質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

90.00%

apacheでdjangoを動かす際のパーミッション設定

解決済

回答 1

投稿 編集

  • 評価
  • クリップ 1
  • VIEW 4,908

yhay

score 9

前提・実現したいこと

pythonのdjangoフレームワークを利用してwebアプリを作成しようとしています。
djangoの開発サーバーではうまく動くというところまできて、
CentOS7とapacheという環境で公開しようとした時に、
どのようにデプロイすべきかについて以下3点で悩んでしまいました。

  1. どのディレクトリにアプリを置くべきか
  2. パーミッションの設定はどうすべきか
  3. apacheをどのユーザで起動すべきか

実現したいのは、
A. databaseはデフォルトのままsqlite3を利用していますが、
apacheがその更新を行える必要があります。
B. 今後も開発し、変更を加える手間が少ない方が良いです。
C. セキュリティ的にできるだけ危険性の少ない方が良いです。

これらを実現するためのオーソドックスなプラクティスはないものでしょうか。

試したこと

現在は本番サーバー(AWS EC2)上のユーザーディレクトリ内で作業を行なっています。/home/centos/myapp
しかし、/var/www/以下に置くような例をよく見かけます。
そうする場合には、シンボリックリンクにすべきなのかコピーすべきなのかもわかりません。
gitは使っていませんが、利用した方が良いかとも思っています。

補足情報

python3.6を/usr/local/にインストールしています。(ユーザはこれで使えるようになりましたが、rootとapacheはusr/binしか見てくれていないようなので、ln -s /usr/local/bin/python3.6 /usr/bin/python のようにしています。)
そのpipを利用してmod_wsgiをインストールしています。
また、apacheはyumでインストールしました。

  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

質問への追記・修正、ベストアンサー選択の依頼

  • miyahan

    2017/06/02 17:22

    DjangoなどのPython製WebアプリをWebサーバーと連携させるには、WSGIという仕組みを使うのが一般的(安全で高速)なのですが、なにかCGIを使う理由(レンタルサーバーの仕様等)はありますか?

    キャンセル

  • yhay

    2017/06/02 19:43

    コメントありがとうございます。CGIを使う理由はありません。というのも、一般的にapacheからプログラムを動かす手法をWSGIも含めてCGIと呼ぶものと勘違いしておりました。タイトルを変更させていただきました。

    キャンセル

回答 1

checkベストアンサー

+2

どのような方法で作った Django アプリケーションをデプロイするかによって変わってきます。

Python には WSGI という独自のWebアプリケーション用インタフェースが用意されています。Django もこの WSGI を使うことをオススメしています。

一般的には Webサーバー --- WSGIサーバー --- WSGIアプリ(Django) という構成を取るのですが、Apache には mod_wsgi という便利モジュールが用意されていて、これを入れるだけで WSGIサーバーなしで WSGIアプリを動かすことができます。

つまり Apache(mod_wsgi) --- Django という構成です。これをおすすめします。

おおまかな手順は次の通りです

  1. Python3.6用の mod_wsgi をインストール (pipを使うのが無難?)
  2. Apacheの設定ファイルを編集し、mod_wsgi を読み込ませる
  3. Apacheの設定ファイルを編集し、Djangoアプリの設定を入れる
# Djangoアプリ設定例
WSGIDaemonProcess myapp user=centos group=wheel threads=5
WSGIScriptAlias /myapp /home/centos/myapp/wsgi.py

<Directory /home/centos/myapp>
    WSGIProcessGroup myapp
    Require all granted
</Directory>

これだけで http://localhost/myapp であなたのDjangoアプリが動きます。詳しくは Django 公式リファレンス: http://docs.djangoproject.jp/en/latest/howto/deployment/wsgi/index.html をご覧下さい。


でやっと本題ですが、mod_wsgi を使うという前提で質問に回答します。

どのディレクトリにアプリを置くべきか

いまのまま(/home/centos/myapp)で全く問題ないと思います。

パーミッションの設定はどうすべきか

Apache が WSGIの設定ファイル /home/centos/myapp/wsgi.py にアクセスできるようにする必要があります。

CentOS7 だとホームディレクトリのパーミッションは 700 になっていると思いますので、chmod 755 /home/centos で他ユーザーに読み込み・実行権限を付与してください。(もし他のユーザーにホームディレクトリを見られては困るのであれば、Djangoアプリのディレクトリを他の場所に移動してください)

また、すでにそうなっているはずですが、同様に /home/centos/myapp に others のrx権限が、/home/centos/myapp/wsgi.py にr権限があるかも念のため確認してください。

ちなみに上記の mod_wsgi の設定例ではDjangoアプリを一般ユーザー(centosさん)権限で動かします。(これを daemon mode といいます)そのため SQLite3 のデータファイルは、apacheではなく所有者(centos)として読み書きを行うので、他ユーザーからの書き込みを許可してあげる必要はありません。

daemon mode で一般ユーザー権限で動かすことにより、万が一 Django アプリに侵入された際に他のプロセスやOSごと乗っ取られるリスクを最小限にすることができセキュアです。

apacheをどのユーザで起動すべきか

デフォルト(apache)のまま変える必要はないと思います。

投稿

編集

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2017/06/03 08:43

    ご回答ありがとうございました!今のところまだ wsgi の daemon mode について勉強が足りないようで、なぜかwsgi.pyが apacheユーザで実行されてしまっているようで、パーミッションエラーが出てしまっています。調べながら解決していければと思います。

    キャンセル

  • 2017/06/03 09:51 編集

    すみません、回答が誤っていました。
    ・Apacheの設定に「Require all granted」を追加する必要がありました
    ・apacheユーザーが wsgi ファイルにアクセスできるようパーミッションを設定する必要がありました

    上記2点について回答本文を訂正しましたのでご確認ください。

    キャンセル

  • 2017/06/03 16:42 編集

    ありがとうございます!そのようにすると、パーミッションエラーは回避されました。ただまだPermission denied: [remote xxx.xxx.xxx.xxx:xxxxx] mod_wsgi (pid=6272, process='discha'
    , application='mysite.com/myapp'): Call to fopen() failed for '/home/centos/myapp/myapp/wsgi.py'.のようなエラーが出てしまいました。ググってみるとSELinuxをオフにすると良いとのことなので、一旦そのようにし、またWSGIDaemonProcessの行にpython-path=/home/centos/myappを加えて無事動かすことができました!ありがとうございました。SELinuxをオフにすることはセキュリティを下げるのではという気がするので、またより良い解決策を勉強してきたいと思います。

    キャンセル

15分調べてもわからないことは、teratailで質問しよう!

  • ただいまの回答率 90.00%
  • 質問をまとめることで、思考を整理して素早く解決
  • テンプレート機能で、簡単に質問をまとめられる