Installation von Contao 4.0, Nginx, php-fpm und Error 500

[chri.s]

Hallo Mit-Contaoer,

nachdem ich mittlerweile Contao seit V2.x treu bin und ab und an Projekte damit realisiert habe, möchte ich nun für eine eigene neue Website den Schritt auf C4 wagen. Grundinstallation/Php funktioniert, per Composer wurden die Daten heruntergeladen und eingerichtet. Leider komme ich allerdings nach diesem Schritt nicht weiter.

Beim Aufruf von site/app.php/contao/install bekomme ich einen "500 Internal Server Error".

Dazu leider bis dato keine weiteren infos.

Zum System:
Debian 8, nginx 1.6.2, php-fpm, mysql.

Braucht ihr noch mehr Infos - irgendwelche Ideeen?

Vielen Dank im Voraus,

Chris

[Thomas]

Um mehr zu sagen müsste man Deine nginx.conf und vhost-Konfiguration einsehen können.

Verwendest Du naxsi zur Absicherung der Requests?
Damit beschäftige ich mich zur Zeit näher.

Symlinks unter nginx aktiviert?
disable_symlinks off;
Entweder in der /etc/nginx/nginx.conf im http {} Block oder unter /etc/nginx/sites-available/deinevhost.conf im server {} Block.
Der erste Eintrag sorgt dafür, dass der Webserver generell Symlinks beachtet.

fastcgi_params könnten auch noch ein Stolperstein sein!
/etc/nginx/fastcgi_params

[chri.s]

Guten Abend, Thomas.

Nein, bisher noch nicht. Ich denke aber, dass dies empfehlenswert ist. In meinem Fall würde ich nun allerdings zu erst versuchen Contao generell unter Nginx ans laufen zu bringen. Ggf. können wir uns danach über das Thema unterhalten.

Um auf deine Fragen einzugehen:

MwN sind symlinks nicht deaktiviert, den genannten Flag habe ich gesetzt, allerdings erfolgte keine Änderung.

nginx.conf

Code:

user www-data;
worker_processes 8;
pid /run/nginx.pid;

events {
	worker_connections 768;
	multi_accept on;
}

http {

	##
	# Basic Settings
	##

	disable_symlinks off;
	sendfile off;
	tcp_nopush on;
	tcp_nodelay on;
	keepalive_timeout 65;
	types_hash_max_size 2048;
	# server_tokens off;

	# server_names_hash_bucket_size 64;
	# server_name_in_redirect off;

	include /etc/nginx/mime.types;
	default_type application/octet-stream;

	##
	# SSL Settings
	##

	ssl_protocols TLSv1 TLSv1.1 TLSv1.2; # Dropping SSLv3, ref: POODLE
	ssl_prefer_server_ciphers on;

	##
	# Logging Settings
	##

	access_log /var/log/nginx/access.log;
	error_log /var/log/nginx/error.log;

	##
	# Gzip Settings
	##

	gzip on;
	gzip_disable "msie6";

	# gzip_vary on;
	# gzip_proxied any;
	# gzip_comp_level 6;
	# gzip_buffers 16 8k;
	# gzip_http_version 1.1;
	# gzip_types text/plain text/css application/json application/javascript text/xml application/xml application/xml+rss text/javascript;

	##
	# Virtual Host Configs
	##

	include /etc/nginx/conf.d/*.conf;
	include /etc/nginx/sites-enabled/*;
	
	upstream php {
                server unix:/var/run/php5-fpm.sock;
        }


}

vhost

Code:

server {
        listen ip:80; ## listen for ipv4; this line is default and implied


        root /var/www/site/web;
        index index.php index.html index.htm;
		# ssl on;
		# ssl_certificate /etc/nginx/general-site.cer;    # path to your cacert.pem
        # ssl_certificate_key /etc/nginx/general-site.key;   
		
        server_name general-site;

       location / {               
 		# First attempt to serve request as file, then
              # as directory, then fall back to displaying a 404.
              try_files $uri $uri/ /index.html;
              # Uncomment to enable naxsi on this location
              # include /etc/nginx/naxsi.rules        
	}

        #error_page 404 /404.html;

        # redirect server error pages to the static page /50x.html
        #
        error_page 500 502 503 504 /50x.html;
        location = /50x.html {
                root /var/www/html;
        }

        # pass the PHP scripts to FastCGI server listening on 127.0.0.1:9000
        #
        location ~ \.php$ {
		include snippets/fastcgi-php.conf;
	
		fastcgi_pass unix:/var/run/php5-fpm.sock;
	}

}

und final die fastcgi_params

Code:

fastcgi_param  QUERY_STRING       $query_string;
fastcgi_param  REQUEST_METHOD     $request_method;
fastcgi_param  CONTENT_TYPE       $content_type;
fastcgi_param  CONTENT_LENGTH     $content_length;

fastcgi_param  SCRIPT_NAME        $fastcgi_script_name;
fastcgi_param  REQUEST_URI        $request_uri;
fastcgi_param  DOCUMENT_URI       $document_uri;
fastcgi_param  DOCUMENT_ROOT      $document_root;
fastcgi_param  SERVER_PROTOCOL    $server_protocol;
fastcgi_param  HTTPS              $https if_not_empty;

fastcgi_param  GATEWAY_INTERFACE  CGI/1.1;
fastcgi_param  SERVER_SOFTWARE    nginx/$nginx_version;

fastcgi_param  REMOTE_ADDR        $remote_addr;
fastcgi_param  REMOTE_PORT        $remote_port;
fastcgi_param  SERVER_ADDR        $server_addr;
fastcgi_param  SERVER_PORT        $server_port;
fastcgi_param  SERVER_NAME        $server_name;

# PHP only, required if PHP was built with --enable-force-cgi-redirect
fastcgi_param  REDIRECT_STATUS    200;

das wären alle Dateien, die du genannt hast. Da ich selbst bereits (einige male) darüber geschaut hab, hier einfach 1:1 (anonymisiert) kopiert.

Hast du eine zündende Idee?

Vielen Dank und schönen Abend,

Chris

[Spooky]

Und in /var/log/nginx/error.log steht tatsächlich nichts drin?

[Thomas]

Gib mit bis Morgen Zeit!

Eines vorweg, ich verwende für jeden vHost einen eigenen Unix-Socket, was aber an der Funktionalität nichts ändern sollte.
Das wird über die pools von php5-fpm reguliert.

Auf Anhieb sehe ich, dass Du snippets/fastcgi-php.conf anstatt der fastcgi_params einbindest.
Kann man machen, aber dann ist entscheidend was dort definiert ist und nicht in den fastcgi_params

Bei mir ist das hier definiert:

Code:

fastcgi_param   QUERY_STRING            $query_string;
fastcgi_param   REQUEST_METHOD          $request_method;
fastcgi_param   CONTENT_TYPE            $content_type;
fastcgi_param   CONTENT_LENGTH          $content_length;

fastcgi_param   SCRIPT_FILENAME         $document_root$fastcgi_script_name;
fastcgi_param   SCRIPT_NAME             $fastcgi_script_name;
fastcgi_param   PATH_INFO               $fastcgi_path_info;
fastcgi_param   PATH_TRANSLATED         $document_root$fastcgi_path_info;
fastcgi_param   REQUEST_URI             $request_uri;
fastcgi_param   DOCUMENT_URI            $document_uri;
fastcgi_param   DOCUMENT_ROOT           $document_root;
fastcgi_param   SERVER_PROTOCOL         $server_protocol;

fastcgi_param   GATEWAY_INTERFACE       CGI/1.1;
fastcgi_param   SERVER_SOFTWARE         nginx/$nginx_version;

fastcgi_param   REMOTE_ADDR             $remote_addr;
fastcgi_param   REMOTE_PORT             $remote_port;
fastcgi_param   SERVER_ADDR             $server_addr;
fastcgi_param   SERVER_PORT             $server_port;
fastcgi_param   SERVER_NAME             $server_name;

fastcgi_param   HTTPS                   $https;

Im vHost definiere ich php5-fpm so:

Code:

       location / {
                try_files $uri $uri/ /app.php?$uri&$args;

                include /etc/nginx/naxsi.rules;
                proxy_pass        http://DEINE-WEBADRESSE$request_uri;
                proxy_set_header  Host DEINE-WEBADRESSE;

                if (-f $request_filename) {
                        expires 30d;
                        break;
                }

                if (!-e $request_filename) {
                        rewrite ^(.*)\.html$ /app.php ;
                        expires 7d;
                }

                limit_req   zone=dynamic burst=50;
                satisfy any;
        }

        # enable PHP
        location ~ [^/]\.php(/|$) {
                fastcgi_split_path_info ^(.+?\.php)(/.*)$;
                if (!-f $document_root$fastcgi_script_name) {
                        return 404;
                }

                include /etc/nginx/naxsi.rules;
                fastcgi_pass unix:/var/run/web-DEINE-WEBADRESSE.sock;
#               fastcgi_pass unix:/var/run/web-php5-fpm.sock;
                fastcgi_index app.php;
#                fastcgi_index index.php;
                include fastcgi_params;
                fastcgi_buffer_size 128k;
                fastcgi_buffers 256 4k;
                fastcgi_busy_buffers_size 256k;
                fastcgi_temp_file_write_size 256k;
        }

Die Buffer könnte man ebenso nach die fastcgi_params Definitionen auslagern. Wegen der Flexibilität zu jedem vHost mache ich das aber nicht.

Den Aufruf von naxsi und die Proxy-Konfiguration musst Du Dir weg denken!

Worker Prozesse?
Hast Du 8 Kerne im Server?

Wenn ja ist es ok, ansonsten trag dort die Anzahl der Kerne ein.
Die Connections kannst Du sogar auf 1024 erhöhen.

[InitArt]

Code:

       location / {               
 		# First attempt to serve request as file, then
              # as directory, then fall back to displaying a 404.
              try_files $uri $uri/ /index.html;
              # Uncomment to enable naxsi on this location
              # include /etc/nginx/naxsi.rules        
	}

try_files sollte so aussehen:

Code:

       location / {               
 		# First attempt to serve request as file, then
              # as directory, then fall back to displaying a 404.
              try_files $uri $uri/ /app.php?$uri&$args;
              # Uncomment to enable naxsi on this location
              # include /etc/nginx/naxsi.rules        
	}

[chri.s]

Hallo an alle und vielen Dank für den Input.

Ich habe die Config Dateien nun angepasst. Der Nginx Error Log gibt leider vor allem folgendes aus:

2015/07/15 00:00:51 [error] 1292#0: *13 rewrite or internal redirection cycle while internally redirecting to "/index.html", client:

auf welches Subdir muss denn am optimalsten das Webdir zeigen und mit welchen Rechten muss dieses versehen werden?

[Thomas]

Was die Rechte betrifft, kannst Du hier sehr gut ableiten, welche Rechte die Verzeichnisse haben müssen.
Zudem ist es ein funktionierendes HowTo zur Einrichtung von SFTP, auf Deinem Server. In jedem Fall sollte man sich in der heutigen Zeit mit SFTP beschäftigen, eine sichere FTP-Variante gibt es zur Zeit nicht.

Kommen wir nun zu einer Grundkonfiguration für nginx mit Contao 4!

Mit dieser Grundkonfiguration solltest Du zunächst mal einen funktionierenden Webserver erstellen können!
Adressen für Webseiten und Pfade müssen gegebenenfalls an Deine Struktur angepasst werden.

Ein paar Optionen zur Absicherung des Webservers habe ich mit rein gepackt. Es gibt noch mehr Möglichkeiten, die hier aber zu weit führen würden und Dir gegebenenfalls selber aneignen solltest.

Warum es zu Deiner Fehlermeldung kommt, habe ich markiert.

/etc/nging/nginx.conf

Code:

# Benutzer unter dem nginx läuft, meistens www-data
user www-data;

# hier die Anzahl der CPU-Kerne eintragen
worker_processes 4;

# wohin mit den Fehlermeldungen von nginx?
error_log        /var/log/nginx/error.log info;

pid /run/nginx.pid;

events {
        worker_connections 1024;
}

http {
        include      /etc/nginx/mime.types;

        default_type application/octet-stream;

        types_hash_max_size 2048;

        # logging ein wenig pimpen
        log_format main '$remote_addr - $remote_user [$time_local] "$request" '
                     '$status $body_bytes_sent "$http_referer" '
                     '"$http_user_agent" "$http_x_forwarded_for"';

        access_log  /var/log/nginx/access.log main;

        # ein paar grundsätzliche Definitionen
	#
	# fehlerhafte Header einfach mal ignorieren
        ignore_invalid_headers  on;
	# wenn man keine Daten von Server zu Server transferieren möchte, kann man es auch abstellen
        sendfile off;

        # nginx-Version verstecken, geht keinen etwas an
        server_tokens           off;

	# auf dem gesamten System Symlinks aktivieren
	# kann man machen, muss man nicht 
        disable_symlinks off;

        # Kompression aktivieren und ein klein wenig Finetuning
        gzip              on;
        gzip_static       on;
        gzip_buffers      256 8k;
        gzip_comp_level   9;
        gzip_http_version 1.0;
        gzip_min_length   0;
        gzip_types        text/css text/javascript text/mathml text/plain text/xml application/x-javascript application/atom+xml application/rss+xml application/xhtml+xml image/svg+xml;
        gzip_vary         on;
        gzip_disable      "MSIE [1-6]\.(?!.*SV1)";

        # allgemein gültige SSL-Konfiguration
	# wenn benötigt auskommentieren
        #ssl_protocols TLSv1 TLSv1.1 TLSv1.2; # Dropping SSLv3, ref: POODLE
        #ssl_prefer_server_ciphers on;

        # Wo sind die Konfigurationsdateien für vHosts zu finden?
        #include /etc/nginx/conf.d/*.conf;
        include /etc/nginx/sites-enabled/*;
}


#mail {
#       # See sample authentication script at:
#       # http://wiki.nginx.org/ImapAuthenticateWithApachePhpScript
#
#       # auth_http localhost/auth.php;
#       # pop3_capabilities "TOP" "USER";
#       # imap_capabilities "IMAP4rev1" "UIDPLUS";
#
#       server {
#               listen     localhost:110;
#               protocol   pop3;
#               proxy      on;
#       }
#
#       server {
#               listen     localhost:143;
#               protocol   imap;
#               proxy      on;
#       }
#}

/etc/nginx/sites-anabled/domain.ltd.conf

Code:

# duplicate Content verhindern, in dem man domain.ltd nach www.domain.ltd direkt umleitet
# wenn benötigt auskommentieren
#server {
#       listen       80;
#       server_name  domain.ltd;
#       return       301 http://www.domain.ltd$request_uri;
#}

# wird benötigt, wenn man php5-fpm verwenden möchte
# Sockets erkläre ich an der Stelle nicht, ist aber performanter als über einen Port zu gehen
# taucht in der PHP-Aktivierung später wieder auf
# wenn benötigt auskommentieren
upstream fastcgi_backend {

	 # php5-fpm über Socket
#        server unix:/var/run/domain.ltd.sock;

	 # php5-fpm über Ports
	 server 127.0.0.1:9000;
        keepalive 64;
}

server {
	# Port auf dem nginx lauscht
        listen 80;

	# Festlegung der Adresse unter der der vHost erreichbar sein soll
        server_name     www.domain.ltd;

	# root-Verzeichnis festlegen
        root /var/www/html/domain.ltd/web;

	# index-Zuweisung
	# für Contao 4 zwingend app.php angeben
        index app.php index.php index.html index.htm;

	# Pfade müssen gegebenenfalls angepasst und Verzeichnisse erstellt werden
	# Rechte für FTP-Benutzer vergeben, damit man später auch löschen kann
	# oder man lässt das von logrotate erledigen 
        access_log /var/www/html/www.domain.ltd/logs/access.log;
        error_log /var/www/html/www.domain.ltd/logs/error.log;

	# nginx mitteilen, dass er Symlinks folgen soll
        disable_symlinks off;

        # Falls SSL verwendet wird, sollte man diesen Header setzen, damit der Browser beim erneuten Eintippen automatisch
        # auf die geischerte Variante springt.
        #add_header Strict-Transport-Security "max-age=31536000;";

        # https://developer.mozilla.org/en-US/docs/HTTP/X-Frame-Options
        # Verhindert Click Jacking Angriffe
        add_header X-Frame-Options SAMEORIGIN;

        # Verbietet Content Sniffing
        add_header X-Content-Type-Options nosniff;

        # Falls ein User aus Versehen, den Schutz bei sich deaktiviert hat, kann man ihn hiermit wieder erzwingen
        add_header X-XSS-Protection "1; mode=block";

        # andere Header machen bei Contao keinen Sinn
        if ( $request_method !~ ^(GET|HEAD|POST)$ ) {
                return 404;
        }

        location / {
                try_files $uri $uri/ /app.php?$args;

		# ein wenig caching
                if (-f $request_filename) {
                        expires 30d;
                        break;
                }

                if (!-e $request_filename) {
                        rewrite ^(.*)\.html$ /app.php ;
                        expires 7d;
                }
        }

        # verhindert, dass bestimmte Dateien im Browser aufgerufen werden können
        # diese Dateien können Informationen enthalten, die keinen etwas angehen
	# ohne diese Deklaration würde ein Browser die Dateien im Klartext ausliefern
        location ~* \.(tpl|html5|xhtml)$ {
                deny all;
        }

        # PHP aktivieren und über php5-fpm schicken
	# hier findet man die upstream-Deklaration auch wieder
        location ~ [^/]\.php(/|$) {
                fastcgi_split_path_info ^(.+?\.php)(/.*)$;
                if (!-f $document_root$fastcgi_script_name) {
                        return 404;
                }

                fastcgi_pass fastcgi_backend;
                fastcgi_index app.php;
                include fastcgi_params;
		
		# ein wenig Finetuning, sollte an eigene Bedürfnisse angepasst werden
                fastcgi_keep_conn on;
                fastcgi_buffer_size 128k;
                fastcgi_buffers 256 4k;
                fastcgi_busy_buffers_size 256k;
                fastcgi_temp_file_write_size 256k;
        }

        location ~* .(gif|jpg|jpeg|png|ico|wmv|3gp|avi|mpg|mpeg|mp4|flv|mp3|mid|js|css|wml|swf)$ {
                access_log off;
                log_not_found off;
                expires max;
                add_header Pragma public;
                add_header Cache-Control "public, must-revalidate, proxy-revalidate";
        }

        # Können sensible Daten enthalten, nginx verwertet sie nicht
        location ~ /\.ht {
                deny all;
        }

        location = /favicon.ico {
                log_not_found off;
                access_log off;
        }

        # nicht unbedingt notwendig, schaden kann es aber auch nicht 
        location = /robots.txt {
                deny all;
                log_not_found off;
                access_log off;
        }
}

Damit hast Du zumindest erst mal eine Konfiguration, die grundsätzlich mit der aktuellen nginx-Version 1.8.x funktionieren sollte!
Gegebenenfalls muss sie hier und da an Dein System angepasst werden, auch das solltest Du Dir erarbeiten. An einigen Stellen habe ich von Finetuning gesprochen, auch hier muss Du gegebenenfalls anpassen.

Zu gegebener Zeit solltest Du Dich in jedem Fall mit der Absicherung von nginx beschäftigen. Durch kleine Kniffe und Erweiterungen kann man den bösen Buben das Leben viel schwerer machen. Nginx ist da glücklicher Weise einfacher zu administrieren, als der große Häuptling.

[chri.s]

Hallo Thomas,

so, nun geht es - Contao 4 wäre damit installiert. Was mir nun nur auffällt ist, dass das System anscheinend noch komplett halbgar ist.
Weder eine Deutsche Übersetzung noch Erweiterungen sind in der Standardumgebung vorzufinden (oder müssen diese ggf. nur kurz aktiviert werden)

Lohnt sich der Umstieg auf C4 denn bereits oder ist der Release der C4 nur ein "Vista Debut"?

VG

[Thomas]

Halbgar!?

Naja, wenn man die Bekanntmachung liest, wird man feststellen, dass sich Contao 4.0.0 erst mal an Entwickler richtet.
Wenn ich nicht irre kannst Du Module von Hand installieren, darauf gebe ich aber keine Garantie.

Man darf geteilter Meinung darüber sein, dass man die Veröffentlichung zu diesem Zeitpunkt schon gewählt hat und der "Otto-Normalverbraucher" schwer atmen muss.
Auf der anderen Seite kommen fast nur Serverbetreiber in den Genuss der Installation und die sollten schon einigermaßen wissen was sie tun.

Die deutsche Sprache lässt sich wohl installieren, dazu gibt es hier im Forum einen Beitrag.
Sehe es mir nach, wenn ich ihn jetzt nicht raus suche und es selbst auch noch nicht probiert habe.
Zum Einen komme ich mit dem Englischen gut zurecht, zum Anderen hat mich die Installation über den Composer interessiert, ein wenig mit dem System spielen wollte ich auch.

[chri.s]

Halbgar!?

Naja, wenn man die Bekanntmachung liest, wird man feststellen, dass sich Contao 4.0.0 erst mal an Entwickler richtet.
Wenn ich nicht irre kannst Du Module von Hand installieren, darauf gebe ich aber keine Garantie.

Man darf geteilter Meinung darüber sein, dass man die Veröffentlichung zu diesem Zeitpunkt schon gewählt hat und der "Otto-Normalverbraucher" schwer atmen muss.
Auf der anderen Seite kommen fast nur Serverbetreiber in den Genuss der Installation und die sollten schon einigermaßen wissen was sie tun.

Die deutsche Sprache lässt sich wohl installieren, dazu gibt es hier im Forum einen Beitrag.
Sehe es mir nach, wenn ich ihn jetzt nicht raus suche und es selbst auch noch nicht probiert habe.
Zum Einen komme ich mit dem Englischen gut zurecht, zum Anderen hat mich die Installation über den Composer interessiert, ein wenig mit dem System spielen wollte ich auch.

Kommt mir noch etwas vor. U.a auch wegen der ausschließlichen Installationsmöglichkeit per Composer im Moment. Ich werde das System daher mal parallel anschauen und bis dato weiter auf die 3.5.x setzen.

Nebenbei gefragt: Wie führe ich per Composer denn ein Update auf die 4.0.1 durch?

Dennoch herzlichen Dank für deine/eure Hilfe!