ตัวอย่างข้อความ error เมื่อ upload file

“Picture-01.jpg” has failed to upload due to an error
Unable to create directory /var/www/html/wordpress/wp-content/uploads/2012/05. Is its parent directory writable by the server?

ในที่นี้จะแสดงวิธีการแก้ไขปัญหา

สาเหตเป็นเพราะ wordpress ไม่สามารถสร้างไฟล์หรือไดเร็คทอรี เพื่อเก็บไฟล์ที่อัพโหลดได้

โดยดีฟอลต์ wordpress จะสร้างไฟล์ที่อัพโหลดไว้ภายใต้ไดเร็คทอรี wp-content/uploads เทียบกับไดเร็คทอรีที่ติดตั้ง (เช่น /var/www/html/wordpress/) โดยจะแยกย่อยเป็นปี คศ. และเลขเดือนอีกที

วิธีการแก้ไขปัญหา ต้องสร้างไดเร็คทอรี uploads ขึ้นมา แล้วเปลี่ยนสิทธิ (permission) ให้ wordpress สามารถเขียนได้ หากใช้ Apache เป็นเว็บเซิร์ฟเวอร์รันด้วยชื่อผู้ใช้ apache การเปลี่ยนสิทธิก็คือการอนุญาตให้ apache สามารถเขียน (write) ไดเร็คทอรี uploads ได้นั่นเอง

โดยดีฟอลต์จากการติดตั้ง wordpress จะไม่มีไดเร็คทอรี uploads

[root@cent6 ~]# cd /var/www/html/wordpress/wp-content/
[root@cent6 wp-content]# ls -l
total 12
-rw-r--r--. 1 root root   30 May  5  2007 index.php
drwxr-xr-x. 3 root root 4096 Apr 20 21:54 plugins
drwxr-xr-x. 4 root root 4096 Apr 20 21:54 themes

ใช้คำสั่ง mkdir, chown, chmod สร้างไดเร็คทอรี uploads และเปลี่ยนสิทธิ

[root@cent6 wp-content]# mkdir uploads
[root@cent6 wp-content]# chown apache uploads/
[root@cent6 wp-content]# chmod 700 uploads/
[root@cent6 wp-content]# ls -l
total 16
-rw-r--r--. 1 root   root   30 May  5  2007 index.php
drwxr-xr-x. 3 root   root 4096 Apr 20 21:54 plugins
drwxr-xr-x. 4 root   root 4096 Apr 20 21:54 themes
drwx------. 2 apache root 4096 May 12 16:58 uploads

ส่วนไดเร็คทอรีย่อย ปีคศ. และเลขเดือน โปรแกรม wordpress จะสร้างขึ้นมาเองอัตโนมัติ

ทดลองโพสต์แล้วอัพโหลดรูปอีกครั้ง

ลองดูไฟล์และไดเร็คทอรีที่ถูกสร้างใน uploads

[root@cent6 wp-content]# ls -lR uploads/
uploads/:
total 4
drwx------. 3 apache apache 4096 May 12 17:02 2012

uploads/2012:
total 4
drwx------. 2 apache apache 4096 May 12 17:02 05

uploads/2012/05:
total 36
-rw-------. 1 apache apache 33625 May 12 17:02 Picture-01.jpg

หมายเหตุ ออปชั่น ‘-R’ ของคำสั่ง ls เป็นการแสดงข้อมูลไฟล์และไดเร็คทอรีย่อยทั้งหมด

ข้อมูลอ้างอิง

• ติดตั้ง WordPress บน CentOS 6

WordPress พัฒนาด้วยภาษา PHP และใช้ MySQL เป็นฐานข้อมูล ติดตั้งได้ทั้งบน Linux, Unix, MAC OS และ Windows

ในที่นี้จะแสดงวิธีการติดตั้ง WordPress บน CentOS 6 ตั้งแต่การดาวน์โหลดไฟล์ การสร้างฐานข้อมูล คอนฟิกผ่านหน้าเว็บ จนสามารถล็อกอินเข้าสู่หน้า admin ของ WordPress ได้

เครื่องที่ทดสอบ

• ติดตั้ง CentOS 6.2 แบบ “Minimal – Base System – Base”  (ติดตั้ง CentOS 6.2 : เลือกชุดซอฟต์แวร์ที่จะลง)
• IP Address ของเซิร์ฟเวอร์ 192.168.5.62
• ติดตั้งเว็บเซิร์ฟเวอร์ ​Apache
• ติดตั้งฐานข้อมูล MySQL
• ติดตั้งโมดูล PHP เพิ่มเติม บน CentOS 6

สรุปไฟล์ rpm จากแผ่นดีวีดีที่ต้องติดตั้งเพิ่ม หลังจากลง CentOS 6.2 แบบ Minimal +Base

• apr-1.3.9-3.el6_1.2.x86_64.rpm
• apr-util-1.3.9-3.el6_0.1.x86_64.rpm
• apr-util-ldap-1.3.9-3.el6_0.1.x86_64.rpm
• mailcap-2.1.31-2.el6.noarch.rpm
• httpd-tools-2.2.15-15.el6.centos.x86_64.rpm
• httpd-2.2.15-15.el6.centos.x86_64.rpm
• mysql-5.1.52-1.el6_0.1.x86_64.rpm
• perl-DBI-1.609-4.el6.x86_64.rpm
• perl-DBD-MySQL-4.013-3.el6.x86_64.rpm
• mysql-server-5.1.52-1.el6_0.1.x86_64.rpm
• php-5.3.3-3.el6_1.3.x86_64.rpm
• php-cli-5.3.3-3.el6_1.3.x86_64.rpm
• php-common-5.3.3-3.el6_1.3.x86_64.rpm
• php-pdo-5.3.3-3.el6_1.3.x86_64.rpm
• php-mysql-5.3.3-3.el6_1.3.x86_64.rpm

ดาวน์โหลดโปรแกรม WordPress

เข้าเว็บไซต์ wordpress.org เพื่อดาวน์โหลดโปรแกรม wordpress

คลิ้กที่เมนู Download หรือคลิ้กปุ่ม Download WordPress เพื่อเข้าสู่หน้าดาวน์โหลด

ล่าสุด ณ ตอนที่เขียนเป็นเวอร์ชั่น WordPress 3.3.2

ในหน้าดาวน์โหลด แนะนำให้คลิ้กที่ลิ้งค์ Download .tar.gz เพราะจะมีขนาดไฟล์เล็กกว่า .zip และใช้ติดตั้งได้เหมือนกัน

ใช้โปรแกรมประเภท scp เพื่อถ่ายโอนไฟล์ไปยังเครื่องลีนุกซ์ที่จะติดตั้ง

หรือถ้าจะดาวน์โหลดบนคำสั่งลีนุกซ์เลย ก็สามารถทำได้โดยใช้โปรแกรม curl หรือ wget

ตัวอย่างเช่นใช้คำสั่ง curl เพื่อดาวน์โหลดโปรแกรม wordpress

[root@cent6 ~]# curl -o wordpress-3.3.2.tar.gz 'http://wordpress.org/latest.tar.gz'
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
100 3792k    0 3792k    0     0  53721      0 --:--:--  0:01:12 --:--:-- 59257

ออปชั่น ‘-o‘ ระบุชื่อไฟล์ที่ต้องการเซฟ ส่วน http://wordpress.org/latest.tar.gz เป็น URL ที่ทาง wordpress สร้างไว้สำหรับให้ดาวน์โหลดโปรแกรมที่เป็นเวอร์ชั่นล่าสุด

ไฟล์ที่ได้

[root@cent6 ~]# ls -l wordpress-3.3.2.tar.gz
-rw-r--r--. 1 root root 3883667 May 12 13:20 wordpress-3.3.2.tar.gz

ติดตั้งไฟล์ wordpress

ใช้คำสั่ง tar แตก (extract) ไฟล์ที่ดาวน์โหลดมาในไดเร็คทอรี /var/www/html/

[root@cent6 ~]# cd /var/www/html/
[root@cent6 html]# tar zxvf /root/wordpress-3.3.2.tar.gz
wordpress/
wordpress/license.txt
wordpress/wp-activate.php
wordpress/wp-pass.php
wordpress/wp-login.php
wordpress/readme.html
...
wordpress/wp-mail.php
wordpress/wp-config-sample.php
wordpress/wp-links-opml.php
wordpress/wp-comments-post.php
wordpress/wp-app.php
[root@cent6 html]#

หลังการใช้คำสั่ง tar เพื่อแตกไฟล์ที่ดาวน์โหลดมา ทุกครั้งแนะนำให้แก้ไข owner และ group ของไฟล์ เพื่อป้องกัน owner หรือ group ไปตรงกับผู้ใช้ (user) ที่อยู่บนเครื่อง

[root@cent6 html]# ls -l wordpress/
total 204
-rw-r--r--. 1 33 tape   397 May 26  2008 index.php
-rw-r--r--. 1 33 tape 16899 Jun  9  2011 license.txt
-rw-r--r--. 1 33 tape  9202 Apr 20 19:44 readme.html
-rw-r--r--. 1 33 tape  4268 Oct 20  2011 wp-activate.php
...

ใช้คำสั่ง chown เพื่อแก้ไข owner และ group ให้เป็น root ทั้งหมด

หมายเหตุ หรือถ้าต้องการเพิ่มความปลอดภัยของระบบอีกขั้น แนะนำให้สร้าง user เพื่อเป็นเจ้าของไฟล์ที่ติดตั้งนี้อีกที แต่ในที่นี้ขอใช้ root เพื่อความง่ายต่อการนำเสนอ

ใช้คำสั่ง chown ออปชั่น ‘-R’ เพื่อเปลี่ยน owner และ group ของทุกไฟล์ภายใต้ไดเร็คทอรีที่ระบุ

[root@cent6 html]# chown -R root.root wordpress/

[root@cent6 html]# ls -l wordpress/
total 204
-rw-r--r--. 1 root root   397 May 26  2008 index.php
-rw-r--r--. 1 root root 16899 Jun  9  2011 license.txt
-rw-r--r--. 1 root root  9202 Apr 20 19:44 readme.html
-rw-r--r--. 1 root root  4268 Oct 20  2011 wp-activate.php
...

คอนฟิก wordpress ผ่านเว็บ

ใช้ browser เข้าไปที่ http://192.168.5.62/wordpress/ เพื่อเริ่มคอนฟิก wordpress ผ่านเว็บ

หน้าแรกที่เจอ แสดงข้อความ “There doesn’t seem to be a wp-config.php file” คือไม่สามารถหาไฟล์ wp-config.php ซึ่งเป็นไฟล์คอนฟิกหลักของ  wordpress

กดปุ่ม [Create a Configuration File] เพื่อเริ่มสร้างคอนฟิกไฟล์ wp-config.php

หน้าถัดมา แสดงข้อมูลคำอธิบายเกี่ยวกับฐานข้อมูล (database) ที่ wordpress ต้องใช้

ก่อนจะกดปุ่ม [Let's go!] เพื่อไปหน้าต่อไป ต้องสร้าง database และ GRANT สิทธิ ให้ wordpress ใช้เชื่อมต่อได้ก่อน

รันคำสั่ง mysql (หรือ phpmyadmin) เพื่อสร้าง database และ GRANT สิทธิให้ wordpress เชื่อมเข้าต่อฐานข้อมูล

[root@cent6 html]# mysql -u root -p
Enter password:
Welcome to the MySQL monitor.  Commands end with ; or \g.
Your MySQL connection id is 14
Server version: 5.1.52 Source distribution

Copyright (c) 2000, 2010, Oracle and/or its affiliates. All rights reserved.
This software comes with ABSOLUTELY NO WARRANTY. This is free software,
and you are welcome to modify and redistribute it under the GPL v2 license

Type 'help;' or '\h' for help. Type '\c' to clear the current input statement

mysql> CREATE DATABASE wordpress;
Query OK, 1 row affected (0.00 sec)

mysql> GRANT ALL ON wordpress.* TO 'wordpress'@'localhost' IDENTIFIED BY 'password';
Query OK, 0 rows affected (0.01 sec)

สร้างเสร็จเรียบร้อย กลับมาที่หน้าเว็บแล้วกดปุ่ม [Let's go!]

ใส่ข้อมูลการเชื่อมต่อเข้าฐานข้อมูล แล้วกดปุ่ม [Submit]

โปรแกรมจะพยายามเขียนไฟล์คอนฟิก wp-config.php ให้ แต่ไม่สามารถเขียนได้ ฟ้องข้อความ “Sorry, but I can’t write the wp-config.php file.”

เราต้องสร้างไฟล์ wp-config.php ขึ้นมาเอง ด้วยการคัดลอกคอนฟิกที่หมดที่แสดงในช่องฟอร์ม สำหรับ Windows ให้คลิ้กเมาส์ในช่องฟอร์มแล้วกด [Ctrl]+[A] เพื่อเลือกข้อความทั้งหมดในฟอร์ม แล้วกด [Ctrl]+[C] เพื่อคัดลอก

สร้างไฟล์บนเซิร์ฟเวอร์ ด้วยคำสั่ง vi

[root@cent6 html]# vi wordpress/wp-config.php

หากเราใช้ PuTTY เพื่อ SSH เข้าเซิร์ฟเวอร์ลีนุกซ์ กด i เพื่อเข้าสู่โหมด INSERT แล้วกดปุ่ม [Shift]+[Insert] เพื่อวางข้อความ (paste) ที่คัดลอกมาได้

กดปุ่ม [Esc] เพื่อกลับสู่โหมดคำสั่ง แล้วพิมพ์ :wq เซฟไฟล์แล้วออกจาก vi

เนื่องจากในไฟล์คอนฟิก wp-config.php นี้ มีข้อมูล user, password ที่ใช้เชื่อมต่อเข้าฐานข้อมูลของ wordpress อยู่ด้วย เพื่อความปลอดภัย (security) แนะนำให้เปลี่ยน owner และ permission ให้ apache อ่านได้เท่านั้น ผู้ใช้ธรรมดา (user) ไม่สามารถเข้ามาอ่านได้

ตัวอย่างการเปลี่ยน permission และ owner ของไฟล์

[root@cent6 html]# ls -l wordpress/wp-config.php
-rw-r--r--. 1 root root 3366 May 12 15:08 wordpress/wp-config.php

[root@cent6 html]# chmod 400 wordpress/wp-config.php
[root@cent6 html]# chown apache wordpress/wp-config.php

[root@cent6 html]# ls -l wordpress/wp-config.php
-r--------. 1 apache root 3366 May 12 15:08 wordpress/wp-config.php

หลังจากสร้างไฟล์ wp-config.php เรียบร้อย กลับมาหน้าเว็บแล้ว กดปุ่ม [Run the install]

หน้าใส่ข้อมูลเบื้องต้นของเว็บไซต์ และตั้ง username และ password ไว้เป็น admin ของโปรแกรม wordpress

แนะนำให้เปลี่ยน username จาก admin เป็นชื่ออื่น เพื่อเพิ่มความปลอดภัย ป้องกันการคาดเดา username, password

หน้าเว็บจะมีการตรวจสอบความยากง่ายของ password ที่เราใส่  แนะนำให้ตั้งยากหน่อย อย่างน้อยน่าจะได้ Medium หรือจะให้ดีก็ Strong

สำหรับการทดสอบ แนะนำให้คลิ้กไม่เลือก “Allow my site to appear in search engines like Google and Technorati.” ไว้ติดตั้งเว็บไซต์ใช้งานจริงแล้วค่อยเลือก

กดปุ่ม [Install WordPress]

หน้าแสดงการติดตั้งเสร็จสิ้น “Success”

กดปุ่ม [Log In] เพื่อเข้าสู่หน้า admin ของ wordpress (หรือเข้าโดยตรง http://192.168.5.62/wordpress/wp-admin/)

หน้าล็อกอินของ WordPress ใส่ username, password ที่ตั้งไว้

ถ้าล็อกอินสำเร็จ จะเข้าสู่หน้า Dashboard ของ WordPress

ข้อมูลอ้างอิง

• Download WordPress
• แก้ปัญหา WordPress อัพโหลดไฟล์ไม่ได้

เว็บเซิร์ฟเวอร์ Apache และ PHP เครื่องนี้ สามารถเขียนเว็บเพจโดยใช้ภาษา PHP ได้แล้ว  แต่สามารถเรียกใช้ฟังก์ชั่นแค่พื้นฐานเท่านั้น  ถ้าต้องการใช้ฟังก์ชั่นอื่นๆ ด้วย เช่นเชื่อมต่อเข้ากับ MySQL เราจำเป็นต้องติดตั้งโมดูล PHP เพิ่มเติม

ในบทความนี้จะอธิบายวิธีการตรวจสอบและติดตั้งโมดูลเพิ่มเติมจากไฟล์ rpm ที่อยู่ในแผ่นดีวีดี CentOS 6.2  โดยจะเป็นการติดตั้งโมดูล MySQL เพื่อให้สามารถเขียน PHP เชื่อมเข้ากับฐานข้อมูล MySQL ได้

ตัวอย่าง error เมื่อเรียกใช้ฟังก์ชั่นของโมดูลที่ไม่มีหรือยังไม่ได้ติดตั้ง

[root@cent6 ~]# cat test-mysql.php
<?php
mysql_connect('localhost', 'mysql_user', 'mysql_password');
?>

ทดลองรันไฟล์นี้ด้วย php

[root@cent6 ~]# php test-mysql.php
PHP Fatal error:  Call to undefined function mysql_connect() in /var/www/html/test-mysql.php on line 2

วิธีการตรวจสอบว่า การเขียนโปรแกรมภาษา PHP บนเว็บเซิร์ฟเวอร์นี้ สามารถเรียกใช้โมดูล PHP อะไรได้บ้าง ทำได้โดยใช้ฟังก์ชั่น phpinfo() แล้วเปิดผ่านหน้าเว็บเพจ หรือรันคำสั่ง php ตามด้วยออปชั่น “-m”

[root@cent6 html]# php -m
[PHP Modules]
bz2
calendar
Core
ctype
curl
date
ereg
exif
fileinfo
filter
ftp
gettext
gmp
hash
iconv
json
libxml
openssl
pcntl
pcre
Phar
readline
Reflection
session
shmop
SimpleXML
sockets
SPL
standard
tokenizer
xml
zip
zlib

[Zend Modules]

หากต้องการเรียกใช้โมดูลมากกว่านี้ จำเป็นต้องติดตั้งเพิ่มเติม  วิธีหนึ่งคือติดตั้งจากไฟล์ rpm ในแผ่นดีวีดี CentOS 6.2

ไฟล์ rpm ใน CentOS 6.2 ที่เกี่ยวข้องกับ PHP ไม่ว่าจะเป็นส่วนโปรแกรมหลัก หรือโมดูลเพิ่มเติม จะขึ้นต้นชื่อไฟล์ด้วย php

[root@cent6 ~]# mount /dev/cdrom /mnt
 mount: block device /dev/sr0 is write-protected, mounting read-only

[root@cent6 ~]# cd /mnt/Packages/
[root@cent6 Packages]# ls -l php-*
-rw-r--r--. 2 500 500 1176604 Nov 15 18:02 php-5.3.3-3.el6_1.3.x86_64.rpm
-rw-r--r--. 2 500 500 2276776 Nov 15 18:02 php-cli-5.3.3-3.el6_1.3.x86_64.rpm
-rw-r--r--. 2 500 500  534024 Nov 15 18:02 php-common-5.3.3-3.el6_1.3.x86_64.rpm
-rw-r--r--. 2 500 500  105780 Nov 15 18:02 php-gd-5.3.3-3.el6_1.3.x86_64.rpm
-rw-r--r--. 2 500 500   36360 Nov 15 18:02 php-ldap-5.3.3-3.el6_1.3.x86_64.rpm
-rw-r--r--. 2 500 500   80300 Nov 15 18:02 php-mysql-5.3.3-3.el6_1.3.x86_64.rpm
-rw-r--r--. 2 500 500   49116 Nov 15 18:02 php-odbc-5.3.3-3.el6_1.3.x86_64.rpm
-rw-r--r--. 2 500 500   74148 Nov 15 18:02 php-pdo-5.3.3-3.el6_1.3.x86_64.rpm
-rw-r--r--. 2 500 500  402492 Dec  9 03:54 php-pear-1.9.4-4.el6.noarch.rpm
-rw-r--r--. 2 500 500   95556 Jul  3  2011 php-pecl-apc-3.1.3p1-1.2.el6.1.x86_64.rpm
-rw-r--r--. 2 500 500   61400 Sep 26  2011 php-pecl-memcache-3.0.5-3.el6.x86_64.rpm
-rw-r--r--. 2 500 500   69044 Nov 15 18:02 php-pgsql-5.3.3-3.el6_1.3.x86_64.rpm
-rw-r--r--. 2 500 500  140600 Nov 15 18:02 php-soap-5.3.3-3.el6_1.3.x86_64.rpm
-rw-r--r--. 2 500 500  102132 Nov 15 18:02 php-xml-5.3.3-3.el6_1.3.x86_64.rpm
-rw-r--r--. 2 500 500   50964 Nov 15 18:02 php-xmlrpc-5.3.3-3.el6_1.3.x86_64.rpm

ใช้คำสั่ง rpm เพื่อติดตั้ง module เพิ่มเติม สำหรับการติดตั้ง MySQL module

[root@cent6 Packages]# rpm -i php-mysql-5.3.3-3.el6_1.3.x86_64.rpm
error: Failed dependencies:
 php-pdo is needed by php-mysql-5.3.3-3.el6_1.3.x86_64

ต้องติดตั้ง php-pdo (PDO module) ก่อน

[root@cent6 Packages]# rpm -i php-pdo-5.3.3-3.el6_1.3.x86_64.rpm
[root@cent6 Packages]# rpm -i php-mysql-5.3.3-3.el6_1.3.x86_64.rpm

ใช้คำสั่ง php ออปชั่น -m เพื่อตรวจสอบ module ที่ติดตั้งเพิ่มเติม

[root@cent6 Packages]# php -m
[PHP Modules]
bz2
calendar
Core
ctype
curl
date
ereg
exif
fileinfo
filter
ftp
gettext
gmp
hash
iconv
json
libxml
mysql
mysqli
openssl
pcntl
pcre
PDO
pdo_mysql
pdo_sqlite
Phar
readline
Reflection
session
shmop
SimpleXML
sockets
SPL
sqlite3
standard
tokenizer
xml
zip
zlib

Zend Modules]

คำอธิบาย

• PDO, pdo_sqlite, sqlite3 ได้จากการติดตั้งไฟล์ php-pdo
• mysql, mysqli, pdo_mysql ได้จากการติดตั้งไฟล์ php-mysql

หลังจากการติดตั้ง PHP module เพิ่มเติม การรัน PHP ที่เป็น command line สามารถเรียกใช้โมดูลใหม่นี้ได้เลย แต่ถ้าต้องการเรียกผ่านเว็บเซิร์ฟเวอร์ ต้องรีสตาร์ตเซอร์วิส httpd ก่อน

ใช้คำสั่ง service เพื่อรีสตาร์ตเซอร์วิส httpd

[root@cent6 Packages]# service httpd restart
Stopping httpd:                                            [  OK  ]
Starting httpd:                                            [  OK  ]

ตัวอย่างการใช้ฟังก์ชั่น phpinfo() แสดงผลผ่านหน้าเว็บเพจ เพื่อดูข้อมูลรายละเอียดโมดูล MySQL ที่ติดตั้งใหม่

[root@cent6 ~]# cat /var/www/html/info.php
 <?php
 phpinfo();
 ?>

ผลลัพธ์ที่ได้จากการเรียกผ่านหน้าเว็บ

ขั้นตอนต่อไปก็เป็นรัน Apache Web Server ขึ้นมาเพื่อให้ใช้งานได้

ในบทความนี้จะอธิบายการรันหรือสตาร์ต Apache Web Server บน CentOS 6.2 โดยจะใช้คำสั่ง service เพื่อสะดวกในการจัดการ กล่าวถึงวิธีการแก้ไขคอนฟิกเบื้องต้น และเมื่อทดสอบเรียบร้อยแล้ว ก็จะใช้คำสั่ง chkconfig เพื่อเวลาตอนบู๊ตเครื่องจะได้รันเซอร์วิสเว็บเซิร์ฟเวอร์ขึ้นมาโดยอัตโนมัติ

บน CentOS จะตั้งชื่อเซอร์วิสเรียก Apache ว่า httpd เพราะฉะนั้นเวลาใช้คำสั่ง service หรือ chkconfig ต้องใช้ชื่อเป็น httpd

รันเซอร์วิส httpd

ใช้คำสั่ง service เพื่อสตาร์ตเซอร์วิส httpd

[root@cent6 ~]# service httpd start
Starting httpd:                                            [  OK  ]

ต้องขึ้นผลลัพธ์ว่า OK แสดงว่าสตาร์ตเซอร์วิสสำเร็จ

หลังจากสตาร์ตเสร็จเรียบร้อย ลองใช้คำสั่ง ps เพื่อดูโปรเซสของ httpd

[root@cent6 ~]# ps -ef | egrep "(UID|httpd)"
UID        PID  PPID  C STIME TTY          TIME CMD
root      1623     1  0 15:23 ?        00:00:00 /usr/sbin/httpd
apache    1625  1623  0 15:23 ?        00:00:00 /usr/sbin/httpd
apache    1626  1623  0 15:23 ?        00:00:00 /usr/sbin/httpd
apache    1627  1623  0 15:23 ?        00:00:00 /usr/sbin/httpd
apache    1628  1623  0 15:23 ?        00:00:00 /usr/sbin/httpd
apache    1629  1623  0 15:23 ?        00:00:00 /usr/sbin/httpd
apache    1630  1623  0 15:23 ?        00:00:00 /usr/sbin/httpd
apache    1631  1623  0 15:23 ?        00:00:00 /usr/sbin/httpd
apache    1632  1623  0 15:23 ?        00:00:00 /usr/sbin/httpd

ในที่นี้ใช้คำสั่ง egrep เพื่อค้นหาบรรทัดที่มีคำว่า UID หรือ httpd เพื่อให้แสดงชื่อฟิลด์ต่างๆ ด้วย

ทดสอบจาก Web Client (Browser)

หลังจากสตาร์ตเซอร์วิสเรียบร้อยแล้ว ลองใช้ browser จากเครื่อง client อื่นทดสอบดู

หน้าจอของ browser แสดง error ว่าเข้าเว็บไม่ได้

เหตุผลก็เป็นเพราะว่า โดยดีฟอลต์จากการติดตั้ง CentOS คอนฟิกของ firewall จะอนุญาตให้เข้าได้เฉพาะ ssh ได้เท่านั้น

ใช้คำสั่ง system-config-firewall-tui เพื่อเพิ่มคอนฟิก firewall อนุญาตให้เครื่องอื่นสามารถเข้ามาใช้เซอร์วิส WWW(HTTP) ได้

[root@cent6 ~]# system-config-firewall-tui

ลองใช้ browser จากเครื่อง client ทดสอบดูอีกครั้ง ก็จะใช้งานได้ ขึ้นหน้า Apache 2 Test Page

หมายเหตุ หน้า Apache 2 Test Page นี้ จะถูกแสดงขึ้นมา ในกรณีที่ไดเร็คทอรีเว็บที่เราเรียก ไม่มีไฟล์ index โดยจะไปเรียกไฟล์​ /var/www/error/noindex.html  มาแสดงแทน

ทดสอบเขียนไฟล์เว็บ html

ดีฟอลต์คอนฟิก apache ที่ติดตั้งจาก rpm ไดเร็คทอรีหลัก (DocumentRoot) ที่เก็บไฟล์เว็บหน้าแรกจะอยู่ใน /var/www/html/

ทดสอบเขียนไฟล์เว็บ ชื่อ test.html ไว้ในไดเร็คทอรี /var/www/html/

[root@cent6 ~]# cat /var/www/html/test.html
 <html>
 <body>
 ทดสอบเขียนเว็บ
 </body>
 </html>

ลองเปิดด้วย browser ดู

ทดลองเขียนไฟล์เว็บโปรแกรม php

หากได้ ติดตั้งโปรแกรมภาษาเว็บ PHP บน Apache ด้วย ลองเขียนไฟล์  php เพื่อทดสอบรันบนเว็บเซิร์ฟเวอร์ดู

[root@cent6 ~]# cat /var/www/html/test.php

<?php

print 'เขียนโปรแกรม PHP<br>';

for ($i=1; $i<=9; $i++) {
 print "$i";
}

?>

ลองเปิดด้วย browser ดู

คอนฟิกให้ สตาร์ต Apache ตอนบู๊ตเครื่อง

เมื่อทดสอบเรียบร้อยแล้ว หากต้องการให้สตาร์ต apache ตอนบู๊ตเครื่องโดยอัตโนมัติ สามารถทำได้โดยใช้คำสั่ง chkconfig

[root@cent6 ~]# chkconfig httpd on

[root@cent6 ~]# chkconfig --list | grep http
httpd          0:off 1:off 2:on 3:on 4:on 5:on 6:off

ปิดเซอร์วิส Apache

ในกรณีที่ต้องการปิดเซอร์วิส Apache สามารถทำได้โดยใช้คำสั่ง service

[root@cent6 ~]# service httpd stop
Stopping httpd:                                            [  OK  ]

ข้อมูลอ้างอิง

• ติดตั้งเว็บเซิร์ฟเวอร์ ​Apache
• ติดตั้งโปรแกรมภาษาเว็บ PHP บน Apache
• วิธีการเปิด ปิด เซอร์วิส
• การเปิดเซอร์วิสตอนบู๊ตเครื่อง
• แก้ไขคอนฟิก firewall ด้วย system-config-firewall

โดยจะอธิบายทีละขั้นตอน ถึงวิธีการติดตั้งไฟล์ rpm และการแก้ไขปัญหา

ใส่แผ่นดีวีดีติดตั้ง ใช้คำสั่ง mount แผ่นกับพาธ /mnt

[root@cent6 ~]# mount /dev/cdrom /mnt
mount: block device /dev/sr0 is write-protected, mounting read-only

เข้าไปใน /mnt/Packages/ เพื่อติดตั้งไฟล์ rpm

สำหรับ CentOS ไฟล์ rpm ของ Apache Web Server จะมีชื่อไฟล์ขึ้นต้นด้วย httpd

[root@cent6 ~]# cd /mnt/Packages/
[root@cent6 Packages]# ls -l httpd*
-rw-r--r--. 2 500 500 828156 Dec 9 03:06 httpd-2.2.15-15.el6.centos.x86_64.rpm
-rw-r--r--. 4 500 500 150236 Dec 9 03:06 httpd-devel-2.2.15-15.el6.centos.i686.rpm
-rw-r--r--. 2 500 500 150200 Dec 9 03:06 httpd-devel-2.2.15-15.el6.centos.x86_64.rpm
-rw-r--r--. 2 500 500 799272 Dec 9 03:06 httpd-manual-2.2.15-15.el6.centos.noarch.rpm
-rw-r--r--. 2 500 500 71296 Dec 9 03:06 httpd-tools-2.2.15-15.el6.centos.x86_64.rpm

ไฟล์ที่จำเป็นต้องติดตั้งเพื่อรันเป็นเว็บเซิร์ฟเวอร์คือ httpd กับ httpd-tools

ใช้คำสั่ง rpm -i เพื่อติดตั้งไฟล์ httpd

[root@cent6 Packages]# rpm -i httpd-2.2.15-15.el6.centos.x86_64.rpm
error: Failed dependencies:
 /etc/mime.types is needed by httpd-2.2.15-15.el6.centos.x86_64
 apr-util-ldap is needed by httpd-2.2.15-15.el6.centos.x86_64
 httpd-tools = 2.2.15-15.el6.centos is needed by httpd-2.2.15-15.el6.centos.x86_64
 libapr-1.so.0()(64bit) is needed by httpd-2.2.15-15.el6.centos.x86_64
 libaprutil-1.so.0()(64bit) is needed by httpd-2.2.15-15.el6.centos.x86_64

ต้องลงไฟล์ rpm อื่นก่อน ที่เห็นชัดพอจะเดาได้คือ httpd-tools

ลองลง httpd-tools ดู

[root@cent6 Packages]# rpm -i httpd-tools-2.2.15-15.el6.centos.x86_64.rpm
error: Failed dependencies:
 libapr-1.so.0()(64bit) is needed by httpd-tools-2.2.15-15.el6.centos.x86_64
 libaprutil-1.so.0()(64bit) is needed by httpd-tools-2.2.15-15.el6.centos.x86_64

ก็จำเป็นต้องลง libapr กับ libaprutil ก่อน ลองหาข้อมูลบนอินเตอร์เน็ต สองไฟล์นี้อยู่ในไฟล์ rpm ที่มีชื่อ apr กับ apr-util

ใช้คำสั่ง ls ดูไฟล์ในแผ่นที่ขึ้นต้นด้วย apr

[root@cent6 Packages]# ls -l apr-*
-rw-r--r--. 4 500 500 132120 Sep 28 2011 apr-1.3.9-3.el6_1.2.i686.rpm
-rw-r--r--. 2 500 500 126336 Sep 28 2011 apr-1.3.9-3.el6_1.2.x86_64.rpm
-rw-r--r--. 4 500 500 180328 Sep 28 2011 apr-devel-1.3.9-3.el6_1.2.i686.rpm
-rw-r--r--. 2 500 500 180300 Sep 28 2011 apr-devel-1.3.9-3.el6_1.2.x86_64.rpm
-rw-r--r--. 4 500 500 91196 Jul 6 2011 apr-util-1.3.9-3.el6_0.1.i686.rpm
-rw-r--r--. 2 500 500 89340 Jul 6 2011 apr-util-1.3.9-3.el6_0.1.x86_64.rpm
-rw-r--r--. 4 500 500 70424 Jul 6 2011 apr-util-devel-1.3.9-3.el6_0.1.i686.rpm
-rw-r--r--. 2 500 500 70420 Jul 6 2011 apr-util-devel-1.3.9-3.el6_0.1.x86_64.rpm
-rw-r--r--. 2 500 500 15824 Jul 6 2011 apr-util-ldap-1.3.9-3.el6_0.1.x86_64.rpm

สำหรับ apr จะมีสองไฟล์ ลงท้ายด้วย i686.rpm กับ x86_64.rpm

• ไฟล์ rpm ที่ลงท้ายด้วย i686.rpm สำหรับลงบนลีนุกซ์ 32 bit
• ไฟล์ rpm ที่ลงท้ายด้วย x86_64.rpm สำหรับลงบนลีนุกซ์ 64 bit

ในที่นี้เลือกไฟล์ลงท้ายด้วย x86_64.rpm

ติดตั้งไฟล์ rpm ของ apr กับ apr-util

[root@cent6 Packages]# rpm -i apr-1.3.9-3.el6_1.2.x86_64.rpm
[root@cent6 Packages]# rpm -i apr-util-1.3.9-3.el6_0.1.x86_64.rpm

ลองติดตั้ง httpd-tools อีกครั้ง

[root@cent6 Packages]# rpm -i httpd-tools-2.2.15-15.el6.centos.x86_64.rpm

ติดตั้งสำเร็จ ลองติดตั้ง httpd อีกครั้ง

[root@cent6 Packages]# rpm -i httpd-2.2.15-15.el6.centos.x86_64.rpm
error: Failed dependencies:
 /etc/mime.types is needed by httpd-2.2.15-15.el6.centos.x86_64
 apr-util-ldap is needed by httpd-2.2.15-15.el6.centos.x86_64

ยัง error อยู่ ต้องติดตั้งไฟล์ rpm เพิ่มเติม ที่พอเดาได้เพิ่มเติมคือ apr-util-ldap

หาไฟล์ในแผ่นที่ขึ้นต้นด้วย apr-util-ldap แล้วลองติดตั้ง

[root@cent6 Packages]# ls -l apr-util-ldap*
-rw-r--r--. 2 500 500 15824 Jul 6 2011 apr-util-ldap-1.3.9-3.el6_0.1.x86_64.rpm

[root@cent6 Packages]# rpm -i apr-util-ldap-1.3.9-3.el6_0.1.x86_64.rpm

ส่วน /etc/mime.types ลองหาข้อมูลบนอินเตอร์เน็ตดู จะพบข้อมูลว่าอยู่ในไฟล์ rpm ที่ชื่อ mailcap

หาไฟล์ในแผ่นที่ขึ้นต้นด้วย mailcap แล้วติดตั้ง

[root@cent6 Packages]# ls -l mailcap*
-rw-r--r--. 2 500 500 27280 Sep 26 2011 mailcap-2.1.31-2.el6.noarch.rpm

[root@cent6 Packages]# rpm -i mailcap-2.1.31-2.el6.noarch.rpm

ลองติดตั้ง httpd อีกครั้ง ก็จะติดตั้งสำเร็จ

[root@cent6 Packages]# rpm -i httpd-2.2.15-15.el6.centos.x86_64.rpm

ทดลองรัน httpd ตามด้วยออปชั่น ‘-v’ เพื่อแสดงเวอร์ขั่นของ Apache Web Server ที่ติดตั้ง

[root@cent6 ~]# httpd -v
Server version: Apache/2.2.15 (Unix)
Server built: Dec 8 2011 18:10:49

ข้อมูลอ้างอิง

• ติดตั้งโปรแกรมเพิ่มบน CentOS 6.2
• ติดตั้งโปรแกรมภาษาเว็บ PHP บน Apache

เป็นการตรวจสอบ user จาก Local Password หรือไฟล์ /etc/passwd, /etc/shadow ผ่าน Linux PAM ที่อยู่บนเครื่อง proxy server เอง

แต่ถ้าบริษัทหรือองค์กรของเรามีการเก็บ user, password อยู่บนเซิร์ฟเวอร์เครื่องอื่น เช่นเก็บรวมเป็นศูนย์กลางบน LDAP Server เราก็สามารถคอนฟิก Squid Proxy Server ให้ตรวจสอบ user, password จาก LDAP Server ได้

วิธีการคือ แก้ไขคอนฟิกในส่วนของ auth_param basic program เปลี่ยนไปใช้ไฟล์ basic_ldap_auth

สมมติว่าค่าคอนฟิกต่างๆ ของ LDAP Server มีดังนี้

• ออปชั่น ‘-v’ ระบุเวอร์ชั่นของ LDAP ที่ใช้ = 3
• ออปชั่น ‘-b’ ระบุ Base DN สำหรับการค้นหา = “dc=example,dc=com”
• ออปชั่น ‘-f’ ระบุเงื่อนไขการค้นหา uid=% คือให้ค้นหาการ username (บน LDAP Server ก็ต้องเก็บโดยใช้ชื่อฟิลด์ uid ด้วย)
• ออปชั่น ‘-h’ ระบุ IP Address = 192.168.1.10

แต่ถ้า LDAP Server ที่คุณใช้ ต้องมีการระบุชื่อ DN และ password ที่ใช้ bind ด้วย ก็ต้องระบุ 2 ออปชั่นนี้เพิ่มเติม

• ออปชั่น ‘-D’ ระบุชื่อ DN สำหรับการ bind เข้า LDAP
• ออปชั่น ‘-w’ ระบุ password ที่ใช้ bind เข้า LDAP

ตัวอย่างการแก้ไขคอนฟิก

[root@fc16-64a ~]# cat /etc/squid/squid.conf
....
#
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
#
auth_param basic children 5
auth_param basic realm Proxy Authentication
auth_param basic credentialsttl 12 hours
auth_param basic program /usr/lib64/squid/basic_ldap_auth -v 3 -b "dc=example,dc=com" -f uid=%s -h 192.168.1.10

acl user_ldap_auth proxy_auth REQUIRED
# Example rule allowing access from your local networks.
# Adapt localnet in the ACL section to list your (internal) IP networks
# from where browsing should be allowed
http_access allow localnet user_ldap_auth
...

ใช้คำสั่ง service หรือ systemctl เพื่อ start หรือ reload เซอร์วิส squid

[root@fc16-64a ~]# systemctl reload squid.service

เสร็จแล้วลองทดสอบจาก Browser

หมายเหตุ หลังจากทดสอบเรียบร้อยใช้งานได้แล้ว เพื่อความปลอดภัยของเซิร์ฟเวอร์ หากคุณเปลี่ยนจาก basic_pam_auth มาเป็น basic_ldap_auth แล้ว ให้ยกเลิก setuid root ของไฟล์ basic_pam_auth ด้วย ใช้คำสั่ง chmod ดังนี้

[root@fc16-64a ~]# ls -l /usr/lib64/squid/basic_pam_auth
-rwsr-x---. 1 root squid 15416 Sep 20 15:36 /usr/lib64/squid/basic_pam_auth

[root@fc16-64a ~]# chmod u-s /usr/lib64/squid/basic_pam_auth

[root@fc16-64a ~]# ls -l /usr/lib64/squid/basic_pam_auth
-rwxr-x---. 1 root squid 15416 Sep 20 15:36 /usr/lib64/squid/basic_pam_auth

ข้อมูลอ้างอิง

• คอนฟิก Squid Proxy Server ให้ผู้ใช้ใส่ user, password ก่อนเข้าเว็บ
• ติดตั้ง OpenLDAP Server บน Fedora 13
• squid: basic_ldap_auth

โดยจะตรวจสอบ user, password กับ Local Password หรือไฟล์ /etc/passwd, /etc/shadow ผ่าน Linux PAM ที่อยู่บนเครื่อง Proxy Server เอง

ทดสอบบน Fedora 16 ติดตั้ง squid-3.2.0.12-1

ติดตั้งไฟล์ rpm จากแผ่นดีวีดีติดตั้ง

[root@fc16-64a ~]# mount /dev/cdrom /mnt/cdrom
mount: block device /dev/sr0 is write-protected, mounting read-only

[root@fc16-64a ~]# cd /mnt/cdrom/Packages/
[root@fc16-64a Packages]# rpm -i squid-3.2.0.12-1.fc16.x86_64.rpm

มีหลายวิธีที่คอนฟิกให้ถาม user, password ก่อนใช้ proxy ได้ วิธีหนึ่งคือเพิ่มคอนฟิกออปชั่น auth_param basic มี 3 ขั้นตอนดังนี้

1. ตั้งค่าคอนฟิกของ auth_param basic มีอยู่หลายค่า บรรทัดสำคัญคือ program ในที่นี้จะเลือกเป็น basic_pam_auth เพื่อให้ตรวจสอบกับ Linux PAM
2. สร้าง acl เป็นชนิด proxy_auth ในตัวอย่างนี้ ตั้งชื่อ acl เป็น user_pam_auth
3. สุดท้ายนำ acl ที่สร้างขึ้นไปผูกเงื่อนไขใน http_access เช่นในที่นี้ ยังคงอนุญาตให้เครื่องที่อยู่ใน localnet ใช้ proxy ได้ แต่ต้องใส่ user, password ก่อน

ตัวอย่างแก้ไขไฟล์ /etc/squid/squid.conf (แสดงเฉพาะส่วนที่แก้ไขจากดีฟอลต์คอนฟิกเท่านั้น)

[root@fc16-64a ~]# cat /etc/squid/squid.conf
....
#
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
#
auth_param basic children 5
auth_param basic realm Proxy Authentication
auth_param basic credentialsttl 12 hours
auth_param basic program /usr/lib64/squid/basic_pam_auth

acl user_pam_auth proxy_auth REQUIRED

# Example rule allowing access from your local networks.
# Adapt localnet in the ACL section to list your (internal) IP networks
# from where browsing should be allowed
http_access allow localnet user_pam_auth
...

ใช้คำสั่ง service หรือ systemctl เพื่อ start หรือ reload เซอร์วิส squid

[root@fc16-64a ~]# systemctl reload squid.service

ใช้คำสั่ง useradd เพิ่ม user สำหรับทดสอบ

[root@fc16-64a ~]# useradd -g users user1
[root@fc16-64a ~]# passwd user1
Changing password for user user1.
New password:
Retype new password:
passwd: all authentication tokens updated successfully.

ทดสอบจาก Browser

คอนฟิก Browser ของเครื่องผู้ใช้ ให้ชี้มาที่ proxy แล้วลองเข้าเว็บดู จะมีหน้าจอให้ใส่ user, password ลองใส่ user ที่เพิ่งสร้างขึ้น

แม้จะพยายามใส่ user, password อย่างไร ก็ไม่สำเร็จ

ที่เป็นเช่นนี้เนื่องจาก basic_pam_auth ไ่ม่สามารถอ่านไฟล์ /etc/shadow ได้ จำเป็นต้องแก้ไขไฟล์นี้ให้เป็น setuid root

ใช้คำสั่ง chmod เพื่อแก้ไขไฟล์ให้เป็น setuid root

[root@fc16-64a ~]# ls -l /usr/lib64/squid/basic_pam_auth
-rwxr-xr-x. 1 root root 15416 Sep 20 15:36 /usr/lib64/squid/basic_pam_auth

[root@fc16-64a ~]# chmod u+s /usr/lib64/squid/basic_pam_auth

[root@fc16-64a ~]# ls -l /usr/lib64/squid/basic_pam_auth
-rwsr-xr-x. 1 root root 15416 Sep 20 15:36 /usr/lib64/squid/basic_pam_auth

แต่การใช้ setuid root แบบนี้ ค่อนข้างอันตราย user ทั่วไป บนเครื่องเซิร์ฟเวอร์ สามารถรันโปรแกรมนี้แล้วตรวจสอบไฟล์ /etc/shadow ได้

วิธีที่จะพอป้องกันได้ คือให้เฉพาะ squid รันไฟล์นี้ได้เท่านั่้น ตัวอย่างเช่น

[root@fc16-64a ~]# chmod 750 /usr/lib64/squid/basic_pam_auth
[root@fc16-64a ~]# chgrp squid /usr/lib64/squid/basic_pam_auth
[root@fc16-64a ~]# ls -l /usr/lib64/squid/basic_pam_auth
-rwxr-x---. 1 root squid 15416 Sep 20 15:36 /usr/lib64/squid/basic_pam_auth

[root@fc16-64a ~]# chmod u+s /usr/lib64/squid/basic_pam_auth
[root@fc16-64a ~]# ls -l /usr/lib64/squid/basic_pam_auth
-rwsr-x---. 1 root squid 15416 Sep 20 15:36 /usr/lib64/squid/basic_pam_auth

รีโหลดเซอร์วิสหลังแก้ไข

[root@fc16-64a ~]# systemctl reload squid.service

ลองใส่ user, password อีกครั้ง บน browser น่าจะใช้งานได้แล้ว

ข้อมูลอ้างอิง

• squid: basic_pam_auth
• คอนฟิก Squid Proxy Server
• คอนฟิก Squid Proxy Server ให้ตรวจสอบ user, password จาก LDAP

เคยสงสัยไหมว่า ผู้ให้บริการต้องมีเซิร์ฟเวอร์กี่เครื่อง เพื่อจะรองรับเว็บไซต์หรือโดเมนเนมของลูกค้าจำนวนมากได้

โดยทั่วไป ผู้ให้บริการ Web Hosting อาจมีเซิร์ฟเวอร์เพียงไม่กี่เครื่องเท่านั้น โดยแต่ละเครื่องสามารถคอนฟิกเพื่อให้รองรับจำนวนเว็บไซต์ได้เป็นหลักร้อย หลักพัน หรือเคยได้ยินมาว่าบางที่ ที่ค่าบริการถูกมากๆ มีจำนวนเว็บไซต์ต่อเครื่องถึงหลักหมื่นเลยทีเดียว

วิธีการที่คอนฟิกเว็บเซิร์ฟเวอร์เพื่อให้สามารถรองรับได้หลายเว็บไซต์หรือโดเมน โดยพื้นฐานแล้วก็คือการใช้ VirtualHost นั่นเอง

บทความนี้จะอธิบายวิธีการคอนฟิก Apache VirtualHost บน Fedora 16

ระบบทดสอบ

• Fedora 16
• IP Address: 192.168.5.16

ในที่นี้สมมติว่าเราแก้ไข DNS (หรืออาจแก้ไฟล์ host บนเครื่อง Client) โดยเพิ่มชื่อ 3 เว็บไซต์ ให้ชี้มายัง IP 192.168.5.16

• web1.example.com
• web2.example.com
• web3.example.com

ติดตั้งไฟล์ rpm ของ Apache

ใช้คำสั่ง rpm เพื่อตรวจสอบเวอร์ชั่นที่ติดตั้ง

[root@fc16-64a ~]# rpm -qa | grep httpd
httpd-tools-2.2.21-1.fc16.x86_64
httpd-2.2.21-1.fc16.x86_64

โดยดีฟอลต์การติดตั้งไฟล์ rpm ของ Apache บนลีนุกซ์ ตระกูล RedHat, CentOS, หรือ Fedora จะรองรับแค่ชื่อเว็บไซต์เดียวเท่านั้น

การคอนฟิก VirtualHost บนเว็บเซิร์ฟเวอร์

เริ่มต้น ถ้าต้องการเปิดคุณสมบัติ VirtualHost ต้องแก้ไขคอนฟิกไฟล์ httpd.conf โดยเอาเครื่องหมาย ‘#’ (comment) หน้าออปชั่น NameVirtualHost ออก

วิธีการคอนฟิก VirtualHost ในที่นี้จะอ้างอิงตามชื่อเว็บไซต์ที่เรียกเข้ามา เช่น ถ้า Browser (client)

• ใช้ชื่อ “ServerName” web1.example.com เข้ามา เราต้องการให้เข้าไปอ่านไฟล์เว็บในไดเร็คทอรี “DocumentRoot” /var/www/html/web1.example.com
• แต่ถ้าใช้ชื่อ web2.example.com ให้อ่านไฟล์ใน /var/www/html/web2.example.com
• และถ้าใช้ชื่อ web3.example.com ให้ไปอ่านไฟล์จาก /var/www/html/web3.example.com
• แต่ถ้าใช้ชื่ออื่นๆ หรือใช้ IP Address ของเซิร์ฟเวอร์ ให้อ่านไฟล์ใน /var/www/html/default

ตัวอย่างไฟล์คอนฟิก httpd.conf ที่แก้ไข

[root@fc16-64a ~]# cat /etc/httpd/conf/httpd.conf
...
#
# Use name-based virtual hosting.
#
NameVirtualHost *:80

<VirtualHost *:80>
 ServerName 192.168.5.16
 DocumentRoot /var/www/html/default
 ErrorLog logs/default-error_log
 CustomLog logs/default-access_log common
</VirtualHost>

<VirtualHost *:80>
 ServerName web1.example.com
 DocumentRoot /var/www/html/web1.example.com
 ErrorLog logs/web1.example.com-error_log
 CustomLog logs/web1.example.com-access_log common
</VirtualHost>

<VirtualHost *:80>
 ServerName web2.example.com
 DocumentRoot /var/www/html/web2.example.com
 ErrorLog logs/web2.example.com-error_log
 CustomLog logs/web2.example.com-access_log common
</VirtualHost>

<VirtualHost *:80>
 ServerName web3.example.com
 DocumentRoot /var/www/html/web3.example.com
 ErrorLog logs/web3.example.com-error_log
 CustomLog logs/web3.example.com-access_log common
</VirtualHost>

สร้างไดเร็คทอรี DocumentRoot สำหรับเก็บไฟล์ของชื่อเว็บไซต์ต่างๆ

[root@fc16-64a ~]# mkdir /var/www/html/default
[root@fc16-64a ~]# mkdir /var/www/html/web1.example.com
[root@fc16-64a ~]# mkdir /var/www/html/web2.example.com
[root@fc16-64a ~]# mkdir /var/www/html/web3.example.com

สร้างไฟล์เว็บ index.html ของแต่ละเว็บไซต์

[root@fc16-64a ~]# echo "Hello, default web site" > /var/www/html/default/index.html
[root@fc16-64a ~]# echo "Hello, web1" > /var/www/html/web1.example.com/index.html
[root@fc16-64a ~]# echo "Hello, web2" > /var/www/html/web2.example.com/index.html
[root@fc16-64a ~]# echo "Hello, web3" > /var/www/html/web3.example.com/index.html

ใช้คำสั่ง service restart เพื่อรีสตาร์ตเซอร์วิส httpd ใหม่

[root@fc16-64a ~]# service httpd restart
Restarting httpd (via systemctl): [ OK ]

การคอนฟิก VirtualHost ในที่นี้จะแยก log file ทั้ง access_log และ error_log ตามชื่อเว็บไซต์ด้วย เพื่อสะดวกต่อการตรวจสอบและการทำรายงานการเข้าใช้

[root@fc16-64a httpd]# ls -l
total 4
-rw-r--r--. 1 root root 0 Mar 9 16:34 access_log
-rw-r--r--. 1 root root 0 Mar 9 16:34 default-access_log
-rw-r--r--. 1 root root 0 Mar 9 16:34 default-error_log
-rw-r--r--. 1 root root 458 Mar 9 16:35 error_log
-rw-r--r--. 1 root root 0 Mar 9 16:34 web1.example.com-access_log
-rw-r--r--. 1 root root 0 Mar 9 16:34 web1.example.com-error_log
-rw-r--r--. 1 root root 0 Mar 9 16:34 web2.example.com-access_log
-rw-r--r--. 1 root root 0 Mar 9 16:34 web2.example.com-error_log
-rw-r--r--. 1 root root 0 Mar 9 16:34 web3.example.com-access_log
-rw-r--r--. 1 root root 0 Mar 9 16:34 web3.example.com-error_log

ทดสอบจาก Browser (client)

ใช้ Browser บนเครื่อง Client เปิดไปที่เว็บไซต์ http://web1.example.com

ผลที่ทดสอบ ก็เข้าไปอ่านไฟล์ใน /var/www/html/web1.example.com/index.html จริง

ลองดู log file ที่เกิดขึ้น จะเห็นว่าเกิด log เฉพาะในโดเมน web1.example.com เท่านั้น

[root@fc16-64a ~]# ls -l /var/log/httpd/
total 12
-rw-r--r--. 1 root root 0 Mar 9 16:34 access_log
-rw-r--r--. 1 root root 0 Mar 9 16:34 default-access_log
-rw-r--r--. 1 root root 0 Mar 9 16:34 default-error_log
-rw-r--r--. 1 root root 458 Mar 9 16:35 error_log
-rw-r--r--. 1 root root 222 Mar 9 16:36 web1.example.com-access_log
-rw-r--r--. 1 root root 234 Mar 9 16:36 web1.example.com-error_log
-rw-r--r--. 1 root root 0 Mar 9 16:34 web2.example.com-access_log
-rw-r--r--. 1 root root 0 Mar 9 16:34 web2.example.com-error_log
-rw-r--r--. 1 root root 0 Mar 9 16:34 web3.example.com-access_log
-rw-r--r--. 1 root root 0 Mar 9 16:34 web3.example.com-error_log

[root@fc16-64a ~]# tail /var/log/httpd/web1.example.com-access_log
192.168.5.101 - - [09/Mar/2012:16:36:06 +0700] "GET / HTTP/1.1" 200 12
192.168.5.101 - - [09/Mar/2012:16:36:06 +0700] "GET /favicon.ico HTTP/1.1" 404 291

[root@fc16-64a ~]# tail /var/log/httpd/web1.example.com-error_log
[Fri Mar 09 16:36:06 2012] [error] [client 192.168.5.101] File does not exist: /var/www/html/web1.example.com/favicon.ico

ทดลองอีกครั้งด้วยชื่อเว็บ web2.example.com

log file ที่เกิดขึ้น ก็จะไปขึ้นในไฟล์ web2.example.com-access_log และ web2.example.com-error_log ที่คอนฟิกไว้
แต่ถ้าเข้าด้วย IP ของ Server หรือชื่อ ServerName อื่นๆ ที่ไม่ได้คอนฟิก VirtualHost ไว้ ผลที่ได้จะไปเรียก VirtualHost ที่คอนฟิกไว้บนสุด ในที่นี้คือ DocumentRoot /var/www/html/default

เพราะฉะนั้น ลำดับคอนฟิก VirtualHost ในไฟล์ httpd.conf จึงมีความสำคัญ ในกรณีที่ไม่มีชื่อ ServerName ระบุไว้

ข้อมูลอ้างอิง

• Apache Virtual Host documentation

จากที่เคยปิดคุณสมบัติ SELinux เพื่อแก้ปัญหา Directory Permissions Unwritable มาแล้วในบทความ แก้ไข permission ไฟล์หลังการติดตั้ง Joomla 2.5

ครั้งนี้ขอปรับปรุงใหม่ ด้วยการเปิดคุณสมบัติ SELinux ไว้ แล้วแก้ไข security context ของไดเร็คทอรีที่มีปัญหา เพื่อให้สามารถเขียนไฟล์ได้

ในที่นี้ยังคงทดลองบน ​Fedora 16 เหมือนเดิม แต่เท่าที่ลองกับ Linux Distributions อื่นๆ วิธีการแก้ไขก็คล้ายกัน

[root@fc16-64a ~]# cat /etc/redhat-release 
Fedora release 16 (Verne)

ใช้คำสั่ง sestatus เพื่อตรวจสอบสถานะการเปิดคุณสมบัติ SELinux

[root@fc16-64a ~]# sestatus
SELinux status: enabled
SELinuxfs mount: /sys/fs/selinux
Current mode: enforcing
Mode from config file: enforcing
Policy version: 26
Policy from config file: targeted

เมื่อเปิด SELinux แล้ว แม้เราจะเปลี่ยน owner หรือ permission ของไฟล์ เพื่อให้ apache สามารถ เขียนไฟล์ (write) ได้ แล้ว ในหน้าตรวจสอบ Directory Permissions ก็ยังขึ้น Unwritable เหมือนเดิม

ตัวอย่างการเปลี่ยน owner ของไดเร็คทอรีย่อยภายใต้ administrator แล้ว

[root@fc16-64a ~]# cd /var/www/html/joomla25/
[root@fc16-64a joomla25]# ls -l administrator/
total 36
drwxr-xr-x. 3  apache root 4096 Mar 4 00:42 cache
drwxr-xr-x. 28 apache root 4096 Mar 4 00:37 components
drwxr-xr-x. 3  root   root 4096 Mar 3 22:54 help
drwxr-xr-x. 2  root   root 4096 Mar 3 22:54 includes
-rw-r--r--. 1  root   root 1495 Feb 1 12:45 index.php
drwxr-xr-x. 15 apache root 4096 Mar 4 00:37 language
drwxr-xr-x. 5  root   root 4096 Mar 3 22:54 manifests
drwxr-xr-x. 16 apache root 4096 Mar 3 22:54 modules
drwxr-xr-x. 5  apache root 4096 Feb 1 12:45 templates

ที่เป็นเช่นนี้เพราะว่า หลังจากตรวจสอบสิทธิในการอ่านเขียนไฟล์ (owner, group, permission) พื้นฐาน Discretionary Access Control (DAC) ของลีนุกซ์แล้ว คุณสมบัติ SELinux จะทำการตรวจสอบสิทธิเพิ่มเติม Mandatory Access Control (MAC) ว่าเป็นไปตามนโยบาย (Policy) หลักของเครื่องหรือไม่

ปัญหาอย่างแรกผู้ใช้ (apache) ต้องการเขียนไฟล์ลงบนไดเร็คทอรีต่างๆ ยกตัวอย่างเช่น “administrator/components/”

เริ่มต้น จะมีการตรวจสอบสิทธิพื้นฐานของลีนุกซ์ ผู้ใช้ apache สามารถเขียนไฟล์ลงในไดเร็คทอรีนี้ได้ เพราะเป็น owner และ permission เป็น rwx (read, write, executue ได้)

[root@fc16-64a joomla25]# ls -ld administrator/components/
drwxr-xr-x. 28 apache root 4096 Mar 4 00:37 administrator/components/

ขั้นต่อไปจะมีการตรวจสอบ SELinux Contexts ของไฟล์ ใช้คำสั่ง ls ตามด้วยออปชั่น ‘-Z’

[root@fc16-64a joomla25]# ls -Zd administrator/components/
drwxr-xr-x. apache root system_u:object_r:httpd_sys_content_t:s0 administrator/components/

ในที่นี้ให้สนใจเฉพาะ httpd_sys_content_t เป็น SELinux Context “type” ของไฟล์

อ้างอิงจาก

http://docs.redhat.com/docs/en-US/Red_Hat_Enterprise_Linux/6/html/Managing_Confined_Services/sect-Managing_Confined_Services-The_Apache_HTTP_Server-Types.html

httpd_sys_content_t
Use this type for static web content, such as .html files used by a static website. Files labeled with this type are accessible (read only) to httpd and scripts executed by httpd. By default, files and directories labeled with this type can not be written to or modified by httpd or other processes. Note: by default, files created in or copied into /var/www/html/ are labeled with the httpd_sys_content_t type.

ไฟล์ที่มีค่า “type” แบบนี้ สามารถอ่านได้อย่างเดียว (readonly) เท่านั้น

การแก้ไขปัญหา

ต้องเปลี่ยน “type” ของไฟล์เป็นแบบอื่น เท่าที่ทดสอบดู ลองเปลี่ยนเป็น httpd_sys_content_rw_t ก็น่าจะสามารถเขียนได้แล้ว

หมายเหตุ มีหลายวิธีการที่แก้ไขปัญหานี้ได้ ขอออกตัวว่านี่เป็นวิธีการหนึ่งเท่านั้นที่น่าง่ายสุด และตรงไปตรงมา

httpd_sys_content_rw_t
Files labeled with this type can be written to by scripts labeled with the httpd_sys_script_exec_t type, but can not be modified by scripts labeled with any other type. You must use the httpd_sys_content_rw_t type to label files that will be read from and written to by scripts labeled with the httpd_sys_script_exec_t type.
ใช้คำสั่ง chcon เพื่อเปลี่ยน SELinux security context ของไฟล์

ตัวอย่างการทดลองเปลี่ยนสองไดเร็คทอรี

[root@fc16-64a joomla25]# chcon -t httpd_sys_content_rw_t administrator/components/
[root@fc16-64a joomla25]# chcon -t httpd_sys_content_rw_t administrator/language/

[root@fc16-64a joomla25]# ls -Zd administrator/components/
drwxr-xr-x. apache root system_u:object_r:httpd_sys_rw_content_t:s0 administrator/components/

[root@fc16-64a joomla25]# ls -Zd administrator/language/
drwxr-xr-x. apache root system_u:object_r:httpd_sys_rw_content_t:s0 administrator/language/

ทดลองรีเฟรชในหน้าจอ Joomla Administration ก็จะเปลี่ยนเป็น Writable แล้ว

ส่วนที่เหลือก็ไล่เปลี่ยนไดเร็คทอรีทั้งหมดที่แสดงขึ้นมาว่า Unwritable

ขออธิบายแค่นี้ก่อน บอกตามตรงเป็นเรื่องยากพอสมควร ในการทำความเข้าใจ และแก้ปัญหา SELinux แต่ด้วยข้อดีเพื่อช่วยเพิ่มความปลอดภัยให้กับระบบ ทางผู้เขียน จะพยายามศึกษา ทดลอง แล้วนำมาแชร์เล่าสู่กันฟัง

ข้อมูลอ้างอิง

• แก้ไข permission ไฟล์หลังการติดตั้ง Joomla 2.5
• Red Hat Enterprise Linux 6 : Security-Enhanced Linux User Guide Edition 2

เข้าสู่หน้า Adminstration

ภายใต้เมนู Site -> System Information คลิ้กที่แท็ป Directory Permissions จะแสดงข้อมูล permission ของแต่ละไดเร็คทอรี ต้องแก้ไขให้ Status เป็น Writable ทั้งหมด

วิธีการแก้ไข ทำได้สองวิธี

1. ถ้าเป็น root แนะนำให้ใช้คำสั่ง chown เพื่อเปลี่ยน owner ของไดเร็คทอรี ให้เป็น apache
2. ถ้าไม่สามารถ log เป็น root ได้ ต้องใช้คำสั่ง chmod เพื่อเปลี่ยน permission เป็น 777

ตัวอย่างการใช้คำสั่ง chown เพื่อเปลี่ยน owner ของไฟล์ ให้เป็น apache

[root@fc16-64a ~]# cd /var/www/html/joomla25/

[root@fc16-64a joomla25]# chown apache administrator/components
[root@fc16-64a joomla25]# chown apache administrator/language
[root@fc16-64a joomla25]# chown apache administrator/language/en-GB
[root@fc16-64a joomla25]# chown apache administrator/language/overrides
[root@fc16-64a joomla25]# chown apache administrator/manifests/files
[root@fc16-64a joomla25]# chown apache administrator/manifests/libraries
[root@fc16-64a joomla25]# chown apache administrator/manifests/packages
[root@fc16-64a joomla25]# chown apache administrator/modules
[root@fc16-64a joomla25]# chown apache administrator/templates
[root@fc16-64a joomla25]# chown apache components
[root@fc16-64a joomla25]# chown apache images
[root@fc16-64a joomla25]# chown apache images/banners
[root@fc16-64a joomla25]# chown apache images/sampledata
[root@fc16-64a joomla25]# chown apache language
[root@fc16-64a joomla25]# chown apache language/en-GB
[root@fc16-64a joomla25]# chown apache language/overrides
[root@fc16-64a joomla25]# chown apache libraries
[root@fc16-64a joomla25]# chown apache media
[root@fc16-64a joomla25]# chown apache modules
[root@fc16-64a joomla25]# chown apache plugins
[root@fc16-64a joomla25]# chown apache plugins/authentication
[root@fc16-64a joomla25]# chown apache plugins/captcha
[root@fc16-64a joomla25]# chown apache plugins/content
[root@fc16-64a joomla25]# chown apache plugins/editors
[root@fc16-64a joomla25]# chown apache plugins/editors-xtd/
[root@fc16-64a joomla25]# chown apache plugins/extension
[root@fc16-64a joomla25]# chown apache plugins/finder
[root@fc16-64a joomla25]# chown apache plugins/quickicon
[root@fc16-64a joomla25]# chown apache plugins/search
[root@fc16-64a joomla25]# chown apache plugins/system
[root@fc16-64a joomla25]# chown apache plugins/user
[root@fc16-64a joomla25]# chown apache templates
[root@fc16-64a joomla25]# chown apache cache
[root@fc16-64a joomla25]# chown apache administrator/cache
[root@fc16-64a joomla25]# chown apache logs
[root@fc16-64a joomla25]# chown apache tmp

รีเฟรชหน้าเพจ หลังการแก้ไข

ข้อมูลอ้างอิง

• ติดตั้ง Joomla 2.5 บนลีนุกซ์
• แก้ไข Joomla Directory Permissions Unwritable บนลีนุกซ์ที่เปิด SELinux