selinux mysql_MySQL的selinux配置

最新推荐文章于 2023-08-30 11:28:30 发布
最新推荐文章于 2023-08-30 11:28:30 发布
阅读量886 收藏 3
点赞数 1
文章标签: selinux mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_29433715/article/details/113190177
版权

一、selinux的概念:

selinux是Security Enhanced Linux (安全强化 Linux)的简称,selinux涉及到主体(subject,一般指进程)、操作(operation)、对象(object,又称资源,如:文件、网络端口),selinux用于控制“主体”能以何种“操作”方式访问什么“对象”。

selinux环境中,所有的“主体(进程)”被赋予一个“domain”标签,所有的“对象”也被赋予一个“type”类型标签,“domain”标定的“主体”能访问哪些“type”标定的“对象”,由selinux的安全策略定义。

二、selinux环境:

selinux有三种状态,分别是:Enforcing:强制模式,selinux正严格按照策略运行中;

Permissive:宽容模式,selinux正在运行中,但是只记录日志,不执行实际限制;

Disabled:禁用模式,selinux环境未被开启;

我们可以使用“getenforce”命令查看selinux是否在强制模式中运行:[root@aiezu.com ~]# getenforce

Disabled  如果状态为“Disabled”,我们必须在"/etc/sysconfig/selinux"文件中,将“SELINUX=disabled”改为“SELINUX=enforcing”,并重启服务器后才能开启;

如果状态为“Permissive”,可以直接使用“setenforce 1”命令临时改为强制状态:[root@aiezu.com ~]# getenforce

Permissive

[root@aiezu.com ~]# setenforce 1

[root@aiezu.com ~]# getenforce

Enforcing

三、mysql服务中的selinux定义:

1、mysql进程主体的domain标签:

在selinux环境中,mysqld的“domain”标签为“mysqld_t”、mysqld在受限的“mysqld_t”域中仅能访问指定的资源;

2、selinux环境中mysql能访问的资源标签:标签名用途

mysqld_db_t这种文件类型用于标记MySQL数据库数据文件;

在RHEL/CentOS中数据文件的默认位置是“/var/lib/mysql”;

如果修改了MySQL数据文件的位置,新的位置必须使用这种类型标签;

mysqld_etc_t这种文件类型用于标记MySQL的配置文件;

默认位置为:

主配置文件:“/etc/my.cnf”;

其他配置文件:“/etc/my.cnf.d/”目录下的文件;

mysqld_exec_t这种文件类型用于标记MySQL主进程文件;

默认为:“/usr/libexec/mysqld”或者“/usr/sbin/mysqld”;

可以通过“whereis mysqld”命令查找;

mysqld_initrc_exec_t这种文件类型用于标记MySQL的初始化脚本;

默认为:“/etc/rc.d/init.d/mysqld”;

“service mysqld start”中“mysqld”用的就是此脚本;

mysqld_log_t这种文件类型用于标记日志文件;

mysqld_var_run_t这种文件类型用于标记MySQL运行时产生的文件;

默认在“/var/run/mysqld”目录中,主要包括:

/var/run/mysqld/mysqld.pid

/var/run/mysqld/mysqld.sock

3、selinux中mysq的布尔变量:变量名含义

allow_user_mysql_connect当这个变量值为“1”时允许用户连接数据库;

exim_can_connect_db当这个变量值为“1”时允许exim邮件程序访问数据库服务器;

ftpd_connect_db当这个变量值为“1”时允许ftpd进程访问数据库服务器;

httpd_can_network_connect_db当这个变量值为“1”时允许httpd进程访问数据库服务器;

四、配置演示:

下面演示在selinux环境中,由于修改了mysql的数据存放路径,而导致的selinux权限错误、及其修正方法;在测试前,我们得先得确认我们的linux系统处于“selinux”环境,请参考第二步。

1、首先,我们在修改mysql路径前确定mysql是能正常运行的,并停止mysql服务:[root@aiezu.com ~]# service mysql stop

Shutting down MySQL.. SUCCESS!

[root@aiezu ~]# service mysql start

Starting MySQL. SUCCESS!

[root@aiezu.com ~]# lsof -i:3306

COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME

mysqld 5166 mysql 10u IPv6 22791 0t0 TCP *:mysql (LISTEN)

[root@aiezu.com ~]# service mysql stop

Shutting down MySQL.. SUCCESS!

2、创建新的mysql数据存放路径,并使用“mysql_install_db”初始化目录;我这里只是测试,原数据库的数据不需要保留,如果需要保留,需要想将原数据库备份,修改路径完成正常运行后再恢复:[root@aiezu.com ~]# mkdir -p /storage/db

[root@aiezu.com ~]# mysql_install_db --datadir=/storage/db/

[root@aiezu.com ~]# chown -R mysql:mysql /storage/db/

3、在mysql的配置文件"/etc/my.cnf"中,在"[mysqld]"组下,将"datadir="的值改成新的路径;修改后我的配置文件内容如下:[mysqld]

datadir=/storage/db/

socket=/storage/db/mysql.sock

pid-file=/storage/db/aiezu.com.pid

[mysqld_safe]

log-error=/var/log/mysqld.log

[client]

socket=/storage/db/mysql.sock  注意“[mysqld]”组和“[client]”组下的“socket=”后面的值要一致,否则运行mysql连接数据的时候会提示如下错误:ERROR 2002 (HY000): Can't connect to local MySQL server through socket '/var/lib/mysql/mysql.sock' (2)

4、尝试启动MySQL,观察提示的错误(由于我们上面没有为新的mysql目录设置selinux权限,这里一定会报错的):[root@aiezu.com ~]# service mysql start

Starting MySQL. ERROR! The server quit without updating PID file (/storage/db/aiezu.com.pid).  在mysql的日志文件中能看到更详细的错误信息,可以在“my.cnf”中找到日志文件的路径,我这里的路径为“/var/log/mysqld.log”:161201 23:26:55 mysqld_safe Starting mysqld daemon with databases from /storage/db/

2016-12-01 23:26:56 0 [Warning] TIMESTAMP with implicit DEFAULT value is deprecated. Please use --explicit_defaults_for_timestamp server option (see documentation for more details).

2016-12-01 23:26:56 0 [Warning] Can't create test file /storage/db/aiezu.lower-test

2016-12-01 23:26:56 0 [Note] /usr/sbin/mysqld (mysqld 5.6.34) starting as process 6215 ...

2016-12-01 23:26:56 6215 [Warning] Can't create test file /storage/db/aiezu.lower-test

2016-12-01 23:26:56 6215 [Warning] Can't create test file /storage/db/aiezu.lower-test

2016-12-01 23:26:56 6215 [Note] Plugin 'FEDERATED' is disabled.

^G/usr/sbin/mysqld: Can't find file: './mysql/plugin.frm' (errno: 13 - Permission denied)

2016-12-01 23:26:56 6215 [ERROR] Can't open the mysql.plugin table. Please run mysql_upgrade to create it.

...

2016-12-01 23:26:56 6215 [ERROR] InnoDB: os_file_get_status() failed on './ibdata1'. Can't determine file permissions

2016-12-01 23:26:56 6215 [ERROR] InnoDB: The system tablespace must be writable!

...  可以看到日志文件中出现了“Permission denied”字样,这就是由于selinux权限引起的(上面我们设置了文件系统权限,所以不是文件系统权限引起的);

5、使用chcon命令为mysql数据目录设置selinux权限,并启动mysql,发现启动成功:[root@aiezu.com ~]# chcon -R -t mysqld_db_t /storage/db/

[root@aiezu.com ~]# service mysql start

Starting MySQL. SUCCESS!

[root@aiezu.com ~]# lsof -i:3306

COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME

mysqld 6590 mysql 10u IPv6 24127 0t0 TCP *:mysql (LISTEN)

[root@aiezu.com ~]# ps -eZ|grep mysqld

unconfined_u:system_r:mysqld_safe_t:s0 6437 ? 00:00:00 mysqld_safe

unconfined_u:system_r:mysqld_t:s0 6590 ? 00:00:00 mysqldchcon命令的用法请参考:http://aiezu.com/article/linux_chcon_command.html

小丑逼
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
MySQL selinux
我的LOG
08-11 535
selinux环境 selinux Mysql 启动失败 mysql服务中的selinux mysql进程主体的domain标签:   在selinux环境中,mysqld的“domain”标签为mysqld_t、mysqld在受限的mysqld_t域中仅能访问指定的资源; selinux环境中mysql能访问的资源标签 标签名 用途 mysqld_db_t 这种文件类型用于标记MySQL数据库数据文件;在RHEL/CentOS中数据文件的默认位置是“/var/lib/mysql”;如果
CentOS下php使用127.0.0.1不能连接mysql的解决方法
12-15
$link = mysql_connect($server,”mysql”,”mysql”); if (!$link) {  die(‘Could not connect: ‘ . mysql_error().mysql_errno()); } linux本机下使用php mysql.php 可以查看运行结果,但是 在我的windows...
SELinux导致PHP连接MySQL异常Can’t connect to MySQL server的解决方法
01-19
同事报告一起奇怪的现象,一个最简单的测试PHP代码,在测试环境很正常,但是在正式环境下,无论用何种方式(tcp/ip、unix socket)都无法连接mysql。 我协助查看了下,确实如此,无论是指定IP、端口的tcp/ip方式连接,或者是用unix socket方式连接,报错信息都类似: 代码如下:Could not connect: Can’t connect to MySQL server on ‘MYSQL.SERVER’ (13) 无论如何修改MySQL的授权,或者调整php.ini中关于MySQL的设置,或者修改MySQL的监听网口,都无法解决。 而如果用命令行人工连接MySQ
SELinux导致PHP连接MySQL异常Can't connect to MySQL server的解决方法
09-10
主要介绍了SELinux导致PHP连接MySQL异常Can't connect to MySQL server的解决方法,有2种,一是设置允许,二是关闭SELinux,需要的朋友可以参考下
技术分享 | SELinuxMySQL
ActionTech的博客
01-08 181
作者:姚远 M>ySQL ACE,华为云MVP,专注于 Oracle、MySQL 数据库多年,Oracle 10G 和 12C OCM,MySQL 5.6,5.7,8.0 OCP。现在鼎甲科技任技术顾问,为同事和客户提供数据库培训和技术支持服务。 本文来源:原创投稿 爱可生开源社区出品,原创内容未经授权不得随意使用,转载请联系小编并注明来源。 为了提高 Linux 系统的安全性,在 Linux 上通常会使用 SELinux 或 AppArmor 实现强制访问控制(Mandatory Acces.
MySQL学习5_CentOS下Mysql数据库(不使用yum命令)的安装与配置
wang_zhenwei的博客
09-18 1309
注: 按照上一个安装说明操作,会出现一些问题。 比如,自动安装的mysql版本很旧,5.1.0x版本的,官网的Mysql已经是 5.6.x版本了。 如果坚持安装最新版本,在MYSQL官网下载rpm-.tar安装包,Linux 64位版本的大小大约300MB左右。   1.下载: MySQL-5.6.26-1.linux_glibc2.5.x86_64.rpm-bundle.tar 下
[翻译]SELinux之于MySQL
davly的专栏
08-07 131
更简单的说,它能阻止比如程序之类的访问他们不应该访问的文件和网络端口等。如果你想使用其他端口或者文件夹,也可以使用同样的方式和语句。的默认端口为一个非标准端口,或者试图备份或者设置数据文件或日志文件到非常用路径,你就会在?如你所见,你可以自如的使用你的手术刀来合理的分配权限。就我个人而言,我已经使用像。原数据目录的所有内容,并且设置了正确的权限),就无法启动服务了。这样的类型匹配自定义的日志文件路径而得到了混合的效果,不过我会首先使用。如果这样子你就满意了,那么你可以编辑配置文件,然后在下次重启时禁用。
mysql修改存储目录SELinux权限导致无法启动解决过程
qq_37547408的博客
11-02 637
启动mysql失败。其实都是因为SELinux的权限原因。一顿百度操作之后又报了下面这个错。注意不推荐关闭SELinux。最终参考这篇文章搞定了。
【Linux】Linux安装MySQL【详细步骤】
鸟人的博客
03-12 1339
Linux部署MySQL
解决mysql更改存储路径,以及selinux的问题
2201_76119904的博客
08-30 278
1.如果把selinux关上,更改存储路径之后,在重启肯定没有任何的问题,但如果selinux为 Enforcing 模式,再改完存储路径在重启就不适用了。6.即使改了/var/xp/mysqlselinux属性也依然如此 ,重启之后依然会报错。2.把mysql存储路径改到 /var/xp/mysql/下,只需更改这两个路径即可。只需在配置文件/etc/my.cfg,添加,在重启即可。9.mysql -uroot -p登录如果报一下错误。5.如果你就只改了mysql存储路径重启之后会报错。
mysql 宽容模式_SELinux 宽容模式(permissive) 强制模式(enforcing) 关闭(disabled)  几种模式之间的转换...
weixin_39942037的博客
02-04 244
在CentOS6.2 中安装intel 的c++和fortran的编译器时,遇到来一个关于SELinux的强制模式不可执行的情况,需要关闭SELinux 或者 将enforcing改为 permissive模式,查询来一些资料后,先对SELinux的几种模式,以及其之间的关系和转换方法做一小结,以备以后查看和学习。SELinux 的启动、关闭与查看1、并非所有的 Linux distributio...
MySQL 知识:迁移数据目录到其他路径
05-05
MySQL 迁移数据目录其实很简单,只需要有对应的目录路径,并修改对应的配置信息即可。 为了提高 Linux 系统的安全性,在 Linux 上通常会使用 SELinux 或 AppArmor 实现强制访问控制(Mandatory Access Control MAC...
MySQL数据库迁移data文件夹位置详细步骤
12-15
由于yum安装mysql的时候,数据库的data目录默认是在/var/lib下,出于数据安全性的考虑需要把它挪...如果用cp命令,就需要回头再去设置mysql文件夹的selinux属性,本人因很头疼selinux故能避则避。 代码如下:mv -R /var/
MySQL彻底卸载(源码安装方式)
缘来是庄的博客
09-18 2463
1、检查MySQL的启动状态 [root@localhost ~]# ps -ef | grep mysql root 1231 1 0 Jul12 ? 00:00:00 /bin/sh /usr/local/mysql/bin/mysqld_safe --datadir=/var/lib/mysql --pid-file=/var/lib/mysql/loc...
Linux下安装MySQL数据库
爱玩的小张的博客
09-05 1117
数据库(Database)是按照数据结构来组织、存储和管理数据的仓库。是一个长期存储在计算机内的、有组织的、可共享的、统一管理的大量数据的集合。每个数据库都有一个或多个不同的 API 用于创建,访问,管理,搜索和复制所保存的数据。因为将数据存入文件中的读写速度相对较慢,所以我们使用关系型数据库管理系统(RDBMS)来存储和管理大量的数据。所谓的关系型数据库,是建立在关系模型基础上的数据库,借助于集合代数等数学概念和方法来处理数据库中的数据。
MySQL使用sphinxSE连接SPHINX引擎时的问题
bigftao的博客
09-18 402
MySQL中使用sphinxSE连接sphinx引擎时可能报如下错误: ERROR 1429 (HY000): Unable to connect to foreign data source: failed to connect to searchd (host=x.x.x.x, errno=13, port= 在保证searchd服务正常启动以及防火墙端口以开放的情况下,如果仍然有此错误则可能是SELinux安全问题。可以尝试如下命令: setsebool -P mysql_connect_any
selinux关闭后mysql_CentOS7中关闭selinux
weixin_32565397的博客
02-11 300
在centos7系统中,安装了php+apache+mysql,然后也配置了虚拟目录做多个网站。需要解决的问题是:没有关闭selinux时php在网站根目录没有写入权限,站点根目录的权限设置了 777 也不行。只需要关闭selinux就可以了。但是通常情况下载安装完CentOS7后,默认情况下SElinux是启用状态:[root@localhos ~t]# sestatusSELinux stat...
selinux mysql_开启SELinux下启动Mysql
weixin_34382844的博客
01-19 551
前言:今日在部署mysql应用时,遇到mysql无法启动错误环境:系统:centos 6.8 x64mysqlmysql 5.7问题:采用mysql 官方yum 源安装mysql5.7,安装后修改了my.cnf 默认的datadir 路径为自定义目录。启动mysql 报datadir 目录无权限,错误信息如下。Initializing MySQL database: mysqld: Can't...
pre_o_1csdn63m9a1bs0e1rr51niuu33e.a
最新发布
05-15
pre_o_1csdn63m9a1bs0e1rr51niuu33e.a
mysql为什么要关闭seLinux
07-08
MySQL关闭SELinux的原因主要是为了简化和提高数据库的部署和管理过程。 SELinux(Security-Enhanced Linux)是一种强制访问控制(MAC)机制,用于加强Linux系统的安全性。它通过在内核层面实施强制访问策略来限制进程的权限,以防止恶意操作和安全漏洞的利用。然而,对于MySQL等数据库应用程序来说,SELinux的策略可能会引入一些限制和不必要的复杂性。 以下是关闭SELinux的一些原因: 1. 简化权限管理:启用SELinux会引入额外的权限管理和策略配置。对于数据库管理员来说,管理这些额外的权限可能会增加复杂性,并且需要更多的时间和资源来配置和维护SELinux规则。关闭SELinux可以减轻这种负担,简化权限管理过程。 2. 避免潜在冲突:在某些情况下,SELinux的策略可能与MySQL的操作和访问模式存在冲突。这可能导致一些合法的数据库操作被拦截或限制,从而影响数据库的正常运行。关闭SELinux可以避免这些潜在的冲突,并确保数据库系统能够顺利运行。 需要注意的是,关闭SELinux并不意味着放弃系统的安全性。关闭SELinux后,仍然可以采取其他安全措施来保护数据库系统,例如通过网络防火墙、访问控制列表(ACL)等方式来限制对MySQL端口和文件的访问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值