前言
SELinux是什么
安全增强型 Linux(SELinux)是一种采用安全架构的 Linux® 系统,它能够让管理员更好地管控哪些人可以访问系统。它最初是作为 Linux 内核的一系列补丁,由美国国家安全局(NSA)利用 Linux 安全模块(LSM)开发而成。
SELinux工作原理
SELinux 定义了每个人对系统上的应用、进程和文件的访问控制。利用安全策略(一组告知 SELinux 哪些能访问,哪些不能访问的规则)来强制执行策略所允许的访问。
当应用或进程(称为主体)发出访问对象(如文件)的请求时,SELinux 会检查访问向量缓存(AVC),其中缓存有主体和对象的访问权限。
开启 SELinux 可以提升系统的安全性,但同时也会带来一些问题。在特定场景有的人会选择关闭 SELinux 以换取更好的兼容性。
在GreatSQL的安装手册里,就有关闭 SELinux 这一步。- #关闭selinux
- $ setenforce 0
- $ sed -i '/^SELINUX=/c'SELINUX=disabled /etc/selinux/config
复制代码 不禁让人好奇,这个 SELinux 安全模块,如果不关闭会产生什么问题,在使用时有哪些需要注意的地方。于是我特意尝试了一下,看看会出现哪些问题。
问题发现
为了发现问题,我特意选择在用户目录(/root)下载、加压 GreatSQL 二进制压缩包,然后再移动到指定目录使用。- cd /root
- wegt https://***.***/greatsql.tar.gz
- tar -xvf greatsql.tar.gz
- mv /root/greatsql /usr/local/
复制代码 安装过程一切顺利,数据库正常启动了,但是在配置 systemd 进程守护的时候出现了问题。
greatsql.service文件:- vim /usr/lib/systemd/system/greatsql.service
- [Unit]
- Description=GreatSQL Server
- After=network.target
- After=syslog.target
- [Install]
- WantedBy=multi-user.target
- [Service]
- User=greatsql
- Group=greatsql
- # Have mysqld write its state to the systemd notify socket
- Type=notify
- # Disable service start and stop timeout logic of systemd for mysqld service.
- TimeoutSec=0
- # Start main service
- ExecStart=/usr/local/mysql/bin/mysqld --defaults-file=/etc/my.cnf $MYSQLD_OPTS
- # Use this to switch malloc implementation
- #EnvironmentFile=-/etc/sysconfig/mysql
- # Sets open_files_limit
- LimitNOFILE = 10000
- Restart=on-failure
- RestartPreventExitStatus=1
- # Set environment variable MYSQLD_PARENT_PID. This is required for restart.
- Environment=MYSQLD_PARENT_PID=1
- PrivateTmp=false
复制代码 用 systemctl start greatsql 启动数据库的时候报错以下错误。- [root@Linux ~]# systemctl restart greatsql
- Job for greatsql.service failed because the control process exited with error code.
- See "systemctl status greatsql.service" and "journalctl -xe" for details.
复制代码 直接运行mysqld没问题但是使用systemctl 就启动不了。
根据上面的报错,查看一下 greatsql systemd的状态和相关日志- [root@gip Linux]# systemctl status greatsql.service
- ● greatsql.service
- Loaded: loaded (/usr/lib/systemd/system/greatsql.service; bad; vendor preset: disabled)
- Active: failed (Result: exit-code) since Tue 2023-01-10 16:00:06 CST; 17s ago
- Process: 147226 ExecStart=/usr/local/greatsql/bin/mysqld --defaults-file=/etc/my.cnf $MYSQLD_OPTS (code=exited, status=203/EXEC)
- Main PID: 147226 (code=exited, status=203/EXEC)
- Jan 10 16:00:06 gip systemd[1]: greatsql.service: Service RestartSec=100ms expired, scheduling restart.
- Jan 10 16:00:06 gip systemd[1]: greatsql.service: Scheduled restart job, restart counter is at 5.
- Jan 10 16:00:06 gip systemd[1]: Stopped greatsql.service.
- Jan 10 16:00:06 gip systemd[1]: greatsql.service: Start request repeated too quickly.
- Jan 10 16:00:06 gip systemd[1]: greatsql.service: Failed with result 'exit-code'.
- Jan 10 16:00:06 gip systemd[1]: Failed to start greatsql.service.
复制代码 通过查看上述信息,可以得知 程序启动的时候抛出了报错。- Main PID: 147226 (code=exited, status=203/EXEC)
复制代码 通过上网收索可以得知,status=203/EXEC 报错可能和权限不足有关,记一下这里的PID。
我们继续查看一下相关日志证实一下。- [root@Linux ~]# journalctl _PID=13386
- -- Logs begin at Tue 2023-01-10 16:54:11 CST, end at Tue 2023-01-10 17:09:15 CST. --
- Jan 10 17:00:36 gip systemd[13386]: greatsql.service: Failed to execute command: Permission denied
- Jan 10 17:00:36 gip systemd[13386]: greatsql.service: Failed at step EXEC spawning /usr/local/greatsql/bin/mysqld: Permission denied
复制代码 可以看到确实是权限不足。
但是奇怪的事情来了,通过查看文件权限发现权限并没有问题。- [root@GreatSQL bin]# ls -lah |grep mysql
- -rwxr-xr-x. 1 root root 6.9M 4月 29 2022 mysql
- -rwxr-xr-x. 1 root root 6.8M 4月 29 2022 mysqladmin
- -rwxr-xr-x. 1 root root 7.1M 4月 29 2022 mysqlbinlog
- -rwxr-xr-x. 1 root root 6.8M 4月 29 2022 mysqlcheck
- -rwxr-xr-x. 1 root root 6.3K 4月 29 2022 mysqld_pre_systemd
- -rwxr-xr-x. 1 root root 34K 4月 29 2022 mysqld_safe
- -rwxr-xr-x. 1 root root 6.9M 4月 29 2022 mysqldump
- -rwxr-xr-x. 1 root root 1.7K 4月 29 2022 mysqldumpslow
- ***后省略***
复制代码 即便把权限改成755,甚至777 也还是会报一样的错误。- chown -R mysql:mysql /usr/local/mysql
- chmod 755 -R /usr/local/mysql
复制代码 问题原因
后面我有检查了所有相关文件的权限,都没问题,但是程序还是会报权限不足。
在网上翻阅了资料,发现了问题产生原因。
是SELinux 的问题, 因为我的二进制文件是先下载到 /root 目录,然后才移到 /usr/local/greatsql目录,从/root目录移动到/usr/local/目录时它们的 SELinux 上下文不会自动变更,依然是用户主目录。所以出现了权限问题。
解决方法:- #恢复文件的安全上下文
- restorecon -rv /usr/local/greatsql
复制代码 总结
可执行文件是先存放在用户目录,然后移动到别的目录。文件的 SELinux 上下文不会自动变更,依然是用户目录。
这就导致了,能直接运行,但是通过 systemd 启动时仍然报 Permission denied权限不足的问题。
解决方法就是用restorecon命令用来恢复SELinux文件属性相关链接:
解决文件权限正确,但 systemd 服务仍然提示没有权限,启动失败。
一文带你看懂 SELinux 是什么? (redhat.com)
Enjoy GreatSQL
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! |