOptional sites-enabled/*.conf

/etc/httpd/sites-enabled/local.com.conf
<VirtualHost *:80>
    ServerName test.local.com
    ServerAlias local.com
    Redirect / https://local.com
</VirtualHost>

<VirtualHost _default_:443>
    ServerName test.local.com
    ServerAlias local.com
    ServerAdmin [email protected]

    DocumentRoot /var/www/local.com/public_html

    ErrorLog /var/www/local.com/error.log
    CustomLog /var/www/local.com/access.log common

    SSLEngine On
    SSLCertificateFile /etc/ssl/certs/www/local.com.crt
    SSLCertificateKeyFile /etc/ssl/certs/www/local.com.key
</VirtualHost>

開いているポートのみ:

firewall-cmd --zone=public --add-port=80/tcp --permanent
firewall-cmd --zone=public --add-port=443/tcp --permanent
firewall-dmc --reload

これが、CentOS7の新規インストールから行った正確なプロセス全体です:

Fresh CentOS 7 installation (VM)

yum upgrade -y

yum search http
yum install -y httpd httpd-devel mod_ssl openssl

systemctl start httpd

firewall-cmd --zone=public --add-port=80/tcp --permanent
firewall-cmd --zone=public --add-port=443/tcp --permanent
firewall-cmd --reload

    Browse to 192.168.1.241
        Apache is live!

yum search mariadb
yum install -y mariadb-server

systemctl start mariadb
mysql_secure_installation

    mysql -uroot -p
        Login to mysql server works!

yum search php

yum install -y php php-cli php-dba php-devel php-fpm php-mysql php-process php-pspell php-xml

systemctl restart httpd

    Browse to 192.168.1.241/info.php
        PHP is live!

mkdir /etc/httpd/sites-enabled
echo "IncludeOptional sites-enabled/*.conf" >> /etc/httpd/conf/httpd.conf

/etc/httpd/sites-enabled/local.com.conf
    <VirtualHost *:80>
        ServerName test.local.com
        ServerAlias local.com
        Redirect permenent / https://local.com
    </VirtualHost>

    <VirtualHost _default_:443>
        ServerName test.local.com
        ServerAlias local.com
        ServerAdmin [email protected]

        DocumentRoot /var/www/local.com/public_html

        ErrorLog /var/www/local.com/error.log
        CustomLog /var/www/local.com/access.log combined

        SSLEngine On
        SSLCertificateFile /etc/ssl/certs/www/local.com.crt
        SSLCertificateKeyFile /etc/ssl/certs/www/local.com.key
    </VirtualHost>

mkdir -p /var/www/local.com/public_html

chown -R Apache:apache /var/www/local.com/public_html
chmod -R 755 /var/www

cd /etc/ssl/certs/www
openssl req -x509 -nodes -days 365 -newkey rsa:4096 -keyout local.com.key -out local.com.crt

    Browse to 192.168.1.241
        Unsecure service (self signed ssl) accept
        Site is live!
        I was redirected to https://local.com

NOTE: I added the following to my desktop's (separate PC) /etc/hosts
    192.168.1.241 test.local.com local.com

    This acts as a DNS record for my site

yum install -y epel-release
yum install -y phpmyadmin

edit /etc/httpd/conf.d/phpMyAdmin.conf
    Add under any line with Require ip 127.0.0.1 with
    Require ip 192.168.1.5

    Add under any line with Allow from 127.0.0.1 with
    Allow from 192.168.1.5

systemctl restart httpd # FAILS
kill pid for httpd
httpd # start httpd directly
    Access https://local.com/phpMyAdmin
    Now have access to phpMyAdmin

    Login with root, 12345
    And have mariadb access!

yum install -y awstats

edit /etc/httpd/conf.d/awstats.conf
     Change Require ip and Allow ip same as phpMyAdmin

cp /etc/awstats/awstats.localhost.localdomain.conf /etc/awstats/awstats.local.com.conf

edit /etc/awstats/awstats.local.com.conf
     LogFile="/var/log/httpd/access.log"
     SiteDomain="www.local.com"
     HostAliases="local.com 127.0.0.1"

echo "*/30 * * * * root /usr/share/awstats/wwwroot/cgi-bin/awstats.pl -config=www.local.com -update" >> /etc/crontab

kill httpd pid
httpd

    Browse to https://local.com/awstats/awstats.pl?config=local.com
        Awstats is live!
centossystemdapache-httpd
2
Drew

SELinuxで問題が発生しています。

CentOS 7には、セキュリティ上の理由から、httpdが/var/wwwの下のファイルに書き込みできないようにするルールが付属しています。

VirtualHostのログファイルを構成して、そのディレクトリの下のどこかに移動します。

    ErrorLog /var/www/local.com/error.log
    CustomLog /var/www/local.com/access.log combined

そのため、httpd(systemdによって開始)がこれらのログファイルに書き込もうとすると、SELinuxはそれを防止し、エラー終了コードでhttpdを終了させます。

ausearchコマンドを使用して、監査ログ(/var/log/audit/audit.logに保存されている)のエントリをチェックすることで確認できます。

$ Sudo ausearch -m avc
type=AVC msg=audit(1234567890.123:234): avc:  denied  { write } for  pid=12345 comm="httpd" name="local.com" dev="sda1" ino=12345678 scontext=system_u:system_r:httpd_t:s0 tcontext=unconfined_u:object_r:httpd_sys_content_t:s0 tclass=dir

このメッセージでは、書き込みのターゲットにhttpd_sys_content_tのタグが付けられていることがわかります。ログファイルでls -Zを使用すると、そのようにタグ付けされていることがわかります。

$ ls -Z /var/www/local.com/
-rw-r--r--. root   root   unconfined_u:object_r:httpd_sys_content_t:s0 access.log                                                                                         
-rw-r--r--. root   root   unconfined_u:object_r:httpd_sys_content_t:s0 error.log                                                                                          
drwxr-xr-x. Apache apache unconfined_u:object_r:httpd_sys_content_t:s0 public_html

これがsystemdによって起動されたhttpdにのみ影響し、httpdを直接実行したときに影響しない理由は、SSHセッションが「制限のない」ドメインで実行されるため、httpdを実行してもSELinuxの移行がトリガーされないためです... systemdから起動した場合、デーモンの起動時に正しいSELinux権限を適用します。

chconコマンドを使用してこれらのファイルのSELinuxの「タイプ」を変更することにより、一時的に回避できます。

$ Sudo chcon -t httpd_log_t /var/www/local.com/*.log
$ ls -Z /var/www/local.com/
-rw-r--r--. root   root   unconfined_u:object_r:httpd_log_t:s0 access.log
-rw-r--r--. root   root   unconfined_u:object_r:httpd_log_t:s0 error.log
drwxr-xr-x. Apache apache unconfined_u:object_r:httpd_sys_content_t:s0 public_html

その時点で、systemctlを介してhttpdを起動すると正常に動作します...

しかし、これらのファイルが再作成されると(たとえば、ログのローテーション中に)、SELinuxタイプが失われるか、ファイルシステムのラベルが付け直されると、それは素晴らしいソリューションではありません...

そのタイプをより永続的にする方法(たとえば、semanage fcontextコマンド)がありますが、このSELinuxポリシーがここで実装しようとしているのは、誤ってログファイルを提供するのを防ぐために、ログとWebコンテンツの混同を防ぐことです。 、またはWebコンテンツを上書きします。

正しい答えは、/var/log/httpd、またはそのディレクトリのサブディレクトリの下にログファイルを作成することです。そうする場合、SELinuxタイプは最初から正しく、SELinuxの再ラベル付けを含むすべての操作で正しいままであり、すべてが期待どおりに機能するはずです。

したがって、代わりに/var/log/httpdでログを取得できる場合は、この問題を解決する必要があります。

6
filbranden