Apache, Permission denied on mod_wsgi, corrigé avec WSGISocketPrefix -- Mais pourquoi ?

L'erreur que vous avez constatée peut également se produire de manière transitoire si vous avez procédé à un redémarrage gracieux d'Apache et qu'un processus de travail Apache avait des connexions de socket encore vivantes qui n'avaient pas encore été appelées par le processus démon mod_wsgi pour la requête initiale ou les requêtes ultérieures en raison du maintien en vie du socket.

Cela se produit parce que lors du redémarrage gracieux, les processus du démon mod_wsgi sont redémarrés de toute façon et, ce faisant, le chemin d'accès au fichier de socket est modifié. Cela signifie que les anciens processus de travail en attente pour gérer les requêtes courantes et les requêtes keepalive ne parviendront pas à se connecter au démon car ils essaieront toujours d'utiliser l'ancien chemin pour le fichier de socket.

En ce qui concerne le répertoire où se trouvent les fichiers de socket, l'important est qu'il soit lisible par www-data. Les sockets seront créés en tant que root au départ avec les perms 0600 et ensuite la propriété doit être changée en www-data pour que les processus de travail de www-data puissent se connecter et rien d'autre. Cela dépend du fait que le répertoire soit toujours accessible à www-data.

La raison de WSGISocketPrefix est que Redhat a fait en sorte que le répertoire des logs, où la configuration d'Apache indique de mettre ce genre de choses par défaut, ne soit pas lisible par d'autres, de sorte que www-data ne puisse pas voir les sockets dans le répertoire. C'est pourquoi, sur Redhat, il faut le changer en /var/run.

Je ne sais pas à quel moment les permissions des répertoires sont modifiées ou corrigées et si cela peut se produire sans mise à jour du paquet Apache.