РедОС 8 + публикация файловой БД + Apache 2.4 = Частые вылеты

Форум Администрирование Общие вопросы администрирования (Admin)

1С:Управление нашей фирмой 3.0

1. alexdomovoi 18.05.25 19:39 Сейчас в теме

Добрый день! Коллеги подскажите по проблеме РЕД ОС 8 опубликована файловая база УНФ 3. Работает 3-4 пользователя через тонкий клиент (8.3.26.1581) и вот раз пять за день происходит вылет базы со словами: "Сеанс отсутствует или удален ID=" скрин приложил. Покурил гугл изменил в конфигураторе параметры ИБ время засыпания и т.д.проблема не ушла, может кто сталкивался? Спасибо!

Прикрепленные файлы:

Вознаграждение за ответ

Сумма: 0.98 $m

Добавили:
alexdomovoi (0.98 $m)

Показать полностью

Ответы

Подписаться на ответы Инфостарт бот

Свернуть все

2. starik-2005 3179 18.05.25 21:57 Сейчас в теме

Так может стоит время засыпания в час поставить, а время удаления спящего сеанса в 20 минут?

3. alexdomovoi 19.05.25 14:47 Сейчас в теме

(2) сейчас попробую.

4. alexdomovoi 19.05.25 21:06 Сейчас в теме

(2) Нет вылетает так же.

5. sergauscas 113 23.05.25 09:40 Сейчас в теме

а что в логах Apache пишет?

6. alexdomovoi 23.05.25 18:01 Сейчас в теме

(5) в journalctl:

мая 23 15:10:00 redsr systemd[1]: Starting sysstat-collect.service - system activity accounting tool...
мая 23 15:10:00 redsr systemd[1]: sysstat-collect.service: Deactivated successfully.
мая 23 15:10:00 redsr systemd[1]: Finished sysstat-collect.service - system activity accounting tool.
мая 23 15:10:00 redsr audit[1]: SERVICE_START pid=1 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:init_t:s0 msg='unit=syssta>
мая 23 15:10:00 redsr audit[1]: SERVICE_STOP pid=1 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:init_t:s0 msg='unit=sysstat>
мая 23 15:14:02 redsr cupsd[905]: REQUEST localhost - - "POST / HTTP/1.1" 200 182 Renew-Subscription successful-ok
мая 23 15:14:04 redsr audit[2031953]: AVC avc:  denied  { read } for  pid=2031953 comm="httpd" name="1Cv8Temp" dev="md127" ino=10226548 sc>
мая 23 15:14:04 redsr audit[2031953]: SYSCALL arch=c000003e syscall=257 success=yes exit=49 a0=ffffff9c a1=7fd11475b3c4 a2=90800 a3=0 item>
мая 23 15:14:04 redsr audit: PROCTITLE proctitle=2F7573722F7362696E2F6874747064002D44464F524547524F554E44
мая 23 15:14:07 redsr audit[2075465]: AVC avc:  denied  { setattr } for  pid=2075465 comm="httpd" name="v8lsELxaE" dev="md127" ino=1022366>
мая 23 15:14:07 redsr audit[2075465]: SYSCALL arch=c000003e syscall=90 success=yes exit=0 a0=7fd187ff4ff0 a1=1b0 a2=7fd19505bbc0 a3=180 it>
мая 23 15:14:07 redsr audit: PROCTITLE proctitle=2F7573722F7362696E2F6874747064002D44464F524547524F554E44
мая 23 15:20:00 redsr systemd[1]: Starting sysstat-collect.service - system activity accounting tool...

Показать

очередной вылет был где то между 15:14: и 15:15 при этом у остальных помимо основной ошибки показывает
"Ваш сеанс был завершен администратором"

У Апача в error_log только одно сыпет "Fontconfig error: No writable cache directories" без даты и времени.

Вариант какое то плановое задание гасит или перезапускает Апач.

7. DENSKR 16 23.05.25 19:21 Сейчас в теме

Попытка ИИ
Фрагмент кода мая 23 15:14:04 redsr audit[2031953]: AVC avc: denied { read } for pid=2031953 comm="httpd" name="1Cv8Temp" dev="md127" ino=10226548 sc> мая 23 15:14:07 redsr audit[2075465]: AVC avc: denied { setattr } for pid=2075465 comm="httpd" name="v8lsELxaE" dev="md127" ino=1022366> Что это означает: Эти сообщения (AVC avc: denied) являются типичными для SELinux, когда он блокирует какое-либо действие. В данном случае: Процессу веб-сервера Apache (comm="httpd") было отказано в праве на чтение (read) ресурса с именем 1Cv8Temp. Процессу Apache было отказано в праве на изменение атрибутов (setattr) ресурса с именем v8lsELxaE. Ресурсы 1Cv8Temp и v8lsELxaE очень похожи на временные файлы или каталоги, которые создаются и используются компонентами веб-сервисов 1С для обслуживания сеансов тонких клиентов. Если Apache не может корректно выполнять необходимые операции с этими временными файлами из-за ограничений SELinux, это приводит к нарушению работы сеансов и их последующему аварийному завершению с ошибкой "Сеанс отсутствует или удален ID=". Изменение параметров времени засыпания информационной базы в конфигураторе 1С в такой ситуации не поможет, так как проблема лежит на более низком уровне – уровне доступа к файловой системе со стороны веб-сервера. Рекомендуемые шаги для диагностики и устранения проблемы: Проверьте статус SELinux: Выполните команду в терминале сервера, чтобы узнать текущий статус и режим работы SELinux: Bash sestatus Если SELinux активен (enabled) и находится в принудительном режиме (current mode: enforcing), то он является наиболее вероятной причиной. Временно переключите SELinux в разрешающий режим (Permissive Mode) для диагностики: Этот шаг поможет быстро проверить, является ли SELinux причиной сбоев. В разрешающем режиме SELinux будет регистрировать нарушения политики, но не будет их блокировать. Bash sudo setenforce 0 После выполнения этой команды, попросите пользователей поработать с базой и проверьте, повторяются ли вылеты. Важно: Не оставляйте сервер в режиме Permissive на постоянной основе в производственной среде, так как это снижает уровень безопасности. Этот шаг предназначен только для диагностики. Чтобы вернуть SELinux в принудительный режим: Bash sudo setenforce 1 Если разрешающий режим помог, настройте политики SELinux: Если вылеты прекратились при setenforce 0, необходимо создать и применить корректные правила SELinux, разрешающие Apache доступ к необходимым ресурсам 1С. Проанализируйте лог аудита: Используйте утилиту ausearch для поиска всех запретов, связанных с httpd: Bash sudo ausearch -m avc -c httpd -ts recent Или более общо, как вы уже видели: Bash sudo ausearch -m avc -ts recent Создайте модуль политики: На основе вывода ausearch можно сгенерировать модуль политики с помощью audit2allow. Например: Bash sudo ausearch -m avc -c httpd -ts recent --raw \| sudo audit2allow -M my1Capachepolicy sudo semodule -i my1Capachepolicy.pp Возможно, потребуется несколько итераций или более специфичные правила для каталогов, которые использует 1С для веб-публикации и временных файлов. Обычно это включает установку правильных контекстов SELinux для каталога публикации (например, httpd_sys_content_t для чтения и httpd_sys_rw_content_t для чтения/записи, если это необходимо). Вам нужно будет убедиться, что Apache имеет право создавать файлы, читать их и изменять атрибуты в тех каталогах, где 1С хранит свои временные данные сеансов. Проверьте стандартные права доступа к файлам и каталогам: Даже если проблема в SELinux, убедитесь, что у пользователя, от имени которого работает Apache (обычно httpd или apache в РЕД ОС), есть необходимые права (read, write, execute) на: Каталог публикации информационной базы 1С. Каталог, используемый для временных файлов 1С (это может быть подкаталог в директории публикации, /tmp или другой специально настроенный каталог). Проверьте логи ошибок Apache: Дополнительную информацию можно найти в журналах ошибок самого веб-сервера Apache. Обычно они находятся в /var/log/httpd/ (например, error_log). Дальнейшие действия: Начните с проверки SELinux (шаги 1 и 2). Если это подтвердит гипотезу, переходите к настройке политик (шаг 3). Это наиболее вероятный путь к решению вашей проблемы. Если проблема не в SELinux, стоит также рассмотреть: Версию платформы 1С (8.3.26.1581): Убедитесь, что нет известных проблем совместимости этой версии с РЕД ОС 8 и используемой версией Apache при файловой публикации. Настройки публикации в файле .vrd: Проверьте корректность путей и настроек в файле default.vrd вашей опубликованной базы. Системные ресурсы: Хотя у вас немного пользователей, убедитесь в отсутствии нехватки дискового пространства, оперативной памяти или других системных лимитов.

Попытка ИИ

Фрагмент кода

мая 23 15:14:04 redsr audit[2031953]: AVC avc: denied { read } for pid=2031953 comm="httpd" name="1Cv8Temp" dev="md127" ino=10226548 sc>
мая 23 15:14:07 redsr audit[2075465]: AVC avc: denied { setattr } for pid=2075465 comm="httpd" name="v8lsELxaE" dev="md127" ino=1022366>
Что это означает:
Эти сообщения (AVC avc: denied) являются типичными для SELinux, когда он блокирует какое-либо действие. В данном случае:

Процессу веб-сервера Apache (comm="httpd") было отказано в праве на чтение (read) ресурса с именем 1Cv8Temp.
Процессу Apache было отказано в праве на изменение атрибутов (setattr) ресурса с именем v8lsELxaE.
Ресурсы 1Cv8Temp и v8lsELxaE очень похожи на временные файлы или каталоги, которые создаются и используются компонентами веб-сервисов 1С для обслуживания сеансов тонких клиентов. Если Apache не может корректно выполнять необходимые операции с этими временными файлами из-за ограничений SELinux, это приводит к нарушению работы сеансов и их последующему аварийному завершению с ошибкой "Сеанс отсутствует или удален ID=".

Изменение параметров времени засыпания информационной базы в конфигураторе 1С в такой ситуации не поможет, так как проблема лежит на более низком уровне – уровне доступа к файловой системе со стороны веб-сервера.

Рекомендуемые шаги для диагностики и устранения проблемы:

Проверьте статус SELinux:
Выполните команду в терминале сервера, чтобы узнать текущий статус и режим работы SELinux:

Bash

sestatus

Если SELinux активен (enabled) и находится в принудительном режиме (current mode: enforcing), то он является наиболее вероятной причиной.

Временно переключите SELinux в разрешающий режим (Permissive Mode) для диагностики:
Этот шаг поможет быстро проверить, является ли SELinux причиной сбоев. В разрешающем режиме SELinux будет регистрировать нарушения политики, но не будет их блокировать.

Bash

sudo setenforce 0

После выполнения этой команды, попросите пользователей поработать с базой и проверьте, повторяются ли вылеты.
Важно: Не оставляйте сервер в режиме Permissive на постоянной основе в производственной среде, так как это снижает уровень безопасности. Этот шаг предназначен только для диагностики.
Чтобы вернуть SELinux в принудительный режим:

Bash

sudo setenforce 1

Если разрешающий режим помог, настройте политики SELinux:
Если вылеты прекратились при setenforce 0, необходимо создать и применить корректные правила SELinux, разрешающие Apache доступ к необходимым ресурсам 1С.

Проанализируйте лог аудита: Используйте утилиту ausearch для поиска всех запретов, связанных с httpd:

Bash

sudo ausearch -m avc -c httpd -ts recent

Или более общо, как вы уже видели:

Bash

sudo ausearch -m avc -ts recent

Создайте модуль политики: На основе вывода ausearch можно сгенерировать модуль политики с помощью audit2allow. Например:

Bash

sudo ausearch -m avc -c httpd -ts recent --raw | sudo audit2allow -M my1Capachepolicy
sudo semodule -i my1Capachepolicy.pp

Возможно, потребуется несколько итераций или более специфичные правила для каталогов, которые использует 1С для веб-публикации и временных файлов. Обычно это включает установку правильных контекстов SELinux для каталога публикации (например, httpd_sys_content_t для чтения и httpd_sys_rw_content_t для чтения/записи, если это необходимо). Вам нужно будет убедиться, что Apache имеет право создавать файлы, читать их и изменять атрибуты в тех каталогах, где 1С хранит свои временные данные сеансов.
Проверьте стандартные права доступа к файлам и каталогам:
Даже если проблема в SELinux, убедитесь, что у пользователя, от имени которого работает Apache (обычно httpd или apache в РЕД ОС), есть необходимые права (read, write, execute) на:

Каталог публикации информационной базы 1С.
Каталог, используемый для временных файлов 1С (это может быть подкаталог в директории публикации, /tmp или другой специально настроенный каталог).
Проверьте логи ошибок Apache:
Дополнительную информацию можно найти в журналах ошибок самого веб-сервера Apache. Обычно они находятся в /var/log/httpd/ (например, error_log).

Дальнейшие действия:
Начните с проверки SELinux (шаги 1 и 2). Если это подтвердит гипотезу, переходите к настройке политик (шаг 3). Это наиболее вероятный путь к решению вашей проблемы.

Если проблема не в SELinux, стоит также рассмотреть:

Версию платформы 1С (8.3.26.1581): Убедитесь, что нет известных проблем совместимости этой версии с РЕД ОС 8 и используемой версией Apache при файловой публикации.
Настройки публикации в файле .vrd: Проверьте корректность путей и настроек в файле default.vrd вашей опубликованной базы.
Системные ресурсы: Хотя у вас немного пользователей, убедитесь в отсутствии нехватки дискового пространства, оперативной памяти или других системных лимитов.

8. alexdomovoi 26.05.25 06:14 Сейчас в теме

Ну что же:
касаемо доступа apache

-rwxrwxrwx. 1 apache apache          0 апр  6 08:07 1Cv8snc.1CL.cfl
drwxrwxrwx. 2 apache apache      12288 мая 24 19:02 1Cv8Temp
-rwxrwxrwx. 1 apache apache          0 апр  6 08:07 1Cv8tmp.1CD.cfl

Касаемо SELinux он изначально стоит в Permissive иначе после публикации базы никто к ним достучаться не может по http.

SELinux status:                 enabled
SELinuxfs mount:                /sys/fs/selinux
SELinux root directory:         /etc/selinux
Loaded policy name:             targeted
Current mode:                   permissive
Mode from config file:          permissive
Policy MLS status:              enabled
Policy deny_unknown status:     allowed
Memory protection checking:     actual (secure)
Max kernel policy version:      33

Показать

сейчас совсем его отключил понаблюдаю.

9. alexdomovoi 28.05.25 07:48 Сейчас в теме

По итогу 2-3 раза за день ошибка повторяется.

Оставьте свое сообщение

E-mail: