Puncte:0

Server

Allow Wordpress upgrades with SELinux in EL8 with nginx/php-fpm

Vinícius Ferrão

22.11.2022, 17:32

I'm trying to allow the use of Wordpress upgrades (not plugin updates) directly on the web interface.

I already have SELinux working for everything except this feature. When trying to nail down what should be allowed I'm unable to exactly find what need to be changed instead of relabeling the entire /path/to/wordpress/directory to unconfined_u:object_r:httpd_sys_rw_content_t:s0

Here's whats happening when I try to upgrade via the web inteface:

==> /var/log/nginx/kosen.energy.access.log <==
172.21.1.28 - - [22/Jul/2021:14:21:27 -0300] "POST /wp-cron.php?doing_wp_cron=1626974487.4410700798034667968750 HTTP/1.0" 200 0 "https://kosen.energy/wp-cron.php?doing_wp_cron=1626974487.4410700798034667968750" "WordPress/5.7.2; https://kosen.energy"
172.21.1.28 - - [22/Jul/2021:14:21:29 -0300] "GET /wp-admin/update-core.php HTTP/1.0" 200 155053 "https://kosen.energy/wp-admin/update-core.php?action=do-core-upgrade" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/14.1.1 Safari/605.1.15"

==> /var/log/audit/audit.log <== type=AVC msg=audit(1626974498.501:10696): avc:  denied  { write } for  pid=9658 comm="php-fpm" name="update-core.php" dev="dm-0" ino=101266980 scontext=system_u:system_r:httpd_t:s0 tcontext=unconfined_u:object_r:httpd_sys_content_t:s0 tclass=file permissive=0

==> /var/log/nginx/error.log <== 2021/07/22 14:21:38 [error] 9646#0: *38349 FastCGI sent in stderr: "PHP message: PHP Warning:  copy(/var/www/html/kosen.energy/wp-admin/includes/update-core.php): failed to open stream: Permission denied in /var/www/html/kosen.energy/wp-admin/includes/class-wp-filesystem-direct.php on line 309" while reading upstream, client: 172.21.1.28, server: _, request: "POST /wp-admin/update-core.php?action=do-core-upgrade HTTP/1.0", upstream: "fastcgi://unix:/run/php-fpm/www.sock:", host: "kosen.energy", referrer: "https://kosen.energy/wp-admin/update-core.php"

==> /var/log/nginx/kosen.energy.access.log <==
172.21.1.28 - - [22/Jul/2021:14:21:38 -0300] "POST /wp-admin/update-core.php?action=do-core-upgrade HTTP/1.0" 200 150059 "https://kosen.energy/wp-admin/update-core.php" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/14.1.1 Safari/605.1.15"

On wp-config.conf I already have FS_METHOD as direct:

/** Enable proper support for updates without FTP/FTPS. */
define('FS_METHOD', 'direct');

php-fpm is already running as the nginx user:

[root@kosen kosen.energy]# grep user /etc/php-fpm.d/www.conf | grep -v \;
user = nginx
listen.acl_users = apache,nginx

Additional info:

[root@kosen kosen.energy]# rpm -qa | egrep "php-fpm|nginx"
nginx-mod-http-xslt-filter-1.14.1-9.0.1.module+el8.0.0+5347+9282027e.x86_64
nginx-mod-http-image-filter-1.14.1-9.0.1.module+el8.0.0+5347+9282027e.x86_64
nginx-mod-http-perl-1.14.1-9.0.1.module+el8.0.0+5347+9282027e.x86_64
nginx-mod-mail-1.14.1-9.0.1.module+el8.0.0+5347+9282027e.x86_64
nginx-1.14.1-9.0.1.module+el8.0.0+5347+9282027e.x86_64
nginx-all-modules-1.14.1-9.0.1.module+el8.0.0+5347+9282027e.noarch
nginx-filesystem-1.14.1-9.0.1.module+el8.0.0+5347+9282027e.noarch
nginx-mod-stream-1.14.1-9.0.1.module+el8.0.0+5347+9282027e.x86_64
php-fpm-7.4.6-4.module+el8.3.0+7685+72d70b58.x86_64

Thanks.

135

1 + 0

wordpress

php-fpm

rhel8

Puncte:1

Server

Michael Hampton

22.11.2022, 17:41

Toate fișierele WordPress ar trebui să poată fi scrise pentru a utiliza funcția de actualizare de pe pagina web de administrare. Eu nu fac asta; eu folosesc wp comandă pentru a actualiza WordPress direct pe server.

actualizare de bază wp
wp core update-db

0 + 5

Vinícius Ferrão

22.11.2022, 18:07

Trebuie să adaug wp-cli pentru a folosi această funcționalitate, nu? Aveți vreo soluție când administrați serverul, dar un utilizator obișnuit (non admin de sistem) este cel care întreține pagina Wordpress? Mulțumiri!

Răspunde

Michael Hampton

22.11.2022, 18:11

Da, acesta este wp-cli. Utilizatorul îl poate rula singur atunci când fișierele sunt deținute de el (așa cum probabil ar trebui să fie).

Răspunde

Vinícius Ferrão

22.11.2022, 18:14

Am marcat ca răspunsul corect, deoarece aceasta este o idee bună pentru problemă. În ceea ce privește permisiunea utilizatorului, deoarece astăzi o avem rulând sub nginx:nginx, spuneți că ar trebui să creez un utilizator și să le spună user:nginx toate fișierele? Dar din nou, va trebui să educ utilizatorul, deoarece ssh nu este un lucru pe care ei îl știu.

Răspunde

Michael Hampton

22.11.2022, 18:20

Corect, nginx nu are nevoie de permisiuni complete pentru fișiere, trebuie doar să le poată citi. php-fpm trebuie să poată scrie în directorul de încărcări. Toate restul pot fi deținute de utilizator.

Răspunde

Vinícius Ferrão

22.11.2022, 18:23

Voi proceda așa, mulțumesc Michael!

Răspunde

SEF 777

întrebarea această in alte limbi:

EN: Allow Wordpress upgrades with SELinux in EL8 with nginx/php-fpm

TH: อนุญาตให้อัปเกรด Wordpress ด้วย SELinux ใน EL8 ด้วย nginx/php-fpm

RO: Allow Wordpress upgrades with SELinux in EL8 with nginx/php-fpm

RU: Разрешить обновления Wordpress с помощью SELinux в EL8 с помощью nginx/php-fpm

VI: Cho phép nâng cấp Wordpress với SELinux trong EL8 với nginx/php-fpm

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.