红帽全球峰会20.4. 配置示例
20.4.1. MariaDB 更改数据库位置
复制链接链接已复制到粘贴板!
使用 Red Hat Enterprise Linux 时,MariaDB 用于存储其数据库的默认位置是
/var/lib/mysql/。这是默认情况下 SELinux 预期为它的位置,因此这个区域已为您进行适当标记,使用 mysqld_db_t 类型。
数据库的存储位置可以根据个人环境要求或首选项来更改,但务必要让 SELinux 知道这个新位置;它应相应地进行标记。这个示例解释了如何更改 MariaDB 数据库的位置,以及如何标记新位置,以便 SELinux 仍然可以根据其内容向新区域提供保护机制。
请注意,这只是一个示例,并演示 SELinux 如何影响 MariaDB。MariaDB 的综合文档不在本文的讨论范围之内。详情请查看官方 MariaDB 文档。本例假定安装了 mariadb-server 和 setroubleshoot-server 软件包,
auditd 服务正在运行,并且 /var/lib/mysql/ 的默认位置中有一个有效的数据库。
- 查看
mysql的默认数据库位置的 SELinux 上下文:~]# ls -lZ /var/lib/mysql drwx------. mysql mysql system_u:object_r:mysqld_db_t:s0 mysql这将显示mysqld_db_t,这是数据库文件位置的默认上下文元素。此上下文必须手动应用到本示例中将使用的新数据库位置,才能正常工作。 - 输入以下命令,输入
mysqldroot 密码来显示可用的数据库:~]# mysqlshow -u root -p Enter password: ******* +--------------------+ | Databases | +--------------------+ | information_schema | | mysql | | test | | wikidb | +--------------------+ - 停止
mariadb.service服务:~]# systemctl stop mariadb.service - 为数据库的新位置创建一个新目录。在本例中,使用了
/mysql/:~]# mkdir -p /mysql - 将数据库文件复制到新位置:
~]# cp -R /var/lib/mysql/* /mysql/ - 更改此位置的所有权,以允许 mysql 用户和组访问。这会设置 SELinux 仍然会观察到的传统 Unix 权限:
~]# chown -R mysql:mysql /mysql - 输入以下命令查看新目录的初始上下文:
~]# ls -lZ /mysql drwxr-xr-x. mysql mysql unconfined_u:object_r:usr_t:s0 mysql这个新创建的目录的上下文usr_t目前不适用于 SELinux 作为 MariaDB 数据库文件的位置。上下文更改后,MariaDB 将能够在此领域正常工作。 - 使用文本编辑器打开主 MariaDB 配置文件
/etc/my.cnf,并修改datadir选项,使其引用新位置。在本例中,应输入的值为/mysql:[mysqld] datadir=/mysql保存此文件并退出。 - 启动
mariadb.service。该服务应该无法启动,拒绝信息将记录到/var/log/messages文件中:~]# systemctl start mariadb.service Job for mariadb.service failed. See 'systemctl status mariadb.service' and 'journalctl -xn' for details.但是,如果审计守护进程与setroubleshoot服务一同运行,则拒绝将记录到/var/log/audit/audit.log文件中:SELinux is preventing /usr/libexec/mysqld "write" access on /mysql. For complete SELinux messages. run sealert -l b3f01aff-7fa6-4ebe-ad46-abaef6f8ad71此拒绝的原因是/mysql/没有针对 MariaDB 数据文件正确标记。SELinux 正在阻止 MariaDB 访问标记为usr_t的内容。执行以下步骤解决这个问题: - 输入以下命令为
/mysql/添加上下文映射。请注意,默认情况下不安装semanage工具。如果您的系统中没有它,请安装 policycoreutils-python 软件包。~]# semanage fcontext -a -t mysqld_db_t "/mysql(/.*)?" - 这个映射被写入
/etc/selinux/targeted/contexts/files/file_contexts.local文件:~]# grep -i mysql /etc/selinux/targeted/contexts/files/file_contexts.local /mysql(/.*)? system_u:object_r:mysqld_db_t:s0 - 现在,使用
restorecon实用程序将此上下文映射到正在运行的系统:~]# restorecon -R -v /mysql - 现在,
/mysql/位置已使用 MariaDB 的正确上下文进行标记,mysqld启动:~]# systemctl start mariadb.service - 确认
/mysql/的上下文已更改:~]$ ls -lZ /mysql drwxr-xr-x. mysql mysql system_u:object_r:mysqld_db_t:s0 mysql - 该位置已更改并标记,
mysqld已成功启动。此时,应测试所有正在运行的服务,以确认正常运行。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}