Ошибка Nginx FastCGI sent in stderr “Primary script unknown”

Ошибка FastCGI sent in stderr: “Primary script unknown” while reading response header from upstream в Nginx возникает при использовании модуля php-fpm.

Она говорит о том, что веб-сервер не может найти указанный в файле конфигурации nginx.conf скрипт:

server {

listen 80;
server_name xxx.xxx.xxx.xxx;
root var/www/;
access_log /var/log/nginx_access.log;
error_log /var/log/nginx_error.log;
location ~ .*.php$ {
include /etc/nginx/fastcgi_params;
fastcgi_pass unix:/var/run/php5-fpm.sock;
fastcgi_index index.php;
fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
}

}

$document_root говорит о том, что скрипт лежит в корневом каталоге

Главная рекомендация — проверьте все пути и убедитесь, что все нужные файлы существуют и лежат на своих местах.

Если вы не можете разобраться, в каком каталоге Nginx ищет нужный скрипт, то поможет консоль:

tcpdump port 9000 -A | strings
fastcgi_pass по умолчанию установлен на 9000 порт

Вывод покажет всю нужную информацию, в том числе путь к скрипту.

Защита файлов

Учтите, что нужно дополнительно настроить веб-сервер, чтобы он мог выдержать атаки злоумышленников и огромное количество запросов к несуществующим файлам, которые сами по себе способны положить сайт.

Для начала можно заблокировать доступ к файлам, которых не существует, но к которым может быть повышенный интерес:

location /admin.php {
deny all;
}

Запрещает доступ к файлу admin.php

Но в Nginx есть и более изящный способ защиты от запросов к несуществующим файлам:

location ~ .(js|css|png|jpg|gif|swf|ico|pdf|mov|fla|zip|rar)$ {
try_files $uri =404;
}

Если запрашиваемого файла заданного формата не существует, то выводит страницу 404

А для защиты от флуда можно использовать директиву limit_req:

location ~ .*.php$ {
limit_req zone=flood;
include /etc/nginx/fastcgi_params;
fastcgi_pass unix:/var/run/php5-fpm.sock;
fastcgi_index index.php;
fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;

}

Директив limit_req может быть несколько

Limit_req также можно размещать в секциях http и server:

http {
limit_conn_zone $binary_remote_addr zone=conn_limit_per_ip:10m;
limit_req_zone $binary_remote_addr zone=req_limit_per_ip:10m rate=5r/s;

server {
limit_conn conn_limit_per_ip 10;
limit_req zone=req_limit_per_ip burst=10 nodelay;
}

}

Ограничивает количество подключений с одного ip и количество запросов в секунду

При использовании модуля FastCGI можно ограничить доступ к файлам из интернета, возвращая страницу ошибки при запросе:

server {
listen 80;
server_name xxx.xxx.xxx.xxx;
root var/www/;
access_log /var/log/nginx_access.log;
error_log /var/log/nginx_error.log;
error_page 500 502 503 504 /50x.html;
location = /50x.html {
root /usr/share/nginx/www;
}

fastcgi_intercept_errors on;
location ~ .*.php$ {
include /etc/nginx/fastcgi_params;
fastcgi_pass unix:/var/run/php5-fpm.sock;
fastcgi_index index.php;
fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
}

}
# Все ошибки перенаправляются на error_page

Этот текст был написан несколько лет назад. С тех пор упомянутые здесь инструменты и софт могли получить обновления. Пожалуйста, проверяйте их актуальность.