SELinux and LD_PRELOAD

最新推荐文章于 2021-07-27 20:22:42 发布
最新推荐文章于 2021-07-27 20:22:42 发布
阅读量541 收藏
点赞数
分类专栏: MYSQL Tokudb

I was testing TokuDB on Percona Server 5.6 in a VM running CentOS 6. The OS has SELinux enforcing.

Instructions for installing are here: http://www.percona.com/doc/percona-server/5.6/tokudb/tokudb_installation.html

The commands required to install the TokuDB engine are:

INSTALL PLUGIN tokudb SONAME 'ha_tokudb.so';
INSTALL PLUGIN tokudb_file_map SONAME 'ha_tokudb.so';
INSTALL PLUGIN tokudb_fractal_tree_info  SONAME 'ha_tokudb.so';
INSTALL PLUGIN tokudb_fractal_tree_block_map SONAME 'ha_tokudb.so';
INSTALL PLUGIN tokudb_trx SONAME 'ha_tokudb.so';
INSTALL PLUGIN tokudb_locks SONAME 'ha_tokudb.so';
INSTALL PLUGIN tokudb_lock_waits SONAME 'ha_tokudb.so';
However the first one always fails with this error in the mysql log file: 
[ERROR] TokuDB is not initialized because jemalloc is not loaded

I checked mysqld_safe and the script coming with Percona Server already seems to preload libjemalloc.

I checked in the /proc/$mysqld_pid/environ and LD_PRELOAD already contains the path to jemalloc, but in /proc/$mysqld_pid/maps there is no jemalloc library. 

Checking the audit log, there are no deny entries. However running with setenforce 0 results in jemalloc getting loaded.

The reason for this is that mysqld_safe transitions from mysqld_safe_t to mysqld_t when it runs mysqld and selinux when transitioning ignores LD_PRELOAD by default (details here: http://blog.siphos.be/2011/04/selinux-and-noatsecure-or-why-portage-complains-about-ld_preload-and-libsandbox-so/)

To fix:

module mysqld_safe_preload 0.1;
require {
  type mysqld_safe_t;
  type mysqld_t;
  class process { noatsecure } ;
}
allow mysqld_safe_t mysqld_t:process { noatsecure };
This ensures that AT_SECURE is not set by SELinux when mysqld_safe_t executes mysqld and transitions to mysqld_t.


kf_panda
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SELinux零知识学习十五、SELinux策略语言之客体类别和许可(9)
phmatthaus的专栏
11-17 297
SELinux零知识学习十五、SELinux策略语言之客体类别和许可(9)
selinux-utils_3.0-1build2_amd64.deb
最新发布
03-12
ubuntu20.04.1_x86系统安装selinux所需软件包
linux--函数劫持--基于LD_PRELOAD
lionzl的专栏
05-06 1150
linux--函数劫持--基于LD_PRELOAD 2014-06-03      0 个评论    来源:linux--函数劫持--基于LD_PRELOAD   Recently i am facing a problem, how to differentiate a problem of library-function from application pr
以 hook main 函数为例探讨 PRELOAD 的原理
龙瑜的博客
12-06 1220
dlsym(RTLD_NEXT, “rte_eal_init”)) https://gist.github.com/apsun/1e144bf7639b22ff0097171fa0f8c6b1 /* Hook main() using LD_PRELOAD, because why not? Obviously, this code is not portable. Use at your own risk. * Compile using 'gcc hax.c -o hax.
SELinux策略语言--客体类别和许可
MyArrow的专栏
08-19 1万+
1. 简介     SELinux策略语言主要描述policy.conf的相关语法,其相关部分如下图所示: 2. 客体类别和许可
深入理解SELinux SEAndroid(第一部分)
热门推荐
Innost的专栏
02-16 13万+
按哥的习惯,应该是全部洗剪吹完后再发,不过今年是马年,什么都强调 马上。所以 现在就先奉献 马上有第一部分  祝各位同仁,朋友 马年快乐。 深入理解SEAndroidSEAndroid是Google在Android 4.4上正式推出的一套以SELinux为基础于核心的系统安全机制。而SELinux则是由美国NSA(国安局)和一些公司(RedHat、Tresys)设计的一个针对Linux的安全加强系
selinux-example_SELinux_
09-28
**SELinux:Linux安全增强系统详解** 在深入探讨SELinux之前,我们首先需要理解它的全称:Security-Enhanced Linux,即安全增强型Linux。它是一种强制访问控制(MAC)系统,由美国国家安全局(NSA)开发,旨在提高...
selinux_permissive:将SELinux切换到许可模式的Magisk模块
05-07
SELinux允许的该模块在...如何安装: 稳定发布: 从发布页面最新的selinux_permissive.zip MagiskManager->模块+ Downloads / selinux_permissive.zip->重新启动主分支: git clone cd selinux_permissive 进行安装支持
selinux_internal.rar_SELinux_The First
09-14
"SELinux_The First" 指的可能是对SELinux的初步理解和应用,特别是针对首次调用(call)的处理。 在描述中提到的"Call handler iff the first call",可能是指在系统启动或某个服务开始运行时,只在第一次调用特定...
cheat_sheet_selinux_v2_cheat_V2_
09-28
这个“cheat_sheet_selinux_v2_cheat_V2_”资源很可能是针对SELinux的速查表,旨在帮助用户快速理解和应用SELinux策略。 **一、SELinux基本概念** 1. **安全上下文(Security Context)**:每个文件、进程都有一个...
percona mysql5.6.27_Centos 6.5 Percona 5.6.27 Tokudb 配置
weixin_42509614的博客
01-19 73
参考 https://www.percona.com/doc/percona-server/5.6/tokudb/tokudb_installation.html# wget https://www.percona.com/downloads/Percona-Server-5.6/Percona-Server-5.6.27-75.0/binary/tarball/Percona-Server-5....
SELinux:避免 dontaudit 规则隐藏
Linux
07-27 2133
参考链接:https://wiki.centos.org/zh/HowTos/SELinux 由于 dontaudit 可防止审计记录出现于日志内,有可能部份 AVC 或 USER_AVC 不获显示。若是要避免 dontaudit 规则隐藏这些讯息,管理员可执行 semodule -DB 来重建不包含 dontaudit 规则的 SELinux 政策。重建后,日志内将会有更多讯息,还有一些与问题无关的记录(noatsecure、rlimitinh 及 siginh 是执行程式时循例必检查的,因此一般可忽
TokuDB存储引擎
weixin_34183910的博客
08-11 215
TokuDB是Tokutek公司开发的基于ft-index(Fractal Tree Index)键值对的存储引擎。 它使用索引加快查询速度,具有高扩展性,并支持hot scheme modification,具有以下特点: 1. 插入性能快20~80倍; 2. 压缩数据减少存储空间; 3. 数据量可以扩展到几个TB; 4. 不会产生索引碎片; 5. 支持hot column addi...
在Linux上进行动态注入 | LD_PRELOAD
RToax
03-18 576
《Linux环境下的LD_PRELOAD:库预加载》 《Hunting for Linux library injection with Osquery》 《Tracking down library injections on Linux》 《使用valgrind对gperftools(tcmalloc)进行内存泄漏和越界检测》 《利用jemalloc分析内存泄漏以及LD_PRELOAD》 在Linux上,库注入比在Windows上少见,但仍然是一个问题。下面是它们的工作原理以及如何识别它们
TokuDB 热备测试
08-28 131
1、启动后尝试安装TokuDB插件[root@es3mysql]#exportPATH=$PATH:/usr/local/mysql/bin [root@es3mysql]#ps_tokudb_admin-h127.0.0.1--enable CheckingSELinuxstatus... INFO:SELinuxisdisabled. Chec...
percona mysql5.6.27_Centos6.5Percona5.6.27Tokudb配置_MySQL
weixin_42106299的博客
01-19 97
# wget https://www.percona.com/downloads/Percona-Server-5.6/Percona-Server-5.6.27-75.0/binary/tarball/Percona-Server-5.6.27-rel75.0-Linux.x86_64.ssl101.tar.gz解压到 /usr/local,创建符号链接 /usr/local/percona启动...
selinux_check_access
06-01
`selinux_check_access`是一个SELinux安全模块提供的函数,用于检查一个进程是否被允许访问指定的资源。它的函数原型为: ``` int selinux_check_access(const char *scon, const char *tcon, const char *tclass, ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值