SELinux中的Apache和MySQL设定

最新推荐文章于 2024-07-31 16:20:03 发布

有点太草率了

最新推荐文章于 2024-07-31 16:20:03 发布

阅读量2.6k

点赞数

本文链接：https://blog.csdn.net/sdfshfh/article/details/87783829

版权

本文介绍了如何在SELinux环境中正确配置Apache和MySQL，确保它们能够顺利运行。

摘要由CSDN通过智能技术生成

原贴:http://www.gofun.com.cn:8080/viewtopic.php?f=8&t=234

SELinux中的Apache和MySQL设定

Page 1 of 1

[ 3 posts ]

Print view

Previous topic | Next topic

Author

Message

linsta

Post subject: SELinux中的Apache和MySQL设定

Posted: 2007 Jul 08, Sun, 1:35 pm

Joined: 2007 Mar 16, Fri, 1:37 pm
Posts: 207

Fedora Core 3 在安装时默认把SELinux的选项激活了。SELinux比普通的Linux内核提供了更高的安全性，理论上说，在系统因为未知漏洞溢出的时候，普通用户是不可能得到超级用户的权限了。但是，就是因为SELinux安全性的提高，导致我们在使用时，会发生一些我们以前从没遇到的问题。

前两天我在使用Fedora Core 3搭建PHP+MySQL的WebServer时就遇到了一些问题。现在整理一下，如果您也遇到同样的问题，那么，看过这篇文章，就应该可以轻而易举的解决了。

1.　Apache - Document root must be a directory 问题。

有可能和这个问题并发的问题还有 403 Forbidden　禁止访问的问题。

现象描述：

不使用系统默认的 /var/www/html作为系统的Document Root，自己新建一个目录后修改 /etc/httpd/conf/httpd.conf 中的配置，然后重起Apache的Daemon，发现Apache无法起动，系统报错：

　　Document root must be a directory

但是，我们设置的DocumentRoot 的确是一个目录，而且apache用户具有可读权限。

另一种情况：新建一个虚拟目录或文件后，无法访问，显示 Forbidden, 403 Error，但文件或目录有可读权限。

问题产生的原因：

一开始我想来想去想不出为什么，但是给我感觉是权限的问题，用传统的Linux的思维方式来看，权限绝对没有问题。但是仔细一想，SELinux是不是会有其他安全的设定？

检查 avc　message，查看 /var/log/messages文件，发现有类似以下内容的这样一段：

Dec 24 17:54:59 hostname kernel: audit(1098222899.827:0): avc:　/

denied　{ getattr } for　pid=19029 exe=/usr/sbin/httpd /

path=/var/www/html/about.html dev=dm-0 ino=373900 /

scontext=root:system_r:httpd_t tcontext=user_ubject_r:user_home_t /

tclass=file

嘿嘿，问题找到了，果然是SELinux的新特性搞的鬼。我把目录或文件设成了user_home_t类型，因此apache的进程没有权限，无法访问。针对Apache的进程所使用的SELinux target policy规定了apache的进程只能访问httpd_sys_content_t类型的目录或文件。

解决办法：

很简单，把目录或文件的策略类型改成 httpd_sys_content_t 就可以了

使用root用户

# chcon -t httpd_sys_content_t 目录名或文件名

然后可以用 ls -laZ 命令查看文件目录的策略类型

2.　Mysql - Can't connect to local MySQL server through socket '/var/lib/mysql/mysql.sock' (13)

刚搞定Apache，mySQL又出问题了。

问题现象：

本机用mysql命令可以正常登录数据库并正常操作。但是在php写的页面中，不管怎样，连接mySQL数据库时，都会报如下错误：

Can't connect to local MySQL server through socket　'/var/lib/mysql/mysql.sock' (13)

问题原因：

查看mysql.sock文件，存在并且任何人都可读可写。发现avc message (/var/log/messages)中同样有策略错误的记录。

用 ps -efZ|grep mysql 命令检查mysql的进程，发现mySQL使用了unconfined_t　这个未定义策略类型在运行，而mysql.sock以及mysqld文件的策略类型都是var_lib_t。很明显，这应该是个Fedora Core 3 的 BUG，SELinux target policy的BUG，redhat并没有为mySQL制定正确的target policy。

解决办法：

到redhat的bugzilla系统上搜索，果然找到了这个BUG。

　Bug #:　 138421　

https://bugzilla.redhat.com/bugzill...g.cgi?id=138421

在这个页面找到新的target policy的补丁安装即可

补丁下载页面：

ftp://people.redhat.com/dwalsh/SELinux/FC3

你也可以从本文的附件中下载

只要下载

selinux-policy-targeted-1.17.30-2.23以上的版本就能正常使用mySQL了。

如果你原来的系统安装了 selinux-policy-targeted-source (源代码)，那么你也必需下载source的rpm文件，并首先升级这个包，因为两个包有依赖关系。

补丁安装办法：

使用root用户。

先升级新的target-policy-source (如果你之前安装了这个包的话)

# rpm -Uvh selinux-policy-targeted-sources-1.17.30-2.61.noarch.rpm

升级新的target-policy

# rpm -Uvh selinux-policy-targeted-1.17.30-2.61.noarch.rpm

更新mysql相关的target policy

# rpm -q -l mysql-server | restorecon -R -v -f -

# rpm -q -l mysql | restorecon -R -v -f -

重起mysql的服务

# service mysqld restart

试一下吧，一定有效　

linsta

Post subject: Re: SELinux中的Apache和MySQL设定

Posted: 2007 Jul 08, Sun, 1:35 pm

Joined: 2007 Mar 16, Fri, 1:37 pm
Posts: 207

在FC 6的SEinux环境中运行php, mysql, apache。

网上有很多遭遇selinux而导致apache等无法运行的情况，
大多数新手甚至部分的管理员的解决方法都是禁用SELINUX。
看了很郁闷，NSA造出SELINU是为了给人更多的安全保护，而不是给人造成更多的麻烦。
我不擅长写什么教程，不过还是随便弄了几下，
可能不是很清晰，没办法，你得自己研究了。
虽然可能存在错误，但是相信还是有帮助的。
我的一直跑在合适的上下文中，挺好的。
关于它们的非SELINUX环境安装，网上很多文章可以参考。
其实在SELINUX环境安装并没什么差别，只是我认为把--sbindir选项指定
为/usr/sbin后，系统安装过程中会自己标记哪个属于sbin_t,哪个属于httpd_exec_t.
首先还是安装mysql-5.0.37
我选用的是如下选项，个人的爱好需求也不一样，所以应该根据自己需求更改，

./configure --prefix=/usr/local/mysql /
--sysconfdir=/etc /
--sharedstatedir=/var/lib/mysql /
--localstatedir=/var/lib/mysql /
--with-charset=gb2312 /
--with-extra-charsets=big5,latin1 /
--without-debug /
--enable-assembler --with-openssl=yes /
--with-unix-socket-path=/tmp/mysql.sock /
--mandir=/usr/share/man /
--sbindir=/usr/sbin /
--libexecdir=/usr/bin

安装后初始化数据库什么的我就不说了，
只是想告诉你应该改什么，
如果不指定--sysconfdir=/etc,
那么你应该把my.cnf放到--prefix＝所指向的目录，
将目录更改为mysqld_etc_t
将安装代码目录中的mysql.server复制到/etc/init.d目录中，
更改安全上下文为 initrc_exec_t.

/sbin/chkconfig --add mysql
/sbin/chkconfig --level 5 mysql on

命令：
chcon -t mysqld_etc_t my.cnf
安装apache.
./configure --prefix=/usr/local/apache /
--sysconfdir=/etc --mandir=/usr/share/man /
--enable-module=so --enable-rewrite /
--enable-shared=max --enable-http /
--enable-cgi --without-debug --enable-ssl

我是用了这些选项。
根据httpd安装包中的目录结构，
文档根目录在/var/www。
所以先安装httpd-2.2.3XXX.rpm安装包，
将/var/www目录重命名，然后，将安装包移去，将目录下的html更名为htdocs.
删除/usr/local/apache/目录下的htdocs目录
将logs文件夹复制到/var/log/httpd，在/usr/local/apache目录下建立一个指向它的连接。

将配置文件放入/etc/apache, 那么最好将logs文件夹移动到
/var/log/httpd/，而在该目录再建立一个指向的连接。
将/var/log/httpd/及其子目录文件更改为httpd_log_t
chcon -R -t httpd_log_t /var/log/httpd

安装php,
./configure --prefix=/usr/local/apache --sysconfdir=/etc --mandir=/usr/share/man --enable-module=so --enable-rewrite --enable-shared=max --enable-http --enable-cgi --without-debug --enable-ssl

然后在配置apache。
安装好后的apache启动后会提示：
[root@localhost modules]# /usr/sbin/apachectl restart
httpd: Syntax error on line 53 of /usr/local/apache/conf/httpd.conf: Cannot load /usr/local/apache/modules/libphp5.so into server: /usr/local/apache/modules/libphp5.so: cannot restore segment prot after reloc: Permission denied
解决方法：
[root@localhost modules]# chcon -t textrel_shlib_t libphp5.so

你的mysqlq启动后可能仍然运行在unconfined_t.即便你使用
run_init 或者 runcon命令仍然提示权限不足之类的错误，
而apache可能能够运行在httpd_t中，可是无法关闭。
（比如通过runcon 运行/usr/sbin/apachectl start)
先运行runcon -t httpd_t /usr/sbin/apachtctl start
在运行mysql启动脚本。
没关系，现在你可以运行：

audit2allow -m local -l -i /var/log/audit/audit.log > local.te
checkmodule -M -m -o local.mod local.te
semodule_package -o local.pp -m local.mod
semodule -i local.pp

(使用这些命令的前提是你安装并启用的内核审计－audit。
这是我的rpm -qa | grep "policy"的输出。
selinux-policy-devel-2.4.6-46.fc6
policycoreutils-1.34.1-4.fc6
checkpolicy-1.33.1-2.fc6
policycoreutils-newrole-1.34.1-4.fc6
。
重新启动系统，
用root运行：
ps auxZ | grep mysql
看看是不是运行在mysqld_t下输出应该类似下面这样：
[root@localhost audit]# ps auxZ | grep mysql
user_u:system_r:initrc_t root 3415 0.0 0.1 4688 1120 pts/0 S 14:44 0:00 /bin/sh /usr/local/mysql/bin/mysqld_safe --datadir=/var/lib/mysql --pid-file=/var/lib/mysql/localhost.localdomain.pid
user_u:system_r:mysqld_t mysql 3448 0.0 1.8 127188 14032 ? Sl 14:44 0:00 /usr/sbin/mysqld --basedir=/usr/local/mysql --datadir=/var/lib/mysql --user=mysql --pid-file=/var/lib/mysql/localhost.localdomain.pid --skip-external-locking --port=3306 --socket=/tmp/mysql.sock

使用init脚本启动apache要自己编写脚本。去下面的地址：
http://kb.discuz.net/index.php?title=Ap ... A%E6%9C%AC
将内容修改保存后，放入/etc/init.d,更改安全上下文为initrc_exec_t.
如果没什么大问题，你现在应该能使用mysql,php了。
我尝试增加httpd服务到sysv服务列表中，可是总提示说httpd服务不支持chkconfig
应该是脚本的格式不对，我不想在照着http的rpm包中的脚本修改了，使用apachectl start一样可以启动，支持auto_domain_trans.
因为我可不想开机启动apache。

linsta

Post subject: CentOS 4.4对于MySQL的SELinux设置

Posted: 2007 Jul 08, Sun, 1:37 pm

Joined: 2007 Mar 16, Fri, 1:37 pm
Posts: 207

装了CentOS后，把原来系统自带的MySQL4.x卸载掉，从mysql.com上下载了MySQL 5.0的rpm下来安装，安装好后，使用都正常，但是发现console和/var/log/messages中出现大量的警告信息如下：

Code:

             Mar 15 05:00:27 gaobo kernel: audit(1173906027.759:2): avc: denied { append } for pid=3332 comm="mysqld" name="gaobo.moloon.com.e 
            
rr" dev=dm-0 ino=3720485 scontext=user_u:system_r:mysqld_t tcontext=root:object_r:var_lib_t tclass=file 
            
Mar 15 05:00:27 gaobo fstab-sync[3366]: added mount point /media/cdrom for /dev/hdc 
            
Mar 15 05:00:28 gaobo kernel: audit(1173906028.538:3): avc: denied { create } for pid=3332 comm="mysqld" name="mysql.sock" sconte 
            
xt=user_u:system_r:mysqld_t tcontext=user_u:object_r:var_lib_t tclass=sock_file 
            
Mar 15 05:00:28 gaobo kernel: audit(1173906028.551:4): avc: denied { read } for pid=3332 comm="mysqld" name="host.frm" dev=dm-0 i 
            
no=3720437 scontext=user_u:system_r:mysqld_t tcontext=root:object_r:var_lib_t tclass=file 
            
Mar 15 05:00:28 gaobo kernel: audit(1173906028.617:5): avc: denied { getattr } for pid=3332 comm="mysqld" name="host.MYI" dev=dm- 
            
0 ino=3720438 scontext=user_u:system_r:mysqld_t tcontext=root:object_r:var_lib_t tclass=file 
            
Mar 15 05:00:28 gaobo kernel: audit(1173906028.617:6): avc: denied { write } for pid=3332 comm="mysqld" name="host.MYI" dev=dm-0 
            
ino=3720438 scontext=user_u:system_r:mysqld_t tcontext=root:object_r:var_lib_t tclass=file 
            
Mar 15 05:00:29 gaobo lsb_log_message: succeeded 
            
Mar 15 05:02:49 gaobo sshd(pam_unix)[4065]: session opened for user root by root(uid=0) 
            
Mar 15 06:05:13 gaobo kernel: audit(1173909913.749:7): avc: denied { unlink } for pid=4139 comm="mysqld" name="mysql.sock" dev=dm 
            
-0 ino=3720415 scontext=user_u:system_r:mysqld_t tcontext=user_u:object_r:var_lib_t tclass=sock_file 
            
Mar 15 06:05:16 gaobo lsb_log_message: succeeded 
            
Mar 15 06:05:16 gaobo kernel: audit(1173909916.894:8): avc: denied { append } for pid=4199 comm="mysqld" name="gaobo.moloon.com.e 
            
rr" dev=dm-0 ino=3720485 scontext=root:system_r:mysqld_t tcontext=root:object_r:var_lib_t tclass=file 
            
Mar 15 06:05:17 gaobo kernel: audit(1173909917.042:9): avc: denied { create } for pid=4199 comm="mysqld" name="mysql.sock" sconte 
            
xt=root:system_r:mysqld_t tcontext=root:object_r:var_lib_t tclass=sock_file 
            
Mar 15 06:05:17 gaobo kernel: audit(1173909917.042:10): avc: denied { read } for pid=4199 comm="mysqld" name="host.frm" dev=dm-0 
            
ino=3720437 scontext=root:system_r:mysqld_t tcontext=root:object_r:var_lib_t tclass=file 
            
Mar 15 06:05:17 gaobo kernel: audit(1173909917.043:11): avc: denied { getattr } for pid=4199 comm="mysqld" name="host.MYI" dev=dm 
            
-0 ino=3720438 scontext=root:system_r:mysqld_t tcontext=root:object_r:var_lib_t tclass=file 
            
Mar 15 06:05:17 gaobo kernel: audit(1173909917.043:12): avc: denied { write } for pid=4199 comm="mysqld" name="host.MYI" dev=dm-0 
            
ino=3720438 scontext=root:system_r:mysqld_t tcontext=root:object_r:var_lib_t tclass=file 
            
Mar 15 06:05:17 gaobo lsb_log_message: succeeded 
            
Mar 15 06:27:57 gaobo kernel: audit(1173911277.664:13): avc: denied { unlink } for pid=4885 comm="mysqld" name="mysql.sock" dev=d 
            
m-0 ino=3720420 scontext=root:system_r:mysqld_t tcontext=root:object_r:var_lib_t tclass=sock_file 
            
Mar 15 06:27:59 gaobo lsb_log_message: succeeded 
            
Mar 15 06:27:59 gaobo kernel: audit(1173911279.909:14): avc: denied { create } for pid=4943 comm="mysqld" name="mysql.sock" scont 
            
ext=root:system_r:mysqld_t tcontext=root:object_r:var_lib_t tclass=sock_file 
            
Mar 15 06:28:00 gaobo lsb_log_message: succeeded 
            
Mar 15 06:39:40 gaobo kernel: audit(1173911980.684:15): avc: denied { getattr } for pid=4960 comm="mysqld" name="mysql.sock" dev= 
            
dm-0 ino=3720422 scontext=root:system_r:mysqld_t tcontext=root:object_r:var_lib_t tclass=sock_file

查了下发现原来是SELinux安全约束条件对MySQL进行限制造成的。用以下命令就可以简单搞定：

# audit2allow -d

audit2allow 命令可以把一些访问权限规则设定为许可的。-d 选项是从dmsg的输出中获得上面的那些权限禁止信息，然后进行授权许可操作。也可以从文件中获得，直接从dmsg中获得可能会把一些可疑操作也许可了，比较保险的方法是把/var/log/messages文件中所有许可禁止信息copy到一个文件中，一行一行看这个新文件中的禁止是否应该打开，如果不应该打开的就删掉该行。然后再用audit2allow命令从这个文件读入进行许可授权。

再分享一下我老师大神的人工智能教程吧。零基础！通俗易懂！风趣幽默！还带黄段子！希望你也加入到我们人工智能的队伍中来！https://blog.csdn.net/jiangjunshow