15

我的Passenger Rails 应用程序中出现大约500 个错误。查看日志时,似乎乘客无法访问 /tmp 目录。我已经验证它在那里并且具有对 root 的 RW 访问权限,然后尝试了 www-data。这里发生了什么?

 2014-01-14 16:01:16.6573 20624/7fa7c8806700 Pool2/SmartSpawner.h:301 ]: Preloader for /var/www/socialrest_homepage started on PID 20686, listening on unix:/tmp/passenger.1.0.20618/generation-0/backends/preloader.20686
App 20704 stdout: 
[Tue Jan 14 16:01:17 2014] [error] [client 168.215.171.129] Premature end of script headers: 
App 20686 stderr: /usr/local/rvm/rubies/ruby-2.0.0-p353/lib/ruby/2.0.0/tmpdir.rb:34:in `tmpdir': could not find a temporary directory (ArgumentError)
App 20686 stderr:   from /usr/local/rvm/gems/ruby-2.0.0-p353/gems/passenger-4.0.33/lib/phusion_passenger/utils/tmpio.rb:17:in `new'
App 20686 stderr:   from /usr/local/rvm/gems/ruby-2.0.0-p353/gems/passenger-4.0.33/lib/phusion_passenger/utils/tee_input.rb:99:in `initialize'
App 20686 stderr:   from /usr/local/rvm/gems/ruby-2.0.0-p353/gems/passenger-4.0.33/lib/phusion_passenger/rack/thread_handler_extension.rb:55:in `new'
App 20686 stderr:   from /usr/local/rvm/gems/ruby-2.0.0-p353/gems/passenger-4.0.33/lib/phusion_passenger/rack/thread_handler_extension.rb:55:in `process_request'
App 20686 stderr:   from /usr/local/rvm/gems/ruby-2.0.0-p353/gems/passenger-4.0.33/lib/phusion_passenger/request_handler/thread_handler.rb:141:in `accept_and_process_next_request'
App 20686 stderr:   from /usr/local/rvm/gems/ruby-2.0.0-p353/gems/passenger-4.0.33/lib/phusion_passenger/request_handler/thread_handler.rb:109:in `main_loop'
App 20686 stderr:   from /usr/local/rvm/gems/ruby-2.0.0-p353/gems/passenger-4.0.33/lib/phusion_passenger/request_handler.rb:440:in `block (3 levels) in start_threads'
[ 2014-01-14 16:01:21.0163 20624/7fa7cb242700 Pool2/Pool.h:776 ]: Process (pid=20704, group=/var/www/socialrest_homepage#default) no longer exists! Detaching it from the pool.
App 20720 stdout:

这是我当前的 /tmp 和 config/environment.rb 所有权:

drwxrwxrwx   5 root root 4.0K Jan 14 16:01 tmp

-rwxr-xr-x  1 root root  196 Jan 13 20:06 environment.rb
4

3 回答 3

30

堆栈跟踪最重要的部分是错误消息:

could not find a temporary directory (ArgumentError)

当您告诉 Ruby >= 2.0 创建一个临时文件时,它会寻找一个目录,以便以安全的方式创建文件。在一个目录中创建一个临时文件,任何人都可以在您处理该文件时替换该文件,这将是一个大(且常见)的安全漏洞!

你有两种可能:

  • 通过将环境变量 TMPDIR 或 TMP 或 TEMP 之一设置为安全的目录,告诉 ruby​​ 它可以在哪里安全地创建临时文件。

  • 修复 ruby​​ 尝试使用的目录的权限。Ruby 尝试使用的目录:systempdir ("/tmp") 和当前目录

如果目录不是全局可写或设置了粘性位,Ruby 认为该目录是安全的。(不要将粘滞位 ( t) 与 seteuid/setgid 位 ( s) 混淆!)

因此,您可以不设置 TMPDIR,而是让您的工作目录不可全局写入,或​​者执行以下操作:

chmod +t /tmp

chmod 的手册页解释了粘滞位的使用:

[它] 防止非特权用户删除或重命名目录中的文件,除非他们拥有该文件或目录;这称为目录的受限删除标志,通常在像 /tmp 这样的全局可写目录中找到。

以下是没有粘性位会发生的情况:https ://security.stackexchange.com/questions/9115/can-you-describe-a-real-life-scenario-of-exploiting-sticky-bits/108666#108666

另见:https ://blog.diacode.com/fixing-temporary-dir-problems-with-ruby-2

于 2015-07-02T10:51:08.573 回答
21

不知道这里发生了什么,但我相信它与 /tmp 文件夹权限有关。我以为我的 /tmp 文件夹已损坏,所以我四处寻找删除该文件夹并恢复它(我不确定这个文件夹是否对它的创建方式特别重要)。我发现这个来源建议您可以像创建任何其他文件夹一样简单地创建 /tmp 文件夹,然后chmod 1777对新创建的文件夹执行操作。

因此,我没有删除我当前的 /tmp,而是运行了这个 chmod 命令,一切似乎都正常了。

对我来说奇怪的是,我以前做过 achmod 777并且导致文件夹无法工作。诡异的...

于 2014-01-14T19:19:03.477 回答
5 
ls -l /

$drwxrwxrw   9 root     root      4096 Jun 26 11:34 tmp

如果您在权限列 '/tmp' 的末尾没有看到 t

chmod o+t /tmp
chmod 1777 /tmp    
$ ls -l / 
drwxrwxrwt   9 root     root      4096 Jun 26 11:35 tmp

原因是修复 Ruby 2 的临时目录问题

于 2015-08-01T00:48:28.897 回答