開啟SELinux下啟動Mysql

NO IMAGE

前言:

今日在部署mysql應用時,遇到mysql無法啟動錯誤

環境:

系統:centos 6.8 x64

mysql:mysql 5.7

問題:

採用mysql 官方yum 源安裝mysql5.7,安裝後修改了my.cnf 預設的datadir 路徑為自定義目錄。

啟動mysql 報datadir 目錄無許可權,錯誤資訊如下。

Initializing MySQL database:  mysqld: Can't create directory '/data/mysql/' (Errcode: 17 - File exists)
2016-09-20T01:51:47.062108Z 0 [Warning] TIMESTAMP with implicit DEFAULT value is deprecated. 
Please use --explicit_defaults_for_timestamp server option (see documentation for more details).
2016-09-20T01:51:47.064457Z 0 [ERROR] Aborting
[FAILED]

解決方案:

確認datadir 目錄屬主 屬組均為mysql 使用者,應該不是使用者許可權的問題,這時想起SELinux 預設是開啟狀態,會不會是SELinux 的問題,為了確認問題,臨時關閉SELINUX

# setenforce 0

也可邊檢視SELINUX 日誌邊啟動mysql服務

# tail -f /var/log/audit/audit.log

確認確實是SELinux 的原因,那就來修改 datadir 自定義目錄的SELinux 標籤。

首先檢視預設目錄的SElinux 標籤

# ls -ldZ /var/lib/mysql
drwxr-x--x. mysql mysql system_u:object_r:mysqld_db_t:s0 /var/lib/mysql

設定自定義目錄的SELINUX 標籤為以上值,並確認

# chcon -Rv -u system_u -t mysqld_db_t /data/mysql
# ls -ldZ /data/mysql
drwxr-x--x. mysql mysql system_u:object_r:mysqld_db_t:s0 /data/mysql/

這樣問題應該就解決了,啟動mysql

# service mysqld start

暈,居然還是同樣的問題,再次檢視/data/mysql目錄的安全上下文

# ls -lZd /data/mysql/
drwxr-x--x. mysql mysql system_u:object_r:default_t:s0   /data/mysql/

汗,目錄的安全上下文居然變回預設值了,猜測可能是mysql啟動時重置了目錄的selinux安全上下文。

那有沒有辦法修改預設安全上下文的方法呢,只要你能想到的,就肯定是有的。

使用semanage 修改安全上下文的預設值,具體使用可見 http://man.linuxde.net/semanage

# semanage fcontext -a -t mysqld_db_t "/data/mysql(/.*)?"

接下來在將目錄的安全上下文恢復為剛剛設定的預設值即可

# restorecon -Rv /data/mysql

如果使用的是非預設埠,還需修改埠的安全上下文

# semanage port -a -t mysqld_port_t -p tcp port_number

需要修改的安全上下文標籤值,是什麼這裡就用什麼,此處mysql 用的是mysqld_db_t 如果是http類的,用的就是http_port

啟動還是報同樣的錯誤

最後要修正下安全上下文

# fixfiles restore
********************************************filespec_add:  conflicting specifications for /var/log/boot.log and /var/spool/plymouth/boot.log, using system_u:object_r:plymouthd_spool_t:s0.
******************

再次啟動mysql就可以了

亦可通過檢視selinux 文件確認修改

# grep "/data/mysql" /etc/selinux/targeted/contexts/files/file_contexts.local
/data/mysql(/.*)?    system_u:object_r:mysqld_db_t:s0
/data/mysql    system_u:object_r:mysqld_db_t:s0

按照這種方式推理,直接在file_contexts.local 檔案增加自定義目錄及對應安全上下文貌似也可以,

經驗證可行,但同樣需要執行

# fixfiles restore

總結:

遇到系統許可權問題時,首先確認使用者許可權設定是否正確,其次就要想到SELINUX 這個linux系統獨有的安全控制

selinux 太複雜,但在生產環境是一種不錯的安全機制


(adsbygoogle = window.adsbygoogle || []).push({});

function googleAdJSAtOnload() {
var element = document.createElement(“script”);
element.src = “//pagead2.googlesyndication.com/pagead/js/adsbygoogle.js”;
element.async = true;
document.body.appendChild(element);
}
if (window.addEventListener) {
window.addEventListener(“load”, googleAdJSAtOnload, false);
} else if (window.attachEvent) {
window.attachEvent(“onload”, googleAdJSAtOnload);
} else {
window.onload = googleAdJSAtOnload;
}