MySQL数据库与SELinux文件权限设置

最新推荐文章于 2024-08-06 18:43:31 发布
最新推荐文章于 2024-08-06 18:43:31 发布
阅读量746 收藏 10
点赞数 4
分类专栏: linux MySQL 文章标签: mysql database selinux file context
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/stevensxiao/article/details/140823006
版权

本文所有操作参考了MySQL官方文档:8.7 SELinux。本实验环境为已安装MySQL 8的Linux 8:

$ cat /etc/redhat-release
Red Hat Enterprise Linux release 8.10 (Ootpa)

$ mysqld --version
/usr/sbin/mysqld  Ver 8.4.2 for Linux on x86_64 (MySQL Community Server - GPL)

SELinux 表示 Security-Enhanced Linux。

SELinux 上下文(应用于系统对象的标签)具有以下字段:用户、角色、类型和安全级别。类型信息(而不是整个 SELinux 上下文)最常用于定义进程与其他系统对象交互的规则。例如,MySQL SELinux 策略模块使用类型信息定义策略规则。

上面所说的类型即type。

ls和ps的-Z选型可以查看文件或进程的上下文信息。

例如:

$ ps -eZ|grep mysql
system_u:system_r:mysqld_t:s0     46745 ?        00:00:51 mysqld

$ ls -Z /sbin/mysqld
system_u:object_r:mysqld_exec_t:s0 /sbin/mysqld

$ ls -Z /var/lib/mysql
     system_u:object_r:mysqld_db_t:s0  auto.cnf                 system_u:object_r:mysqld_db_t:s0 '#innodb_temp'
     system_u:object_r:mysqld_db_t:s0  binlog.000001            system_u:object_r:mysqld_db_t:s0  mysql
     system_u:object_r:mysqld_db_t:s0  binlog.000002            system_u:object_r:mysqld_db_t:s0  mysql.ibd
     system_u:object_r:mysqld_db_t:s0  binlog.index        system_u:object_r:mysqld_var_run_t:s0  mysql.sock
     system_u:object_r:mysqld_db_t:s0  ca-key.pem               system_u:object_r:mysqld_db_t:s0  mysql.sock.lock
     system_u:object_r:mysqld_db_t:s0  ca.pem                   system_u:object_r:mysqld_db_t:s0  mysql_upgrade_history
     system_u:object_r:mysqld_db_t:s0  client-cert.pem          system_u:object_r:mysqld_db_t:s0  performance_schema
     system_u:object_r:mysqld_db_t:s0  client-key.pem           system_u:object_r:mysqld_db_t:s0  private_key.pem
     system_u:object_r:mysqld_db_t:s0  employees                system_u:object_r:mysqld_db_t:s0  public_key.pem
     system_u:object_r:mysqld_db_t:s0 '#ib_16384_0.dblwr'       system_u:object_r:mysqld_db_t:s0  server-cert.pem
     system_u:object_r:mysqld_db_t:s0 '#ib_16384_1.dblwr'       system_u:object_r:mysqld_db_t:s0  server-key.pem
     system_u:object_r:mysqld_db_t:s0  ib_buffer_pool           system_u:object_r:mysqld_db_t:s0  sys
     system_u:object_r:mysqld_db_t:s0  ibdata1                  system_u:object_r:mysqld_db_t:s0  undo_001
     system_u:object_r:mysqld_db_t:s0  ibtmp1                   system_u:object_r:mysqld_db_t:s0  undo_002
     system_u:object_r:mysqld_db_t:s0 '#innodb_redo'

在以上输出中:

  • system_u 是用于系统进程和对象的 SELinux 用户。
  • system_r 是用于系统进程的 SELinux 角色。
  • objects_r 是用于系统对象的 SELinux 角色。
  • mysqld_t 是与 mysqld 进程关联的类型。
  • mysqld_db_t 是与 MySQL 数据目录及其文件关联的类型。
  • s0 是安全级别。

查看SELinux当前模式:

$ sestatus
SELinux status:                 enabled
SELinuxfs mount:                /sys/fs/selinux
SELinux root directory:         /etc/selinux
Loaded policy name:             targeted
Current mode:                   enforcing
Mode from config file:          enforcing
Policy MLS status:              enabled
Policy deny_unknown status:     allowed
Memory protection checking:     actual (secure)
Max kernel policy version:      33

简单的命令:

$ getenforce
Enforcing

如果想不重启,临时修改SELinux模式:

$ setenforce 0
$ getenforce
Permissive

$ setenforce 1
$ getenforce
Enforcing

下面进入本文的主旨,设置SELinux的文件上下文。

场景为:我们的秘钥文件为/usr/local/mysql/keyring/component_keyring_file,我们希望mysqld在SELinux下可以有权限访问他。

为此,我们可以先来看一下已经具备权限的文件:

$ ls -Zd /var/lib/mysql
system_u:object_r:mysqld_db_t:s0 /var/lib/mysql

$ semanage fcontext -l | grep -i mysql
/etc/my\.cnf                                       regular file       system_u:object_r:mysqld_etc_t:s0
/etc/my\.cnf\.d(/.*)?                              all files          system_u:object_r:mysqld_etc_t:s0
/etc/mysql(/.*)?                                   all files          system_u:object_r:mysqld_etc_t:s0
/etc/rc\.d/init\.d/mysqld                          regular file       system_u:object_r:mysqld_initrc_exec_t:s0
/etc/rc\.d/init\.d/mysqlmanager                    regular file       system_u:object_r:mysqlmanagerd_initrc_exec_t:s0
/home/[^/]+/\.my\.cnf                              regular file       unconfined_u:object_r:mysqld_home_t:s0
/root/\.my\.cnf                                    regular file       system_u:object_r:mysqld_home_t:s0
/usr/bin/mysql_upgrade                             regular file       system_u:object_r:mysqld_exec_t:s0
/usr/bin/mysqld_safe                               regular file       system_u:object_r:mysqld_safe_exec_t:s0
/usr/bin/mysqld_safe_helper                        regular file       system_u:object_r:mysqld_exec_t:s0
/usr/lib(64)?/nagios/plugins/check_mysql           regular file       system_u:object_r:nagios_services_plugin_exec_t:s0
/usr/lib(64)?/nagios/plugins/check_mysql_query     regular file       system_u:object_r:nagios_services_plugin_exec_t:s0
/usr/lib/systemd/system/mariadb.*                  regular file       system_u:object_r:mysqld_unit_file_t:s0
/usr/lib/systemd/system/mysqld.*                   regular file       system_u:object_r:mysqld_unit_file_t:s0
/usr/libexec/mysqld                                regular file       system_u:object_r:mysqld_exec_t:s0
/usr/libexec/mysqld_safe-scl-helper                regular file       system_u:object_r:mysqld_safe_exec_t:s0
/usr/local/mysql(/.*)?                             all files          system_u:object_r:mysqld_db_t:s0
/usr/sbin/mysqld(-max|-debug)?                     regular file       system_u:object_r:mysqld_exec_t:s0
/usr/sbin/mysqlmanager                             regular file       system_u:object_r:mysqlmanagerd_exec_t:s0
/usr/sbin/ndbd                                     regular file       system_u:object_r:mysqld_exec_t:s0
/usr/sbin/zabbix_proxy_mysql                       regular file       system_u:object_r:zabbix_exec_t:s0
/usr/sbin/zabbix_server_mysql                      regular file       system_u:object_r:zabbix_exec_t:s0
/usr/share/munin/plugins/mysql_.*                  regular file       system_u:object_r:services_munin_plugin_exec_t:s0
/var/lib/mysql(-files|-keyring)?(/.*)?             all files          system_u:object_r:mysqld_db_t:s0
/var/lib/mysql/mysql\.sock                         socket             system_u:object_r:mysqld_var_run_t:s0
/var/log/mariadb(/.*)?                             all files          system_u:object_r:mysqld_log_t:s0
/var/log/mysql(/.*)?                               all files          system_u:object_r:mysqld_log_t:s0
/var/log/mysql.*                                   regular file       system_u:object_r:mysqld_log_t:s0
/var/run/mariadb(/.*)?                             all files          system_u:object_r:mysqld_var_run_t:s0
/var/run/mysql(/.*)?                               all files          system_u:object_r:mysqld_var_run_t:s0
/var/run/mysqld(/.*)?                              all files          system_u:object_r:mysqld_var_run_t:s0
/var/run/mysqld/mysqlmanager.*                     regular file       system_u:object_r:mysqlmanagerd_var_run_t:s0
/var/lib/mysql-files = /var/lib/mysql
/var/lib/mysql-keyring = /var/lib/mysql

然后参照以上权限设置就好,注意,前面已经强调过,主要是设置type,在本例中,即mysqld_db_t。

# 以下脚本以root执行
$ ls -Z /usr/local/mysql
unconfined_u:object_r:usr_t:s0 keyring

$ semanage fcontext -a -t mysqld_db_t "/usr/local/mysql(/.*)?"

$ ls -Z /usr/local/mysql
unconfined_u:object_r:usr_t:s0 keyring

$ restorecon -Rv /usr/local/mysql
Relabeled /usr/local/mysql from unconfined_u:object_r:usr_t:s0 to unconfined_u:object_r:mysqld_db_t:s0
Relabeled /usr/local/mysql/keyring from unconfined_u:object_r:usr_t:s0 to unconfined_u:object_r:mysqld_db_t:s0
Relabeled /usr/local/mysql/keyring/component_keyring_file from unconfined_u:object_r:usr_t:s0 to unconfined_u:object_r:mysqld_db_t:s0

$ ls -Z /usr/local/mysql
unconfined_u:object_r:mysqld_db_t:s0 keyring

经过以上命令,type由usr_t变为了mysqld_db_t。现在MySQL就具备访问/usr/local/mysql目录下文件的权限了。

SELinux系列(七)——SELinux安全上下文的修改和设置(chcon和restorecon命令)
请大家直接把问题写在评论区或留言,不要只说一句"你好 或 在吗",我会尽快回复的。
08-06 2372
安全上下文的修改是我们必须掌握的,其实也并不难,主要是通过两个命令来实现的。 chcon 命令格式如下: [root@localhost ~]# chcon [选项] 文件或目录 选项: -R: 递归,当前目录和目录下的所有子文件同时设置; -t: 修改安全上下文的类型字段,最常用; -u: 修改安全上下文的身份字段; -r: 修改安全上下文的角色字段; 举个例子: 在我们的apache web服务器 建立一个网页文件,并写入“test page!.
5-2 MySQL数据库读取外部文件
weixin_43263566的博客
10-19 884
MySQL数据库读取外部文件
MySQL selinux
我的LOG
08-11 599
selinux环境 selinux Mysql 启动失败 mysql服务中的selinux mysql进程主体的domain标签:   在selinux环境中,mysqld的“domain”标签为mysqld_t、mysqld在受限的mysqld_t域中仅能访问指定的资源; selinux环境中mysql能访问的资源标签 标签名 用途 mysqld_db_t 这种文件类型用于标记MySQL数据库数据文件;在RHEL/CentOS中数据文件的默认位置是“/var/lib/mysql”;如果
[翻译]SELinux之于MySQL
sfw0807的博客
07-25 227
转自:http://blog.sina.com.cn/s/blog_56b7aaa1010195ji.html 译序(jejoker) 这是本人被折磨2天以后,才定位到SELinux的问题,然后痛苦挣扎时候搜到的E文,觉得很好,于是翻译之,用来共享,同时感谢“她”帮我做的一部分翻译。 原文参见这里:SELinux and MySQL 作者是 Jeremy Smyth on Mar 22,...
selinux mysql_MySQLselinux配置
weixin_29433715的博客
01-19 1055
一、selinux的概念:selinux是Security Enhanced Linux (安全强化 Linux)的简称,selinux涉及到主体(subject,一般指进程)、操作(operation)、对象(object,又称资源,如:文件、网络端口),selinux用于控制“主体”能以何种“操作”方式访问什么“对象”。selinux环境中,所有的“主体(进程)”被赋予一个“domain”标签...
Install Mysql with SELinux on
weixin_33763244的博客
09-20 155
前言:今日在部署mysql应用时,遇到mysql无法启动错误环境:系统:centos 6.8 x64mysqlmysql 5.7问题:采用mysql 官方yum 源安装mysql5.7,安装后修改了my.cnf 默认的datadir 路径为自定义目录。启动mysql 报datadir 目录无权限,错误信息如下。InitializingMySQLdatabase:my...
Linux下修改MySQL数据库数据文件路径的步骤
12-15
在Linux环境下,特别是CentOS 7.6系统中,安装MySQL 5.7.25数据库后,默认的数据文件路径位于/var/lib/mysql。然而,出于安全和管理考虑,通常不建议在根目录下存储大量数据文件。为了改变这个路径,我们可以按照...
mysql修改数据库默认路径无法启动问题的解决
12-16
这个问题通常文件权限有关,但并非所有权限设置错误都能通过简单的用户和组所有权调整来解决。在某些情况下,尤其是当系统启用了SELinux(Security-Enhanced Linux)这样的强制访问控制(MAC)策略时,问题的根源...
(11)MySQL数据库的主从设置
最新发布
2201_75745826的博客
08-06 989
主从数据库能同步主库的内容,可以做备份和分离读写作用。主库生成log和dump日志线程,从库生成I/O线程和SQL线程,进行复制和读写。
selinux mysql_开启SELinux下启动Mysql
weixin_34382844的博客
01-19 702
前言:今日在部署mysql应用时,遇到mysql无法启动错误环境:系统:centos 6.8 x64mysqlmysql 5.7问题:采用mysql 官方yum 源安装mysql5.7,安装后修改了my.cnf 默认的datadir 路径为自定义目录。启动mysql 报datadir 目录无权限,错误信息如下。Initializing MySQL database: mysqld: Can't...
SELinux 权限设置
老瓦的笔记本
05-28 858
作者:neatchenheng 转自:http://www.iteye.com/topic/677014 一、SELinux简介 SELinux全称是Security Enhanced Linux,由美国国家安全部(National Security Agency)领导开发的GPL项目,它拥有一个灵活而强制性的访问控制结构,旨在提高Linux系统的安全性,提供强健的安全保证,
selinux mysql_SELinux之于MySQL
weixin_42501161的博客
01-19 247
SELinux之于MySQL博客分类: 数据库========================================================我之前写了一篇《AppArmor and MySQL》的文章,讲了如何在启用AppArmor的情况下改变MySQL的默认文件路径。Ubuntu和SUSE配备了AppArmor,而其他一些发布版本,如Oracle Linux则没有,以及其他一些...
Selinux文件节点读写权限和控制器权限配置
weixin_37961937的博客
06-28 1382
排查方法主要是查看点击该功能,系统打印出来的日志,发现缺少权限配置,我的最开始是文件读写权限缺少,后来又是控制器权限配置,很多权限他不是一次性出来的,以上截图是我其中一份日志是,仅供参考,是告诉你们看到系统日志里面如何找自己需要配置哪些全部。下面开始看我的日志,这段错误日志跟上面第一点的几乎一样,唯一不同的就是他是denied { read }这一段是 denied { write }这里面操作权限是可读,因为操作的不同,日志中体现的错误日志也不同,所以最终的写法就是。上面就是我所有需要配置的权限了。
Linux系统之MySql数据库安装
weixin_73725203的博客
04-30 267
mysql5.7以后,boost是必须的,建议把系统自带的boots库卸载掉,源码编译比较高的版本。4>创建安装目录和数据存放目录。6>检查配置参数和系统安装环境。2>卸载mariadb依赖包。3>添加mysql用户和组。1>下载mysql源码包。12>初始化数据库并启动。10>生成服务启动脚本。1>关闭seliux。5>解压mysql包。9>创建日志保存文件。13>修改数据库密码。
linux部署MySQL 8.0
weixin_57024726的博客
04-25 637
自动化部署mysql
Centos8上安装mysql8遇到SELinux is preventing /usr/libexec/mysqld from write access on the directory mysql
weixin_42181890的博客
03-02 4580
问题描述 mysql8安装后数据默认存储路径/var/lib/mysql,修改默认存储路径后遇到如下报错: SELinux is preventing /usr/libexec/mysqld from write access on the directory mysql. For complete SELinux messages run: sealert -l 233b1c8f-ef7> 网上做法 关闭selinux。并不是很明智的做法,会引发潜在的安全问题 完全复制默认安装路径下的文件及权限,
selinux mysql_[翻译]SELinux之于MySQL
weixin_35489311的博客
02-04 188
译序这是本人被折磨2天以后,才定位到SELinux的问题,然后痛苦挣扎时候搜到的E文,觉得很好,于是翻译之,用来共享,同时感谢“她”帮我做的一部分翻译。原文参见这里:作者是Jeremy Smyth on Mar 22, 2013以下是译文========================================================我之前写了一篇《AppArmor and MySQ...
mysql修改存储目录SELinux权限导致无法启动解决过程
qq_37547408的博客
11-02 895
启动mysql失败。其实都是因为SELinux的权限原因。一顿百度操作之后又报了下面这个错。注意不推荐关闭SELinux。最终参考这篇文章搞定了。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值