MariaDB 从服务器应连接到 127.0.0.1:3307 以到达主服务器。 SELinux 说不。做什么?

MariaDB 从服务器应连接到 127.0.0.1:3307 以到达主服务器。 SELinux 说不。做什么?

我在 CentOS 7 上有一个 MariaDB 服务器。该服务器应充当从属服务器并复制远程主服务器。可以通过 SSH 隧道到达远程主服务器。 SSH 隧道“入口”位于 127.0.0.1:3307。

使用 MariaDB 客户端程序连接到此端点是可行的。

但是,MariaDB 服务器无法连接。在MySQL错误日志中,我们发现:。Slave I/O: error connecting to master '[email protected]:3307' - retry-time: 60 maximum-retries: 86400 message: Can't connect to MySQL server on '127.0.0.1' (13 "Permission denied"), Internal MariaDB error code: 2003

显然,人们会立即想到 SELinux 对从 MariaDB 服务器传出的非标准连接进行拒绝。

将 SELinux 置于宽容模式(编辑/etc/selinux/config并重启)后,良好的 phociform 进程能够连接。

让我们检查/var/log/audit/audit.log哪些日志使用 SELinux 拒绝事件(以及其他事件)ausearch(有关auditd的更多信息,请参阅“简单介绍auditd”)

ausearch --comm mysqld

这给出了如下条目:

time->Wed Mar 21 18:52:53 2018
type=PROCTITLE msg=audit(1521654773.504:120): proctitle="/usr/sbin/mysqld"
type=SYSCALL msg=audit(1521654773.504:120): arch=c000003e syscall=42 success=no exit=-115 a0=41 a1=7fd1f4028ad0 a2=10 a3=72 items=0 ppid=1 pid=1342 auid=4294967295 uid=27 gid=27 euid=27 suid=27 fsuid=27 egid=27 sgid=27 fsgid=27 tty=(none) ses=4294967295 comm="mysqld" exe="/usr/sbin/mysqld" subj=system_u:system_r:mysqld_t:s0 key=(null)
type=AVC msg=audit(1521654773.504:120): avc:  denied  { name_connect } for  pid=1342 comm="mysqld" dest=3307 scontext=system_u:system_r:mysqld_t:s0 tcontext=system_u:object_r:unreserved_port_t:s0 tclass=tcp_socket

系统调用 42sys_connect

很酷。

现在我还是要读完手册(也许它甚至没有帮助),所以问题是:

我需要执行什么命令才能让 MariaDB 连接到 127.0.0.1:3307?因为我想重新启用 SELinux

答案1

SELinux 策略控制进程可以在给定对象(如文件、设备或套接字)上执行的每个操作。如果守护程序已配置为使用非标准端口侦听或通信,则目标策略会拒绝该操作,这是理所应当的。标签用于控制端口。要查找 MariaDB 的标签,请使用,并使用其众所周知的端口号semanage过滤结果。grep

semanage port -l | grep 3306

这会产生以下输出。

mysqld_port_t tcp 1186, 3306, 63132-63164

要更改此标签的规则,请semanage再次使用端口 3307,如下所示。

semanage port -a -t mysqld_port_t -p tcp 3307

执行完上面的命令后,再次检查规则,发现3307现在是被允许的。

semanage port -l | grep 3307

这应该在端口列表中显示 3307。

mysqld_port_t tcp 3307, 1186, 3306, 63132-63164

答案2

如果该软件包setroubleshoot-server已安装(推荐),则该程序setroubleshootd将通过以下方式调用总线来自审计守护进程auditd(尽管是间接的)并给定 SELinux AVC 记录来处理:

SELinux 通知和日志记录级联

注意setroubleshootd实际上并不是一个“守护进程”(它曾经是),而是一个如果一切安静则再次退出的活动调用程序

setroubleshootd将记录到 syslog,您将看到 AVC 拒绝信息。默认情况下,/var/log/messages除非rsyslog进行了不同的配置,否则这将结束。

setroubleshootd也会通知总线对 SELinux 事件(例如sealertGUI 小部件)感兴趣的客户。

使用sealert检查 AVC 记录。手册页说:“两个最有用的命令行选项是 -l 用于“查找”警报 ID 和 -a 用于“分析”日志文件。”

看看/var/log/messages,人们现在会看到类似以下内容:

setroubleshoot: SELinux is preventing mysqld from
name_connect access on the tcp_socket port 3307. For complete SELinux
messages run: sealert -l 90cd70e9-0bb2-4668-b165-d5be37e26b22

..以及额外的几行非常可读的信息,这些信息被证明是sealert -l 90cd70e9-0bb2-4668-b165-d5be37e26b22.

那么让我们运行一下sealert -l 90cd70e9-0bb2-4668-b165-d5be37e26b22——这给了我们很好的建议(并不是说这个记录是在启用 SELinux 时获得的):

SELinux is preventing mysqld from name_connect access on the tcp_socket port 3307.

*****  Plugin connect_ports (85.9 confidence) suggests   *********************

If you want to allow mysqld to connect to network port 3307
Then you need to modify the port type.
Do
# semanage port -a -t PORT_TYPE -p tcp 3307
    where PORT_TYPE is one of the following: dns_port_t, dnssec_port_t,
    kerberos_port_t, mysqld_port_t, ocsp_port_t, tram_port_t.

*****  Plugin catchall_boolean (7.33 confidence) suggests   ******************

If you want to allow nis to enabled
Then you must tell SELinux about this by enabling the 'nis_enabled' boolean.
You can read 'None' man page for more details.
Do
setsebool -P nis_enabled 1

*****  Plugin catchall_boolean (7.33 confidence) suggests   ******************

If you want to allow mysql to connect any
Then you must tell SELinux about this by enabling the 'mysql_connect_any' boolean.
You can read 'None' man page for more details.
Do
setsebool -P mysql_connect_any 1

*****  Plugin catchall (1.35 confidence) suggests   **************************

If you believe that mysqld should be allowed name_connect access on the
port 3307 tcp_socket by default.
Then you should report this as a bug.
You can generate a local policy module to allow this access.
Do
allow this access for now by executing:
# ausearch -c 'mysqld' --raw | audit2allow -M my-mysqld
# semodule -i my-mysqld.pp


Additional Information:
Source Context                system_u:system_r:mysqld_t:s0
Target Context                system_u:object_r:unreserved_port_t:s0
Target Objects                port 3307 [ tcp_socket ]
Source                        mysqld
Source Path                   mysqld
Port                          3307
Host                          foobar.example.com
Source RPM Packages
Target RPM Packages
Policy RPM                    selinux-policy-3.13.1-166.el7_4.9.noarch
Selinux Enabled               True
Policy Type                   targeted
Enforcing Mode                Enforcing
Host Name                     foobar.example.com
Platform                      Linux foobar.example.com
                              3.10.0-693.21.1.el7.x86_64 #1 SMP Wed Mar 7
                              19:03:37 UTC 2018 x86_64 x86_64
Alert Count                   36
First Seen                    2018-03-22 16:04:59 CET
Last Seen                     2018-03-22 16:39:59 CET
Local ID                      90cd70e9-0bb2-4668-b165-d5be37e26b22

Raw Audit Messages
type=AVC msg=audit(1521733199.870:201): avc:  denied  { name_connect }
for  pid=1352 comm="mysqld" dest=3307
scontext=system_u:system_r:mysqld_t:s0
tcontext=system_u:object_r:unreserved_port_t:s0 tclass=tcp_socket


Hash: mysqld,mysqld_t,unreserved_port_t,tcp_socket,name_connect

所以,与85.9 信心(“我会回来的!”)

“如果你想允许mysqld连接到网络端口3307,那么你需要修改端口类型。执行semanage port -a -t PORT_TYPE -p tcp 3307”其中PORT_TYPE是mysqld_port_t

相关内容