SELinux与MySQL--发表在爱可生开源社区

https://mp.weixin.qq.com/s/6o4XMWbcFDqZcQHPSRdXrw

为了提高Linux系统的安全性,在Linux 上通常会使用SELinux或AppArmor实现强制访问控制(Mandatory Access Control MAC)。对于MySQL数据库的强制访问控制策略通常是激活的,如果用户采用默认的配置,并不会感到强制访问控制策略对MySQL数据库的影响,但一旦用户修改了MySQL数据库的默认配置,例如默认的数据目录或监听端口,MySQL数据库的活动就会被SELinux或AppArmor阻止,数据库无法启动,本文简单介绍SELinux对MySQL数据库的影响。

SELinux

SELinux的简介

SELinux(Secure Enhanced Linux)是一个内核级的安全机制,从2.6内核之后,集成到Linux内核中。它允许管理员细粒度地定义访问控制,未经定义的访问一律禁止。
SELinux有三种工作模式:

  1. enforcing:强制模式。任何违反策略的行为都会被禁止,并且产生警告信息。
  2. permissive:允许模式。违反策略的行为不会被禁止,只产生警告信息。
  3. disabled:关闭SELinux。
    使用 getenforce 命令来显示 SELinux 的当前模式。更改模式使用 setenforce 0(设置为允许模式)或 setenforce 1(强制模式)。这些设置重启后就会失效,可以编辑/etc/selinux/config配置文件并设置SELINUX变量为enforcing、permissive或disabled,保存设置让其重启后也有效。
    使用下面的命令查看SELinux 的状态:
# sestatus
SELinux status:                 enabled
SELinuxfs mount:                /sys/fs/selinux
SELinux root directory:         /etc/selinux
Loaded policy name:             targeted
Current mode:                   enforcing
Mode from config file:          enforcing
Policy MLS status:              enabled
Policy deny_unknown status:     allowed
Max kernel policy version:      28

SELinux与MySQL

查看MySQL的SELinux的上下文

可以使用ps -Z查看mysqld进程的SELinux的上下文:

# ps -eZ | grep mysqld
system_u:system_r:mysqld_t:s0    2381 ?        00:01:00 mysqld

也可以使用ls -Z查看MySQL数据目录的SELinux的上下文:

# ls -dZ /var/lib/mysql
drwxr-x--x. mysql mysql system_u:object_r:mysqld_db_t:s0 /var/lib/mysql

参数说明:
system_u是系统进程和对象的SELinux用户标识。
system_r是用于系统进程的SELinux角色。
objects_r是用于系统对象的SELinux角色。
mysqld_t是与mysqld进程相关的SELinux类型。
mysqld_db_t是与MySQL数据目录相关的SELinux类型。

修改对MySQL数据目录的访问控制

如果我们把MySQL数据目录从默认的/var/lib/mysql改成其他目录,如/disk1/data,SELinux将会阻止mysqld进程访问新的数据目录,从而造成MySQL无法启动,相关拒绝访问的信息记录在/var/log/audit/audit.log文件中:

# grep mysql /var/log/audit/audit.log  |grep denied
type=AVC msg=audit(1609212427.622:104): avc:  denied  { write } for  pid=2218 comm="mysqld" name="data" dev="dm-0" ino=217976179 scontext=system_u:system_r:mysqld_t:s0 tcontext=system_u:object_r:default_t:s0 tclass=dir
type=AVC msg=audit(1609212427.627:105): avc:  denied  { write } for  pid=2218 comm="mysqld" name="data" dev="dm-0" ino=217976179 scontext=system_u:system_r:mysqld_t:s0 tcontext=system_u:object_r:default_t:s0 tclass=dir
type=AVC msg=audit(1609212427.628:106): avc:  denied  { read write } for  pid=2218 comm="mysqld" name="binlog.index" dev="dm-0" ino=202759631 scontext=system_u:system_r:mysqld_t:s0 tcontext=system_u:object_r:default_t:s0 tclass=file

可以SELinux关闭或改成允许模式后再启动MySQL数据库,但这种方法通常不推荐,因为这样会把所有的SELinux的安全策略都终止了,留下了安全隐患。更专业的做法是把新的MySQL数据目录增加到mysqld_db_t 这个SELinux类型中,例如使用semanage fcontext命令的-a选项增加一个目录为“/disk1/data”的MySQL数据目录,然后使用命令restorecon恢复这个数据目录对应的SELinux上下文,代码如图所示:

# semanage fcontext -a -t mysqld_db_t “/disk1/data(/.*)?”
# restorecon -Rv /disk1/data

然后可以用semanage fcontext命令的-l选项进行检查,发现mysqld_db_t这个类型现在有两条记录,分别是系统默认的和刚才增加的:

# semanage fcontext -l|grep mysqld_db_t
/var/lib/mysql(/.*)?                               all files          system_u:object_r:mysqld_db_t:s0 
/disk1/data(/.*)?                                  all files          system_u:object_r:mysqld_db_t:s0 

再启动mysqld即可成功!

修改对MySQL其他对象的访问控制

除了可以修改对MySQL数据目录的访问控制外,还可以采用类似的方法修改对其他MySQL对象的访问控制,例如:
控制MySQL的错误日志的类型是mysqld_log_t,采用下面的命令增加MySQL的错误日志的记录:

semanage fcontext -a -t mysqld_log_t "/path/to/my/custom/error.log"
restorecon -Rv /path/to/my/custom/error.log

控制MySQL的PID文件的类型是mysqld_var_run_t ,采用下面的命令增加MySQL的PID文件的记录:

semanage fcontext -a -t mysqld_var_run_t "/path/to/my/custom/pidfile/directory/.*?"
restorecon -Rv /path/to/my/custom/pidfile/directory

控制MySQL的监听端口的类型是mysqld_port_t ,采用下面的命令增加一个3307的监听端口:

semanage port -a -t mysqld_port_t -p tcp 3307
姚远ACE CSDN认证博客专家 ACE 华为云 MVP
Oracle ACE,华为云 MVP,Oracle10g,12c OCM; MySQL 5.6,5.7,8.0 OCP;CCNA; EMC Certified; IBM P Certified; RHCE; SQLServer 764; DB2 Certified; TOEIC 890;获得过两次国家部级科技进步奖;发明过两项计算机专利。微信:yaoyuanace 邮箱:yaoyuanace(at)qq.com
已标记关键词 清除标记
©️2020 CSDN 皮肤主题: Age of Ai 设计师:meimeiellie 返回首页