我在 CentOS 7 上有一个 MariaDB 服务器。该服务器应充当从属服务器并复制远程主服务器。可以通过 SSH 隧道到达远程主服务器。 SSH 隧道“入口”位于 127.0.0.1:3307。
使用 MariaDB 客户端程序连接到此端点是可行的。
但是,MariaDB 服务器无法连接。在MySQL错误日志中,我们发现:。Slave I/O: error connecting to master '[email protected]:3307' - retry-time: 60 maximum-retries: 86400 message: Can't connect to MySQL server on '127.0.0.1' (13 "Permission denied"), Internal MariaDB error code: 2003
显然,人们会立即想到 SELinux 对从 MariaDB 服务器传出的非标准连接进行拒绝。
将 SELinux 置于宽容模式(编辑/etc/selinux/config并重启)后,良好的 phociform 进程能够连接。
让我们检查/var/log/audit/audit.log哪些日志使用 SELinux 拒绝事件(以及其他事件)ausearch(有关auditd的更多信息,请参阅“简单介绍auditd”)
ausearch --comm mysqld
这给出了如下条目:
time->Wed Mar 21 18:52:53 2018
type=PROCTITLE msg=audit(1521654773.504:120): proctitle="/usr/sbin/mysqld"
type=SYSCALL msg=audit(1521654773.504:120): arch=c000003e syscall=42 success=no exit=-115 a0=41 a1=7fd1f4028ad0 a2=10 a3=72 items=0 ppid=1 pid=1342 auid=4294967295 uid=27 gid=27 euid=27 suid=27 fsuid=27 egid=27 sgid=27 fsgid=27 tty=(none) ses=4294967295 comm="mysqld" exe="/usr/sbin/mysqld" subj=system_u:system_r:mysqld_t:s0 key=(null)
type=AVC msg=audit(1521654773.504:120): avc: denied { name_connect } for pid=1342 comm="mysqld" dest=3307 scontext=system_u:system_r:mysqld_t:s0 tcontext=system_u:object_r:unreserved_port_t:s0 tclass=tcp_socket
(系统调用 42是sys_connect)
很酷。
现在我还是要读完手册(也许它甚至没有帮助),所以问题是:
我需要执行什么命令才能让 MariaDB 连接到 127.0.0.1:3307?因为我想重新启用 SELinux。
答案1
SELinux 策略控制进程可以在给定对象(如文件、设备或套接字)上执行的每个操作。如果守护程序已配置为使用非标准端口侦听或通信,则目标策略会拒绝该操作,这是理所应当的。标签用于控制端口。要查找 MariaDB 的标签,请使用,并使用其众所周知的端口号semanage过滤结果。grep
semanage port -l | grep 3306
这会产生以下输出。
mysqld_port_t tcp 1186, 3306, 63132-63164
要更改此标签的规则,请semanage再次使用端口 3307,如下所示。
semanage port -a -t mysqld_port_t -p tcp 3307
执行完上面的命令后,再次检查规则,发现3307现在是被允许的。
semanage port -l | grep 3307
这应该在端口列表中显示 3307。
mysqld_port_t tcp 3307, 1186, 3306, 63132-63164
答案2
如果该软件包setroubleshoot-server已安装(推荐),则该程序setroubleshootd将通过以下方式调用总线来自审计守护进程auditd(尽管是间接的)并给定 SELinux AVC 记录来处理:
注意setroubleshootd实际上并不是一个“守护进程”(它曾经是),而是一个如果一切安静则再次退出的活动调用程序。
setroubleshootd将记录到 syslog,您将看到 AVC 拒绝信息。默认情况下,/var/log/messages除非rsyslog进行了不同的配置,否则这将结束。
setroubleshootd也会通知总线对 SELinux 事件(例如sealertGUI 小部件)感兴趣的客户。
使用sealert检查 AVC 记录。手册页说:“两个最有用的命令行选项是 -l 用于“查找”警报 ID 和 -a 用于“分析”日志文件。”
看看/var/log/messages,人们现在会看到类似以下内容:
setroubleshoot: SELinux is preventing mysqld from
name_connect access on the tcp_socket port 3307. For complete SELinux
messages run: sealert -l 90cd70e9-0bb2-4668-b165-d5be37e26b22
..以及额外的几行非常可读的信息,这些信息被证明是sealert -l 90cd70e9-0bb2-4668-b165-d5be37e26b22.
那么让我们运行一下sealert -l 90cd70e9-0bb2-4668-b165-d5be37e26b22——这给了我们很好的建议(并不是说这个记录是在启用 SELinux 时获得的):
SELinux is preventing mysqld from name_connect access on the tcp_socket port 3307.
***** Plugin connect_ports (85.9 confidence) suggests *********************
If you want to allow mysqld to connect to network port 3307
Then you need to modify the port type.
Do
# semanage port -a -t PORT_TYPE -p tcp 3307
where PORT_TYPE is one of the following: dns_port_t, dnssec_port_t,
kerberos_port_t, mysqld_port_t, ocsp_port_t, tram_port_t.
***** Plugin catchall_boolean (7.33 confidence) suggests ******************
If you want to allow nis to enabled
Then you must tell SELinux about this by enabling the 'nis_enabled' boolean.
You can read 'None' man page for more details.
Do
setsebool -P nis_enabled 1
***** Plugin catchall_boolean (7.33 confidence) suggests ******************
If you want to allow mysql to connect any
Then you must tell SELinux about this by enabling the 'mysql_connect_any' boolean.
You can read 'None' man page for more details.
Do
setsebool -P mysql_connect_any 1
***** Plugin catchall (1.35 confidence) suggests **************************
If you believe that mysqld should be allowed name_connect access on the
port 3307 tcp_socket by default.
Then you should report this as a bug.
You can generate a local policy module to allow this access.
Do
allow this access for now by executing:
# ausearch -c 'mysqld' --raw | audit2allow -M my-mysqld
# semodule -i my-mysqld.pp
Additional Information:
Source Context system_u:system_r:mysqld_t:s0
Target Context system_u:object_r:unreserved_port_t:s0
Target Objects port 3307 [ tcp_socket ]
Source mysqld
Source Path mysqld
Port 3307
Host foobar.example.com
Source RPM Packages
Target RPM Packages
Policy RPM selinux-policy-3.13.1-166.el7_4.9.noarch
Selinux Enabled True
Policy Type targeted
Enforcing Mode Enforcing
Host Name foobar.example.com
Platform Linux foobar.example.com
3.10.0-693.21.1.el7.x86_64 #1 SMP Wed Mar 7
19:03:37 UTC 2018 x86_64 x86_64
Alert Count 36
First Seen 2018-03-22 16:04:59 CET
Last Seen 2018-03-22 16:39:59 CET
Local ID 90cd70e9-0bb2-4668-b165-d5be37e26b22
Raw Audit Messages
type=AVC msg=audit(1521733199.870:201): avc: denied { name_connect }
for pid=1352 comm="mysqld" dest=3307
scontext=system_u:system_r:mysqld_t:s0
tcontext=system_u:object_r:unreserved_port_t:s0 tclass=tcp_socket
Hash: mysqld,mysqld_t,unreserved_port_t,tcp_socket,name_connect
所以,与85.9 信心(“我会回来的!”)
“如果你想允许mysqld连接到网络端口3307,那么你需要修改端口类型。执行semanage port -a -t PORT_TYPE -p tcp 3307”其中PORT_TYPE是mysqld_port_t!