php 7.4 не хочет запускаться от рута

0

1

Есть некий софт, которому надо читать php сессии. Он для этого делает так:

php -r "session_id('тут_сессия'); session_start(); echo json_encode($_SESSION);

Права на сессии -rw——- www-data, но софт запущен под рутом, поэтому читает. Это работает на сервере с php7.0.

Теперь на другом то же самое запустил с php7.4, и оно не работает. Если сделать sudo cat /файл_сессии, то все прочитается, а если sudo php -r скрипт, то Permission denied. Только если sudo -u www-data php -r скрипт, читается.

То есть как будто бы php, будучи запущенным от рута дропает привилегии. А на 7.0 такого нет, все работает. Права на файлах одинаковые и там, и там.

Может есть какая-то настройка в php, чтоб это поведение изменить?

З.Ы. Понятно, что в софте вызов скрипта можно поменять, но без его пересборки желательно настроить.

←	Отладка скрипта на PHP, установить $_SERVER['DOCUMENT_ROOT']

Если речь о разных серверах с разными ОС, то возможно для php применяется профиль apparmor или политика selinux, которые принудительно дропают привилегии.

Khnazile ★★★★★
(13.08.25 11:02:51 MSK)

Ответ на: комментарий от Khnazile 13.08.25 11:02:51 MSK

У него www-data, а это уже ближе к дебиану и убунте (астра).

Может еще как то хитро sudo настроен.

Или тот же uid запуска у проги php…

mx__ ★★★★★
(13.08.25 11:07:23 MSK)
Последнее исправление: mx__ 13.08.25 11:08:42 MSK (всего исправлений: 1)

Ответ на: комментарий от Khnazile 13.08.25 11:02:51 MSK

На старом ubuntu 16.04 на другом 20.04

SELinux нет, apparmor и там, и там никто не торгал, вот что выдает:

apparmor_status

apparmor module is loaded. 27 profiles are loaded. 27 profiles are in enforce mode. /sbin/dhclient /snap/core/17212/usr/lib/snapd/snap-confine /snap/core/17212/usr/lib/snapd/snap-confine//mount-namespace-capture-helper /usr/bin/evince /usr/bin/evince-previewer /usr/bin/evince-previewer//sanitized_helper /usr/bin/evince-thumbnailer /usr/bin/evince//sanitized_helper /usr/bin/ubuntu-core-launcher /usr/lib/NetworkManager/nm-dhcp-client.action /usr/lib/NetworkManager/nm-dhcp-helper /usr/lib/connman/scripts/dhclient-script /usr/lib/cups/backend/cups-pdf /usr/lib/lightdm/lightdm-guest-session /usr/lib/lightdm/lightdm-guest-session//chromium /usr/lib/snapd/snap-confine /usr/lib/snapd/snap-confine//mount-namespace-capture-helper /usr/sbin/cups-browsed /usr/sbin/cupsd /usr/sbin/cupsd//third_party /usr/sbin/ippusbxd /usr/sbin/ntpd /usr/sbin/tcpdump snap-update-ns.core snap.core.hook.configure webbrowser-app webbrowser-app//oxide_helper 0 profiles are in complain mode. 3 processes have profiles defined. 3 processes are in enforce mode. /sbin/dhclient (1944) /usr/sbin/cups-browsed (16032) /usr/sbin/cupsd (16030) 0 processes are in complain mode. 0 processes are unconfined but have a profile defined.

a400k4a
(13.08.25 12:02:05 MSK) автор топика
Последнее исправление: a400k4a 13.08.25 12:02:22 MSK (всего исправлений: 1)

Ответ на: комментарий от a400k4a 13.08.25 12:02:05 MSK

Форматирование слетело, но суть в том, что в apparmor нет /usr/lib/php Наверно, он не при чем

a400k4a
(13.08.25 12:35:49 MSK) автор топика

Если сделать sudo cat /файл_сессии, то все прочитается, а если sudo php -r скрипт, то Permission denied

А file_get_contents?

anonymous
(13.08.25 13:59:08 MSK)

Ответ на: комментарий от a400k4a 13.08.25 12:02:05 MSK

Я бы выгрузил для начала профиль аа и проверил без него …

 aa-teardown

mx__ ★★★★★
(13.08.25 14:59:03 MSK)
Последнее исправление: mx__ 13.08.25 14:59:18 MSK (всего исправлений: 1)

←	Отладка скрипта на PHP, установить $_SERVER['DOCUMENT_ROOT']

Web-development

apparmor_status

Похожие темы