selinux mysql_SELinux之于MySQL

最新推荐文章于 2024-07-31 16:20:03 发布
原创 最新推荐文章于 2024-07-31 16:20:03 发布
· 254 阅读 · 0 ·
版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#selinux mysql

本文介绍了如何在启用SELinux的Linux系统中解决MySQL因权限问题无法启动或更改默认端口的问题。通过设置SELinux策略,允许MySQL访问非标准端口和数据目录,以避免使用关闭SELinux的临时解决方案。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

SELinux之于MySQL

博客分类: 数据库

========================================================

我之前写了一篇《AppArmor and MySQL》的文章,讲了如何在启用AppArmor的情况下改变MySQL的默认文件路径。Ubuntu和SUSE配备了AppArmor,而其他一些发布版本,如Oracle Linux则没有,以及其他一些相关的版本如Red Hat、CentOS及Fedora都没有。相对的,他们使用另一个托管访问控制(译注:mandatory access control)系统SELinux。

SELinux(安全强化,如果你感兴趣)“是linux中支持安全访问控制策略机制的一种特性”--维基百科。更简单的说,它能阻止比如程序之类的访问他们不应该访问的文件和网络端口等。所谓“不应该访问”这里指的是“尚未被配置为可以访问”。比如说,MySQL允许访问它的数据目录/var/lib/mysql,并且可以读取/etc/my.cnf。它可以打开3306端口,但是SELinux阻止它向/home/Jeremy或者/sbin或者其他任何尚未配置成为MySQL位置的路径进行写操作。

简而言之,如果你想更改MySQL的默认端口为一个非标准端口,或者试图备份或者设置数据文件或日志文件到非常用路径,你就会在MySQL错误日志里面收到很多奇怪的禁止访问类型的错误。另外,你同样会在/var/log/audit/audit.log(如果auditd正在运行,否则在/var/log/messages或者/var/log/syslog里面,这取决于你的系统配置)里收到信息。

会得到什么错误呢?

我这边采用了MySQL5.6及Oracle Linux 6.3作为样例环境,同时启用了SELinux。当我把datadir这个变量设置为/datadir时(此目录复制了MySQL原数据目录的所有内容,并且设置了正确的权限),就无法启动服务了。看下面的错误。

MySQL错误日志中:

130321 11:50:51 mysqld_safe Starting mysqld daemon with databases from /datadir

...

2013-03-21 11:50:52 2119 [Warning] Can't create test file /datadir/boxy.lower-test

2013-03-21 11:50:52 2119 [Warning] Can't create test file /datadir/boxy.lower-test

...

2013-03-21 11:50:52 2119 [ERROR] /usr/sbin/mysqld: Can't create/write to file

'/datadir/boxy.pid' (Errcode: 13 - Permission denied)

2013-03-21 11:50:52 2119 [ERROR] Can't start server: can't create PID file:

Permission denied

130321 11:50:52 mysqld_safe mysqld from pid file /datadir/boxy.pid ended

我很确信现在这个目录的权限是正确的,我们再来看看/var/log/audit/audit.log:

...

type=AVC msg=audit(1363866652.030:24): avc: denied { write } for pid=2119

comm="mysqld" name="datadir" dev=dm-0 ino=394

scontext=unconfined_u:system_r:mysqld_t:s0

tcontext=unconfined_u:object_r:default_t:s0 tclass=dir

...

如果我更改端口为非默认端口3307时,启动MySQL也会遇到类似的错误。

MySQL错误日志中:

2013-03-21 12:12:09 3436 [Note] Server hostname (bind-address): '*'; port: 3307

...

2013-03-21 12:12:09 3436 [ERROR] Can't start server: Bind on TCP/IP port:

Permission denied

2013-03-21 12:12:09 3436 [ERROR] Do you already have another mysqld server

running on port: 3307 ?

2013-03-21 12:12:09 3436 [ERROR] Aborting

audit日志中:

type=AVC msg=audit(1363867929.432:42): avc: denied { name_bind } for pid=3436

comm="mysqld" src=3307

scontext=unconfined_u:system_r:mysqld_t:s0

tcontext=system_u:object_r:port_t:s0 tclass=tcp_socket

很明显这里有点问题。Access Vector Cache(如日志中显示的“avc: denied”)是SELinux用来为内核缓存权限的地方。所以很明显是SELinux阻止了操作。

仅仅关闭它就好!

下面就我会先从锤子开始,然后逐渐打造成手术刀。(译注:这个……我不知道理解的对不对,原文是I'm going to start with the hammer and work my way down to the scalpel. )

锤子如下:

[root@boxy ~]# setenforce 0

[root@boxy ~]# getenforce

Permissive

setenforce 0用来关闭SELinux enforcing,重启则失效。getenforce显示当前状态。如果想要在重启以后仍然生效,想要改写以下配置文件:

[root@boxy ~]# cat /etc/selinux/config

This file controls the state of SELinux on the system.

SELINUX= can take one of these three values:

enforcing - SELinux security policy is enforced.

permissive - SELinux prints warnings instead of enforcing.

disabled - No SELinux policy is loaded.

SELINUX=enforcing

SELINUXTYPE= can take one of these two values:

targeted - Targeted processes are protected,

mls - Multi Level Security protection.

SELINUXTYPE=targeted

将enforcing设置为permissive(或者disabled)就ok了。参数的差别如下:

enforcing 阻止SELinux不允许的操作

permissive 并不阻止操作,但是会记录日志(/var/log/audit/audit.log)

disabled 完全关闭SELinux,甚至你都没法使用setenforce了,除非换成其他参数,并重启

例如,如果服务器的SELinux设置为permissive,那么我可以这么做:

[root@boxy ~]# setenforce 1

[root@boxy ~]# getenforce

Enforcing

但是如果设置为disabled,就会这样:

[root@boxy ~]# setenforce 0

setenforce: SELinux is disabled

[root@boxy ~]# setenforce 1

setenforce: SELinux is disabled

以上就是所谓的锤子。

那么,我们返回到产生错误的这个例子,我可以这么使用锤子。

[root@boxy ~]# setenforce 0

[root@boxy ~]# service mysql start --datadir=/datadir

Starting MySQL. SUCCESS!

[root@boxy ~]# service mysql stop

Shutting down MySQL.. SUCCESS!

如果这样子你就满意了,那么你可以编辑配置文件,然后在下次重启时禁用SELinux,并且谢谢阅览。下次见~

我还是有点迷惑。我该怎么配置它而不是禁用呢?

很明显,比起禁用,还有很多事情可以做。而且负责任的管理员(比如你?)想要知道比起禁用,如何更好的使用它。下面,我不会讨论太多细节。

无论如何,我们可以看看该怎样给比如端口、文件这些对象分配SELinux类型(译注:types),然后可以让mysql_t域的成员们(尤其是启动 service mysql start产生的mysqld_safe进程)可以访问这些对象。

以下是手术刀了。首先,我们配置一下SELinux来启用MySQL的3307端口

[root@boxy ~]# semanage port -a -t mysqld_port_t -p tcp 3307

(注:你需要首先安装policycoreutils-python包来使用semanage工具)

semanage工具可以变更很多SELinux设置。这里,我们为使3307端口使用TCP作为它的协议(-p tcp)而向端口映射增加了(-a)一种类型(-t mysqld_port_t)。当MySQL(通过mysqld_safe进程)试图访问这个端口时,SELinux从策略(译注:policy)里面识别这个端口匹配一种类型,并且允许进行这样的访问。

同样我们可以允许MySQL使用/datadir文件夹:

[root@boxy ~]# semanage fcontext -a -t mysqld_db_t "/datadir(/.*)?"

[root@boxy ~]# restorecon -Rv /datadir

restorecon reset /datadir context

unconfined_u:object_r:default_t:s0->unconfined_u:object_r:mysqld_db_t:s0

restorecon reset /datadir/mysql.sock context

system_u:object_r:mysqld_var_run_t:s0->system_u:object_r:mysqld_db_t:s0

在这个例子中,semanage在文件上下文映射(fcontext)中增加了mysqld_db_t的类型,指定了/datadir路径下的所有文件以及子文件(“/datadir(/.*)?”,正则表达式)。这样的文件映射包含在/etc/selinux/targeted/contexts/files/file_contexts.local文件中,为了能够给这个文件设置合适的类型,这个文件必须能够被读取。restorecon工具在系统重启的时候就完成了该操作。如果你想马上更改文件上下文并且不需要重启以后还生效,那么使用chcon工具就可以了。

如果你想使用其他端口或者文件夹,也可以使用同样的方式和语句。不同类型的文件对应一些类似的类型;我这里使用上面的mysqld_db_t来对应数据库文件夹,但是标准SELinux策略针对MySQL也包含:

mysqld_etc_t 用来匹配配置文件如 /etc/my.cnf

mysqld_log_t 用来匹配日志文件如 /var/log/mysql*

PID文件、tmp文件、/etc/init.d里面的服务启动文件的类型,还有各种各样你想使用的可执行文件。

如你所见,你可以自如的使用你的手术刀来合理的分配权限。就我个人而言,我已经使用像mysql_log_t这样的类型匹配自定义的日志文件路径而得到了混合的效果,不过我会首先使用mysqld_db_t(就像用来匹配数据文件),然后使用自定义的策略文件来搞定。

结语

这篇文章已经够长了,所以我不会讨论更为深入的SELinux话题了,比如说编译你自己的策略文件以及为SELinux尚不知道的服务配置新的策略。现在,你已经知道如何为SELinux增加一种类型,来让MySQL可以访问并非默认的端口或者文件了。你也知道了好几种关闭SELinux的方法,不过,你现在应该不会那么做了吧?你已经手持完美的手术刀了,何必还去用什么锤子呢?

MySQL selinux
我的LOG
08-11 614
selinux环境 selinux Mysql 启动失败 mysql服务中的selinux mysql进程主体的domain标签:   在selinux环境中,mysqld的“domain”标签为mysqld_t、mysqld在受限的mysqld_t域中仅能访问指定的资源; selinux环境中mysql能访问的资源标签 标签名 用途 mysqld_db_t 这种文件类型用于标记MySQL数据库数据文件;在RHEL/CentOS中数据文件的默认位置是“/var/lib/mysql”;如果
selinux mysql_开启SELinux下启动Mysql
weixin_34382844的博客
01-19 715
前言:今日在部署mysql应用时,遇到mysql无法启动错误环境:系统:centos 6.8 x64mysqlmysql 5.7问题:采用mysql 官方yum 源安装mysql5.7,安装后修改了my.cnf 默认的datadir 路径为自定义目录。启动mysql 报datadir 目录无权限,错误信息如下。Initializing MySQL database: mysqld: Can't...
[翻译]SELinux之于MySQL
sfw0807的博客
07-25 233
转自:http://blog.sina.com.cn/s/blog_56b7aaa1010195ji.html 译序(jejoker) 这是本人被折磨2天以后,才定位到SELinux的问题,然后痛苦挣扎时候搜到的E文,觉得很好,于是翻译之,用来共享,同时感谢“她”帮我做的一部分翻译。 原文参见这里:SELinux and MySQL 作者是 Jeremy Smyth on Mar 22,...
selinux mysql_MySQLselinux配置
weixin_29433715的博客
01-19 1072
一、selinux的概念:selinux是Security Enhanced Linux (安全强化 Linux)的简称,selinux涉及到主体(subject,一般指进程)、操作(operation)、对象(object,又称资源,如:文件、网络端口),selinux用于控制“主体”能以何种“操作”方式访问什么“对象”。selinux环境中,所有的“主体(进程)”被赋予一个“domain”标签...
The_SELinux_Notebook-4th_Edition.zip_SELinux_selinux pdf downloa
09-25
例如,Apache HTTP Server和MySQL数据库服务都需要特定的策略规则才能在SELinux环境中正常工作。 **五、SELinux的挑战** 虽然SELinux提高了系统的安全性,但它也可能导致一些权限问题,尤其是对不熟悉这个系统的...
在启用 SELinux 的环境下部署 MySQL 8.0.30 并安全加固
puhxw4v的博客
09-18 414
在启用 SELinux 的环境下部署 MySQL 8.0.30 并安全加固
SELinux导致PHP连接MySQL异常Can't connect to MySQL server的解决方法
09-10
这个错误通常表示PHP无法与MySQL服务器建立连接,但原因并非PHP代码、MySQL配置或网络问题,而是SELinux策略阻止了HTTPD(Apache)进程的网络连接。 首先,我们需要理解`getsebool -a`命令的作用。这个命令用来查询...
cheat_sheet_selinux_v2_cheat_V2_
09-28
- MySQL/MariaDB:可能只允许特定用户或进程连接。 - SSH:可以通过设置策略限制SSH登录的用户或来源。 了解这些基本概念和操作后,你可以更好地管理和维护你的Linux系统,确保安全性和合规性。这份“cheat_sheet_...
十七.Linux下Mysql的基本管理与selinux
lb1331的博客
12-01 265
十七.Linux下Mysql的基本管理 1.linux中的mariadb: 常见的网页架构:LAMP(linux,Apache,Mysql,perl/python) / LNMP(linux,nginx,Mysql,perl/php); mariadb为mysql的一个分支; dnf install mariadb-server.x86_64 -y #mariadb的安装; mariadb.service ##服务名称; 3306 ##默认
SELinux中的Apache和MySQL设定
最实用的Linux博客
11-05 5404
原贴:http://www.gofun.com.cn:8080/viewtopic.php?f=8&t=234SELinux中的Apache和MySQL设定    Page 1 of 1  [ 3 posts ]   
Linux系统之MySql数据库安装
weixin_73725203的博客
04-30 272
mysql5.7以后,boost是必须的,建议把系统自带的boots库卸载掉,源码编译比较高的版本。4>创建安装目录和数据存放目录。6>检查配置参数和系统安装环境。2>卸载mariadb依赖包。3>添加mysql用户和组。1>下载mysql源码包。12>初始化数据库并启动。10>生成服务启动脚本。1>关闭seliux。5>解压mysql包。9>创建日志保存文件。13>修改数据库密码。
MySQL数据库与SELinux文件权限设置
In-Memory Computing Technology
07-31 772
场景为:我们的秘钥文件为/usr/local/mysql/keyring/component_keyring_file,我们希望mysqld在SELinux下可以有权限访问他。经过以上命令,type由usr_t变为了mysqld_db_t。现在MySQL就具备访问/usr/local/mysql目录下文件的权限了。然后参照以上权限设置就好,注意,前面已经强调过,主要是设置type,在本例中,即mysqld_db_t。下面进入本文的主旨,设置SELinux的文件上下文。上面所说的类型即type。
Linux上安装MySQL
weixin_53519639的博客
03-26 237
Linux上安装MySQL (超详细,附安装包)
Linux下mysql安装
qq_37809967的博客
10-31 938
Linux下mysql安装下载压缩包解压配置my.cnf,解压、安装mysql启动mysql配置root账号自定义密码设置root账号远程可连接 版本说明 环境:windows10 hyper Linux:centos 8.2 mysql:8.0.20 下载 方式一:进入mysql历史版本库,选择自己需要的版本下载安装 https://downloads.mysql.com/archives/community 方式二:服务器有网的话直接wget下载 #下载地址可以在浏览器按f12查看 wget http
mysql修改存储目录SELinux权限导致无法启动解决过程
qq_37547408的博客
11-02 919
启动mysql失败。其实都是因为SELinux的权限原因。一顿百度操作之后又报了下面这个错。注意不推荐关闭SELinux。最终参考这篇文章搞定了。
Linux系统如何部署MySQL数据库
m0_54918254的博客
01-30 1815
检查环境配置及软件准备free -mdf -hgetenforceulimit -nOther。
php连接mysql出错,原来是SELinux搞的鬼
老刀
04-24 744
搭建php+apache2+mysql 环境,php连接mysql出错,查看了php dpo mysql 等插件,均没有问题。最后从百度上查询有人说可能是SELinux的问题,试了一下果然好了。没太搞懂原因,这里记录一下。查看SELinux状态:1、/usr/sbin/sestatus -v      ##如果SELinux status参数为enabled即为开启状态SELinux status...
解决mysql更改存储路径,以及selinux的问题
2201_76119904的博客
08-30 511
1.如果把selinux关上,更改存储路径之后,在重启肯定没有任何的问题,但如果selinux为 Enforcing 模式,再改完存储路径在重启就不适用了。6.即使改了/var/xp/mysqlselinux属性也依然如此 ,重启之后依然会报错。2.把mysql存储路径改到 /var/xp/mysql/下,只需更改这两个路径即可。只需在配置文件/etc/my.cfg,添加,在重启即可。9.mysql -uroot -p登录如果报一下错误。5.如果你就只改了mysql存储路径重启之后会报错。
selinux阻止mysql
最新发布
03-14
### 配置SELinux以允许MySQL正常运行 为了使 MySQL 能够在启用了 SELinux 的环境中正常工作,需要确保数据库文件及其相关资源被赋予正确的 SELinux 类型。以下是实现这一目标的具体方法: #### 1. 确认默认的 SELinux 类型 通常情况下,MySQL 数据目录 `/var/lib/mysql` 已经具有适当的 SELinux 类型 `mysqld_db_t`[^2]。可以通过以下命令验证其当前的安全上下文: ```bash ls -Zd /var/lib/mysql ``` 如果输出显示安全上下文为 `system_u:object_r:mysqld_db_t:s0`,则说明该目录已正确配置。 #### 2. 更改自定义路径的数据目录类型 当 MySQL 使用非标准路径作为数据存储位置时(例如 `/storage/db/`),可能需要手动调整此路径的 SELinux 安全上下文。通过执行以下命令可完成操作: ```bash chcon -R -t mysqld_db_t /storage/db/ ``` 上述命令会递归地更改指定目录下的所有文件和子目录的安全上下文至 `mysqld_db_t`[^3]。 #### 3. 设置永久性修改 虽然 `chcon` 命令能够即时生效,但它不会持久化到下次重启之后。因此建议使用 `semanage fcontext` 来创建一条规则从而长期保持变更效果: ```bash sudo semanage fcontext -a -t mysqld_db_t "/storage/db(/.*)?" restorecon -Rv /storage/db ``` 第一条指令向系统添加了一条新的策略规则;第二步则是重新应用恢复工具来同步实际磁盘上的标签与新设定相匹配。 #### 4. 授权其他必要访问权限 除了基本的数据读写外,还需要确认诸如网络端口绑定之类的额外需求也被满足。假如遇到连接失败的情况,可能是由于缺少相应的布尔值开关启用所致。检查并开启如下选项可能会有所帮助: ```bash setsebool -P httpd_can_network_connect_db on setsebool -P named_write_master_zones on ``` 注意这里仅举了一些常见例子,请依据具体场景判断哪些真正适用。 综上所述,在遵循以上指导方针的基础上合理规划好各组件间的交互关系即可顺利达成让带有SELinux保护机制下平稳运作的目的[^1]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值