mysql selinux crash_mysql由于SELinux启动失败

最新推荐文章于 2021-02-22 22:56:37 发布
最新推荐文章于 2021-02-22 22:56:37 发布
阅读量134 收藏
点赞数
文章标签: mysql selinux crash
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39593340/article/details/113235515
版权

系统:REAS4.7  64位

mysql:5.125

今天mysql突然无法启动,错误日志非常精简,让人摸不着头脑,后来发现/var/log/message中报下面的错误

1.Dec    8 16:24:28 localhost kernel: audit(1165566268.356:0): avc:    denied    { write } for    pid=3680 exe=/usr/sbin/mysqld name=mysql dev=dm-0 ino=1849 scontext=root:system_r:mysqld_t tcontext=root:object_r:var_lib_t tclass=dir

2.Dec    8 16:24:28 localhost kernel: audit(1165566268.361:0): avc:    denied    { write } for    pid=3680 exe=/usr/sbin/mysqld name=mysql dev=dm-0 ino=1849 scontext=root:system_r:mysqld_t tcontext=root:object_r:var_lib_t tclass=dir

3.Dec    8 16:24:28 localhost kernel: audit(1165566268.459:0): avc:    denied    { write } for    pid=3680 exe=/usr/sbin/mysqld name=mysql dev=dm-0 ino=1849 scontext=root:system_r:mysqld_t tcontext=root:object_r:var_lib_t tclass=dir

4.Dec    8 16:25:03 localhost lsb_log_message:    failed

5.Dec    8 16:46:57 localhost sshd(pam_unix)[3803]: session opened for user root by root(uid=0)

后来经过排查,是由于selinux启动了造成的。

rhel 4 包括了一个 SELinux 的实现。SELinux 代表了用户,程序以及进程间相互交流的主要变化, 他使用在 ext2/ext3 文件系统上的扩展属性来支持 SELinux。当一个文件被写到默认挂载的 ext2/ext3 文件系统中时,一个扩展的属性也会被写入。看上面的日志可以知道,/var/lib/mysql目录是var_lib_t类型,而selinux为了安全性只允许mysql进程访问mysqld_t类型的文件或目录,然而又去/etc/selinux/config里disabled掉selinux后(临时关闭selinux方法:setenforce 0),一切都正常了。或者还可以更改/var/lib/mysql目录属性为mysqld_t也可以。

1. Apache - Document root must be a directory 问题。

有可能和这个问题并发的问题还有 403 Forbidden 禁止访问的问题。

现象描述:

不使用系统默认的 /var/www/html作为系统的Document Root,自己新建一个目录后修改 /etc/httpd/conf/httpd.conf 中的配置,然后重起Apache的Daemon,发现Apache无法起动,系统报错:

Document root must be a directory

但是,我们设置的DocumentRoot 的确是一个目录,而且apache用户具有可读权限。

另一种情况:新建一个虚拟目录或文件后,无法访问,显示 Forbidden, 403 Error,但文件或目录有可读权限。

问题产生的原因:

一开始我想来想去想不出为什么,但是给我感觉是权限的问题,用传统的Linux的思维方式来看,权限绝对没有问题。但是仔细一想,SELinux是不是会有其他安全的设定?

检查 avc message,查看 /var/log/messages文件,发现有类似以下内容的这样一段:

Dec 24 17:54:59 hostname kernel: audit(1098222899.827:0): avc: \

denied { getattr } for pid=19029 exe=/usr/sbin/httpd \

path=/var/www/html/about.html dev=dm-0 ino=373900 \

scontext=root:system_r:httpd_t tcontext=user_ubject_r:user_home_t \

tclass=file

嘿嘿,问题找到了,果然是SELinux的新特性搞的鬼。我把目录或文件设成了user_home_t类型,因此apache的进程没有权限,无法访问。针对Apache的进程所使用的SELinux target policy规定了apache的进程只能访问httpd_sys_content_t类型的目录或文件。

解决办法:

很简单,把目录或文件的策略类型改成 httpd_sys_content_t 就可以了

使用root用户

# chcon -t httpd_sys_content_t 目录名或文件名

然后可以用 ls -laZ 命令查看文件目录的策略类型

chcon - change file SELinux security context

weixin_39593340
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CentOS 7下MySQL服务启动失败的快速解决方法
09-10
然而,有时可能会遇到MySQL服务启动失败的问题,这可能会对业务连续性和数据访问造成严重影响。本文将详细介绍如何快速解决CentOS 7下MySQL服务启动失败的问题。 首先,当MySQL服务启动失败时,系统通常会提供一些...
selinux_permissive:将SELinux切换到许可模式的Magisk模块
05-07
SELinux允许的该模块在...如何安装: 稳定发布: 从发布页面最新的selinux_permissive.zip MagiskManager->模块+ Downloads / selinux_permissive.zip->重新启动主分支: git clone cd selinux_permissive 进行安装支持
mysql selinux crash_记一次mysql启动失败分析和处理 - 原因:SElinux
weixin_34476159的博客
01-19 189
在51、52、54三台主机上搭建Galera集群,在54上安装mysql并能成功启动,但在51、52上始终无法启动,能看到的日志也非常少。Feb 28 16:45:19 localhost systemd: Starting LSB: start and stop MySQL...Feb 28 16:45:19 localhost mysql: Starting MySQL.170228 16:4...
centos selinux mysql_无法使用SELinux启动Mysql
weixin_29557763的博客
01-20 257
我试图在CentOS 6上使用SELinux启动MySQL但是我收到以下错误.131212 09:08:08 mysqld_safe mysqld from pid file /var/run/mysqld/mysqld.pid ended131212 09:08:58 mysqld_safe Starting mysqld daemon with databases from /u/mysql1...
[翻译]SELinux之于MySQL
perljoker的博客
06-04 271
译序   这是本人被折磨2天以后,才定位到SELinux的问题,然后痛苦挣扎时候搜到的E文,觉得很好,于是翻译之,用来共享,同时感谢“她”帮我做的一部分翻译。   原文参见这里:SELinux and MySQL 作者是 Jeremy Smyth on Mar 22, 2013   以下是译文   =========================================...
centos selinux mysql_请教:CentOS 下 Mysql 无法启动, selinux 为disabled
weixin_39777540的博客
02-06 90
错误信息为:[root@server1 ~]# cat /usr/local/mysql/var/server1.err160916 12:17:12 mysqld_safe Starting mysqld daemon with databases from /usr/local/mysql/var2016-09-16 12:17:12 0 [Warning] TIMESTAMP with im...
MYSQL服务在linux下无法启动
u014249400的专栏
12-12 1147
MYSQL服务在linux下无法启动 一、SELinux安全机制导致 报错:MySQL Daemon failed to start 用命令getenforce命令查看SELinux状态,如果是Permissive,则是关闭状态,若是Enforcing则是开启状态,上图数据库启动状态SELinux肯定是开启状态,由于linux系统安全机制SELinux打开,导致mysql服务无法启动。 ...
selinux-example_SELinux_
09-28
**SELinux:Linux安全增强系统详解** 在深入探讨SELinux之前,我们首先需要理解它的全称:Security-Enhanced Linux,即安全增强型Linux。它是一种强制访问控制(MAC)系统,由美国国家安全局(NSA)开发,旨在提高...
selinux_internal.rar_SELinux_The First
09-14
"SELinux_The First" 指的可能是对SELinux的初步理解和应用,特别是针对首次调用(call)的处理。 在描述中提到的"Call handler iff the first call",可能是指在系统启动或某个服务开始运行时,只在第一次调用特定...
The_SELinux_Notebook-4th_Edition.zip_SELinux_selinux pdf downloa
09-25
例如,Apache HTTP Server和MySQL数据库服务都需要特定的策略规则才能在SELinux环境中正常工作。 **五、SELinux的挑战** 虽然SELinux提高了系统的安全性,但它也可能导致一些权限问题,尤其是对不熟悉这个系统的...
SELinux Mysql的error-log文件位置的指定
weixin_30564901的博客
03-08 87
SELinux下,在配置my.cnf时,必须指定error-log的位置在/var/log/下, 否则error的默认位置为例如 /var/lib/mysql下的tyoyi.server.err文件, 但是这个文件不能被写入日志内容(目前还不知道为啥,但肯定是某种权限问题), 从而导致mysql启动不起来。 转载于:https://www.cnblogs.com/tyoyi/p/432222...
Linux haldaemon服务
weixin_34208185的博客
04-04 3777
这几天搞一个问题,鼠标键盘不可用。最后调查发现是因为haldaemon服务被关闭导致。从网上查了些资料,总结如下: haldaemon服务&无法启动的解决http://linux.chinaunix.net/techdoc/install/2008/10/27/1041157.shtml Fedra Core最大的特点是能够自动挂载优盘或移动硬盘之类的存储设备。在...
2.6 Linux中内核级加强型火墙的管理
weixin_47133613的博客
02-22 139
文章目录1. 关闭、开启selinux的区别2. Selinux的影响3. selinux的状态及管理4. selinux的安全上下文4.1 临时修改安全上下文4.2 永久修改安全上下文5. SEBOOL6. SEPORT 实验环境 初始化ftp服务 rm -fr /etc/vsftp/ dnf reinstall vsftpd -y chgrp ftp /var/ftp/pub chmod 775 /var/ftp/pub 修改12行:anonymous_enable=YES允许匿名用户上传 修改29行
解决selinux的警告
良玉的博客
07-18 7438
Nagios  and SELinux Nagios 3.2.0    CentOS 5.4 在开启SELinux的情况下,SELlinux不断警告: tail /var/log/messages Mar 9 23:58:53 wingwu setroubleshootSELinux is preventing ping (ping_t) "read write
Android SELinux avc denied解决
wuzoujing的专栏
04-26 7266
参考:Android SELinux avc dennied权限问题解决方法 解决原则:缺什么权限补什么,直到没有avc denied为止。 解决方法:在对应的.te中增加allow语句。 格式一般如下: avc: denied { 操作权限 } for pid=7201 comm=“进程名” scontext=u:r:源类型:s0 tcontext=u:r:目标类型:s0 t...
redhat linux 6中setroubleshoot 与 audit 关系
weixin_33875839的博客
08-28 196
最近在看Linux selinux 对于setroubleshoot与audit不是十分理解。找到如下官方解释 https://access.redhat.com/site/documentation/en-US/Red_Hat_Enterprise_Linux/6/html-single/Security-Enhanced_Linux/index.html#sect-Se...
Linux -- SELinux相关问题解决办法
weixin_34101784的博客
09-18 1823
一、如何解决SELinux问题?说起SELinux,多数Linux发行版缺省都激活了它,可见它对系统安全的重要性,可惜由于它本身有一定的复杂性,如果不熟悉的话往往会产生一些看似莫名其妙的问题,导致人们常常放弃使用它,为了不因噎废食,学学如何解决SELinux问题是很有必要的。我们以CentOS环境为例重现一个非常常见的SELinux问题:首先需要确认SELinux处于激活状态...
Linux进阶_安全加固SELinux
Not Found 404
06-24 655
讲师_@王晓春 本意内容SELinuxSELinux介绍配置SELinux命令:getenforce命令:setenforce命令:sestatus命令:restorecon命令:getsebool命令:setsebool命令:seinfo命令:semanage命令:chcon命令:sesearchSELinux日志管理SELinux帮助练习 SELinux SELinux介绍 SELinux:...
selinux dac_override
最新发布
10-18
SELinux是一种安全增强的Linux内核模块,它可以限制进程的访问权限,包括文件、网络、进程等。而dac_override是SELinux中的一个安全策略,它可以允许进程绕过文件权限检查,即使进程没有文件的读写权限,也可以读写...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值