前言 SELinux是什麼 安全增強型 Linux(SELinux)是一種採用安全架構的 Linux® 系統,它能夠讓管理員更好地管控哪些人可以訪問系統。它最初是作為 Linux 內核的一系列補丁,由美國國家安全局(NSA)利用 Linux 安全模塊(LSM)開發而成。 SELinux工作原理 SE ...
前言
SELinux是什麼
安全增強型 Linux(SELinux)是一種採用安全架構的 Linux® 系統,它能夠讓管理員更好地管控哪些人可以訪問系統。它最初是作為 Linux 內核的一系列補丁,由美國國家安全局(NSA)利用 Linux 安全模塊(LSM)開發而成。
SELinux工作原理
SELinux 定義了每個人對系統上的應用、進程和文件的訪問控制。利用安全策略(一組告知 SELinux 哪些能訪問,哪些不能訪問的規則)來強制執行策略所允許的訪問。
當應用或進程(稱為主體)發出訪問對象(如文件)的請求時,SELinux 會檢查訪問向量緩存(AVC),其中緩存有主體和對象的訪問許可權。
開啟 SELinux 可以提升系統的安全性,但同時也會帶來一些問題。在特定場景有的人會選擇關閉 SELinux 以換取更好的相容性。
在GreatSQL的安裝手冊里,就有關閉 SELinux 這一步。
#關閉selinux
$ setenforce 0
$ sed -i '/^SELINUX=/c'SELINUX=disabled /etc/selinux/config
不禁讓人好奇,這個 SELinux 安全模塊,如果不關閉會產生什麼問題,在使用時有哪些需要註意的地方。於是我特意嘗試了一下,看看會出現哪些問題。
問題發現
為了發現問題,我特意選擇在用戶目錄(/root)下載、加壓 GreatSQL 二進位壓縮包,然後再移動到指定目錄使用。
cd /root
wegt https://***.***/greatsql.tar.gz
tar -xvf greatsql.tar.gz
mv /root/greatsql /usr/local/
安裝過程一切順利,資料庫正常啟動了,但是在配置 systemd 進程守護的時候出現了問題。
greatsql.service文件:
vim /usr/lib/systemd/system/greatsql.service
[Unit]
Description=GreatSQL Server
After=network.target
After=syslog.target
[Install]
WantedBy=multi-user.target
[Service]
User=greatsql
Group=greatsql
# Have mysqld write its state to the systemd notify socket
Type=notify
# Disable service start and stop timeout logic of systemd for mysqld service.
TimeoutSec=0
# Start main service
ExecStart=/usr/local/mysql/bin/mysqld --defaults-file=/etc/my.cnf $MYSQLD_OPTS
# Use this to switch malloc implementation
#EnvironmentFile=-/etc/sysconfig/mysql
# Sets open_files_limit
LimitNOFILE = 10000
Restart=on-failure
RestartPreventExitStatus=1
# Set environment variable MYSQLD_PARENT_PID. This is required for restart.
Environment=MYSQLD_PARENT_PID=1
PrivateTmp=false
用 systemctl start greatsql 啟動資料庫的時候報錯以下錯誤。
[root@Linux ~]# systemctl restart greatsql
Job for greatsql.service failed because the control process exited with error code.
See "systemctl status greatsql.service" and "journalctl -xe" for details.
直接運行mysqld沒問題但是使用systemctl 就啟動不了。
根據上面的報錯,查看一下 greatsql systemd的狀態和相關日誌
[root@gip Linux]# systemctl status greatsql.service
● greatsql.service
Loaded: loaded (/usr/lib/systemd/system/greatsql.service; bad; vendor preset: disabled)
Active: failed (Result: exit-code) since Tue 2023-01-10 16:00:06 CST; 17s ago
Process: 147226 ExecStart=/usr/local/greatsql/bin/mysqld --defaults-file=/etc/my.cnf $MYSQLD_OPTS (code=exited, status=203/EXEC)
Main PID: 147226 (code=exited, status=203/EXEC)
Jan 10 16:00:06 gip systemd[1]: greatsql.service: Service RestartSec=100ms expired, scheduling restart.
Jan 10 16:00:06 gip systemd[1]: greatsql.service: Scheduled restart job, restart counter is at 5.
Jan 10 16:00:06 gip systemd[1]: Stopped greatsql.service.
Jan 10 16:00:06 gip systemd[1]: greatsql.service: Start request repeated too quickly.
Jan 10 16:00:06 gip systemd[1]: greatsql.service: Failed with result 'exit-code'.
Jan 10 16:00:06 gip systemd[1]: Failed to start greatsql.service.
通過查看上述信息,可以得知 程式啟動的時候拋出了報錯。
Main PID: 147226 (code=exited, status=203/EXEC)
通過上網收索可以得知,status=203/EXEC 報錯可能和許可權不足有關,記一下這裡的PID。
我們繼續查看一下相關日誌證實一下。
[root@Linux ~]# journalctl _PID=13386
-- Logs begin at Tue 2023-01-10 16:54:11 CST, end at Tue 2023-01-10 17:09:15 CST. --
Jan 10 17:00:36 gip systemd[13386]: greatsql.service: Failed to execute command: Permission denied
Jan 10 17:00:36 gip systemd[13386]: greatsql.service: Failed at step EXEC spawning /usr/local/greatsql/bin/mysqld: Permission denied
可以看到確實是許可權不足。
但是奇怪的事情來了,通過查看文件許可權發現許可權並沒有問題。
[root@GreatSQL bin]# ls -lah |grep mysql
-rwxr-xr-x. 1 root root 6.9M 4月 29 2022 mysql
-rwxr-xr-x. 1 root root 6.8M 4月 29 2022 mysqladmin
-rwxr-xr-x. 1 root root 7.1M 4月 29 2022 mysqlbinlog
-rwxr-xr-x. 1 root root 6.8M 4月 29 2022 mysqlcheck
-rwxr-xr-x. 1 root root 6.3K 4月 29 2022 mysqld_pre_systemd
-rwxr-xr-x. 1 root root 34K 4月 29 2022 mysqld_safe
-rwxr-xr-x. 1 root root 6.9M 4月 29 2022 mysqldump
-rwxr-xr-x. 1 root root 1.7K 4月 29 2022 mysqldumpslow
***後省略***
即便把許可權改成755,甚至777 也還是會報一樣的錯誤。
chown -R mysql:mysql /usr/local/mysql
chmod 755 -R /usr/local/mysql
問題原因
後面我有檢查了所有相關文件的許可權,都沒問題,但是程式還是會報許可權不足。
在網上翻閱了資料,發現了問題產生原因。
是SELinux 的問題, 因為我的二進位文件是先下載到 /root 目錄,然後才移到 /usr/local/greatsql目錄,從/root目錄移動到/usr/local/目錄時它們的 SELinux 上下文不會自動變更,依然是用戶主目錄。所以出現了許可權問題。
解決方法:
#恢覆文件的安全上下文
restorecon -rv /usr/local/greatsql
總結
可執行文件是先存放在用戶目錄,然後移動到別的目錄。文件的 SELinux 上下文不會自動變更,依然是用戶目錄。
這就導致了,能直接運行,但是通過 systemd 啟動時仍然報 Permission denied許可權不足的問題。
解決方法就是用restorecon命令用來恢復SELinux文件屬性
restorecon -rv 目標目錄
相關鏈接:
Enjoy GreatSQL
