mysql 宽容模式_mysql相关selinux安全上下文规则修改

最新推荐文章于 2024-06-26 11:32:04 发布
最新推荐文章于 2024-06-26 11:32:04 发布
阅读量354 收藏
点赞数
文章标签: mysql 宽容模式
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_32458131/article/details/114795314
版权
本文介绍了Selinux的基本概念及其三种运行模式,详细讲解了如何通过chcon、restorecon和semanage命令管理安全上下文。在Selinux环境下,MySQL进程的domain标签为mysqld_t,其能访问的资源包括数据库数据文件、配置文件等,这些文件需要特定的标签。此外,文章还提到了与MySQL相关的Selinux布尔变量,这些变量控制着不同服务能否连接数据库。
摘要由CSDN通过智能技术生成

selinux基本概念

selinux是Security Enhanced Linux (安全强化 Linux)的简称,selinux涉及到主体(subject,一般指进程)、操作(operation)、对象(object,又称资源,如:文件、网络端口),selinux用于控制“主体”能以何种“操作”方式访问什么“对象”。

selinux环境中,所有的“主体(进程)”被赋予一个“domain”标签,所有的“对象”也被赋予一个“type”类型标签,“domain”标定的“主体”能访问哪些“type”标定的“对象”,由selinux的安全策略定义。

selinux三种状态

Enforcing:强制模式,selinux正严格按照策略运行中;

Permissive:宽容模式,selinux正在运行中,但是只记录日志,不执行实际限制;

Disabled:禁用模式,selinux环境未被开启;

查看selinux的状态:

getenforce

安全上下文命令

selinux针对文件的规则由安全上下文来管控,selinux安全上下文的三个主要命令:

1、chcon命令

临时修改selinux的安全上下文,一般不用。

chcon [-R] [-t type] [-u user] [-r role] 文件

chcom [-R] --reference=范例文件 文件

# 相关参数与选项

-R:连同该目录下的子目录也同时修改

-t:后面接安全上下文的类型栏位。例如:httpd_sys_content_t

-u:后面接身份识别(不重要)。例如:system_u

-r:后面接角色(不重要)。例如:system_r

-v:若有变动成功,将变动的结果列出来

--reference:拿某个文件当范例来修改后续接的文件的类型

2、restorecon命令

让文件的SELinux类型恢复为默认的SELinux类型,默认的SELinux类型由semanage命令所配置的规则所确定。当新配置了selinux安全上下文规则之后用改命令使之生效。

restorecon [-Rv] 文件/目录

相关参数

-R:连同子目录一起修改

-v:将过程显示到屏幕

3、semanage命令

查询/修改/增加/删除selinux安全上下文规则。主要通过该命令进行selinux的配置。

semanage [login/user/port/interface/fcontext/translation] -l

semanage fcontext -{a/d/m} [-frst] file_spec

相关参数与选项

-l:查询

fcontext:主要用在安全上下文方面的用途(常用的)

-a:增加的意思,你可以增加一些目录的默认安全上下文类型设置

-m:修改的意思

-d:删除的意思

MySQL用到的selinux标签

1、mysql进程主体的domain标签:

在selinux环境中,mysqld的“domain”标签为“mysqld_t”、mysqld在受限的“mysqld_t”域中仅能访问指定的资源;

2、selinux环境中mysql能访问的资源标签:

mysqld_db_t 这种文件类型用于标记MySQL数据库数据文件;

在RHEL/CentOS中数据文件的默认位置是“/var/lib/mysql”;

如果修改了MySQL数据文件的位置,新的位置必须使用这种类型标签;

mysqld_etc_t 这种文件类型用于标记MySQL的配置文件;

默认位置为:

主配置文件:“/etc/my.cnf”;

其他配置文件:“/etc/my.cnf.d/”目录下的文件;

mysqld_exec_t 这种文件类型用于标记MySQL主进程文件;

默认为:“/usr/libexec/mysqld”或者“/usr/sbin/mysqld”;

可以通过“whereis mysqld”命令查找;

mysqld_initrc_exec_t 这种文件类型用于标记MySQL的初始化脚本;

默认为:“/etc/rc.d/init.d/mysqld”;

“service mysqld start”中“mysqld”用的就是此脚本;

mysqld_log_t 这种文件类型用于标记日志文件;

mysqld_var_run_t 这种文件类型用于标记MySQL运行时产生的文件;

默认在“/var/run/mysqld”目录中,主要包括:

/var/run/mysqld/mysqld.pid

/var/run/mysqld/mysqld.sock

3、selinux中mysq的布尔变量:

allow_user_mysql_connect 当这个变量值为“1”时允许用户连接数据库;

exim_can_connect_db 当这个变量值为“1”时允许exim邮件程序访问数据库服务器;

ftpd_connect_db 当这个变量值为“1”时允许ftpd进程访问数据库服务器;

httpd_can_network_connect_db 当这个变量值为“1”时允许httpd进程访问数据库服务器;

伟大的伟大大
关注
SELinux系列(七)——SELinux安全上下文修改和设置(chcon和restorecon命令)
请大家直接把问题写在评论区或留言,不要只说一句"你好 或 在吗",我会尽快回复的。
08-06 2259
安全上下文修改是我们必须掌握的,其实也并不难,主要是通过两个命令来实现的。 chcon 命令格式如下: [root@localhost ~]# chcon [选项] 文件或目录 选项: -R: 递归,当前目录和目录下的所有子文件同时设置; -t: 修改安全上下文的类型字段,最常用; -u: 修改安全上下文的身份字段; -r: 修改安全上下文的角色字段; 举个例子: 在我们的apache web服务器 建立一个网页文件,并写入“test page!.
selinux常见问题修改
weixin_45932426的博客
06-02 420
SEAndroid包含有三个主要的模块,分别是安全上下文(Security Context)、安全策略(SEAndroid Policy)和安全服务(Security Server)下面对其简介 •安全上下文(Security Context)实际上就是一个附加在对象上的标签(Tag)这个标签实际上就是一个字符串,它由四部分内容组成,分别是SELinux用户、SELinux角色、类型、安全级别,每一个部分都通过一个冒号来分隔,在安全上下文最重要的type 格式为: “user:role:type:sensi
暴力修改SElinux权限
嵌入式Linux
04-23 1562
平台版本 SDK版本 版本名称 9.0 28 Pie (Android P) 8.1 27 Oreo(Android O)(奥利奥) 8.0 26 Oreo(Android O)(奥利奥) 7.1 25 Nougat(Android N)(牛轧糖) 7.0 24 Nougat(Android N)(牛轧糖) 6.0 23 Marshmallow(Android M)(棉花糖) 5.1 22 Lol...
因为修改linux selinux修改错误产生的问题及解决办法
weixin_33727510的博客
09-16 189
会出现这个错误: not syncing attempted to kill init   解决办法是: 开机后一直按e 然后按这个修改: https://www.deep-silver.com/kernel-panic-syncing-attempted-to-kill-init/ ...
修改selinux参数错误导致系统无法正常启动
小卒过河
01-20 2570
1、错误原因 配置关闭SELinux,结果误操作,应修改配置文件/etc/selinux/config中的“SELINUX”参数的值,SELINUX=enforcing 原始配置SELINUX=disabled 正确 但是误将“SELINUXTYPE”看成“SELINUX”,设置了SELINUXTYPE参数: #SELINUXTYPE=targeted 原始配置 这个不必修改SELINUXTYPE=disabled 错误 重启后机器就报 Failed to load SELinux..
The_SELinux_Notebook-4th_Edition.zip_SELinux_selinux pdf downloa
09-25
2. **策略模块**:策略由一系列规则组成,这些规则定义了安全上下文和访问权限。策略模块可以是预编译的,也可以通过SETools工具(如semodule)进行定制和加载。 3. **审计日志**:违反策略的行为会被记录在audit....
mysql修改数据库默认路径无法启动问题的解决
12-16
在进行任何系统级别的配置更改时,都要检查和确认SELinux上下文是否正确,以避免出现权限问题导致的服务中断。同时,了解如何使用`chcon`命令和其他相关工具来管理和调试SELinux策略,对于系统管理员来说是必备的...
chcon mysql_Linux中的SELinux与chcon以及Samba实现【转】
weixin_42126677的博客
02-23 467
一、SELinuxSElinux的前身是NSA(美国国家安全局)发起的一个项目。它的目的是将系统加固到可以达到军方级别。为什么NSA选择Linux呢?在目前市面上大多数操作系统都是商用闭源的,只有Linux是开源的,这样修改并加入这项功能就方便许多,而且没有版权纠纷。所以,现在selinux就成为了Linux内核的一部分。在了解selinux之间,我们需要知道DAC和CS的概念,它们是linux系...
Mysql修改datadir导致无法启动问题解决方法
09-10
2. **使用`chcon`命令**:你可以临时改变目录的SELinux上下文,让MySQL可以访问。例如,如果MySQL的默认`datadir`上下文是`mysql_db_t`,可以运行: ``` chcon -Rv --type=mysql_db_t /mnt/hgfs/mysql_data ``` ...
cheat_sheet_selinux_v2_cheat_V2_
09-28
1. **sestatus**:查看SELinux的状态、策略版本、当前安全上下文等信息。 2. **audit2why**:分析审计日志,解释为何发生某个访问拒绝事件。 3. **audit2allow**:根据审计日志生成修复策略建议。 4. **chcon**:...
设置SElinux规则
CSTG_bigCup的博客
07-26 315
getsebool 查看规则对应的bool值 ex: getsebool httpd_enable_homedirs setsebool 设置规则的bool值 ex: setsebool -P http_enable_homedirs 1 -P表示将修改写进配置文件中 ...
mysql selinux crash_SElinux 安全策略 引发的mysql数据库无法启动。
weixin_39941859的博客
01-19 201
最近在一台linux测试机上面安装的mysql,使用rpm包安装后,将/var/lib/mysql目录迁到/data/mysql,修改对应的my.cnf和/etc/init.d/mysql后启动mysql报错。10806 16:32:16 [Warning] Can't create test file/data/mysql/localhost.lower-test110806 16:32:16 ...
在Linux(CentOS)中通过配置文件修改MySQL端口号
Coin_Collecter的博客
04-13 2000
在Linux(CentOS)中通过配置文件修改MySQL端口号
解决mysql更改存储路径,以及selinux的问题
2201_76119904的博客
08-30 366
1.如果把selinux关上,更改存储路径之后,在重启肯定没有任何的问题,但如果selinux为 Enforcing 模式,再改完存储路径在重启就不适用了。6.即使改了/var/xp/mysqlselinux属性也依然如此 ,重启之后依然会报错。2.把mysql存储路径改到 /var/xp/mysql/下,只需更改这两个路径即可。只需在配置文件/etc/my.cfg,添加,在重启即可。9.mysql -uroot -p登录如果报一下错误。5.如果你就只改了mysql存储路径重启之后会报错。
MySQL8 中文参考(三十五)
最新发布
龙哥盟
06-26 1057
联邦信息处理标准 140-2(FIPS 140-2)描述了一种安全标准,联邦(美国政府)机构可能要求用于保护敏感或有价值信息的加密模块。要被视为适用于此类联邦用途,加密模块必须获得 FIPS 140-2 认证。如果旨在保护敏感数据的系统缺乏适当的 FIPS 140-2 证书,联邦机构将无法购买该系统。诸如 OpenSSL 之类的产品可以在 FIPS 模式下使用,尽管 OpenSSL 库本身未经 FIPS 验证。
Centos 7 修改 Mysql 5.7 默认端口号
m0_37048012的博客
07-30 2659
Centos 7 修改 Mysql 5.7 默认端口号
解决mysql更换数据存储目录的问题
月夜楓
10-16 960
我的mysql用的是yum安装的,开始默认的安装目录是/var/lib/mysql修改成/data3/lib/mysql:1:将/etc/my.conf有用的配置如下: [mysqld]datadir=/var/lib/mysqlsocket=/var/lib/mysql/mysql.sock# Disabling symbolic-links is recommended to prevent
MySQL数据目录迁移及权限设置指南
7. 处理SELinux上下文 如果系统启用了SELinux,必须更新相应的文件和端口上下文。首先,临时禁用SELinux的强制模式,使用`setenforce0`。然后,找到`/etc/selinux/targeted/contexts/files/file_contexts`文件中与...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值