SELinux üzerinden MySQL bağlantılarına nasıl izin veririm?

21

SELinux'un bir kez daha iddia edilen artan güvenlik için bir sunucuda çalışmasını bırakmak istiyorum.
SELinux’u işe yaramaz bir şey almak için genellikle devre dışı bırakırım.
SELinux'a MySQL bağlantılarına izin vermesini nasıl söylerim?
Dokümantasyonda bulduğum en çok, mysql.com adresindeki bu satır:

Linux altında çalışıyorsanız ve Güvenlik Geliştirilmiş Linux (SELinux) etkinse, mysqld işlemi için SELinux korumasını devre dışı bıraktığınızdan emin olun.

vay ... bu gerçekten yardımcı oldu.

mysql selinux

— xivix
kaynak

1

Size yardımcı olma şansını elde etmek için lütfen aşağıdaki tüm bilgileri sağlayın. 1. Linux Distro ve Sürüm, 2. MySQL sürümü ve kurulum kaynağı, bir inkar bağlantısından 3. AVC günlük girişleri, 4. İlgili MySQL günlükleri, herhangi 5. eğer çıktısı getsebool -a | grep mysqlbu çoğaltmak almış 6. Kesin adımlar

— hobodave

40

SELinux'u kontrol etmek için

sestatus

Httpd işlemlerinde hangi bayrakların ayarlandığını görmek için

getsebool -a | grep httpd

Apache'nin SELinux aracılığıyla uzak veritabanına bağlanmasına izin vermek için

setsebool httpd_can_network_connect_db 1

-P seçeneğini kullanmak değişikliği kalıcı kılar. Bu seçenek olmadan, boole yeniden başlatıldığında 0'a sıfırlanır.

setsebool -P httpd_can_network_connect_db 1

— Pencap
kaynak

3

127.0.0.1 geri döngü aracılığıyla da bağlanırken gerekli görünüyor?

— Devin Ceartas

@Devin, kesinlikle.

— e18r

2

Kullanıcıların yerel mysql sunucusuna bağlanmasına izin vermek istiyorsanız, selinuxuser_mysql_connect_enabled boolean özelliğini de açmanız gerekir.

— Anton Makovetsky

setsebool -P httpd_can_network_connect 1ayrıca gerekli olabilir. Bu benim günlüklerinde ausearch -m avc -ts today | audit2whyvnix27 tarafından yapılan yorumda önerildiği gibi çalıştırılarak önerildi.

— site

2

bir hata alıyor musun? Hangi linux lezzetini kullanıyorsunuz? Güvenlik bağlamı, bir hatayla karşılaşmanız durumunda başlamak için iyi bir yerdir. ls -Z bağlam verir ... Ama sorunuz çok belirsiz.

Windows kutusundan bağlanıyorum. Hata yok ... bağlantı sadece reddedildi ve sayfa zaman aşımına uğradı. Selinux’u kapatırsam her şeyin iyi olacağını biliyorum.

bağlantı bir windows kutusundan geldiğinden, ls -Z bana linux kutusunda bulunduğum dizindeki dosyalar hakkında bilgi verir.

Yukarıdaki soruma, mysqld işlemi için selinux korumasını devre dışı bırakma dedi ... bir mysql referansı alıntı yaptım ... ama bunu nasıl yapacağımı söylemedi :( Nasıl olduğunu da

Linux kutusundaki kayıtlarda bir şey var mı? selinux httpd'nin soket bağlantısı

Mesajlarda veya güvenli kayıtlarda hiçbir şey ... aklınızda bulundurduğunuz belirli bir kayıt var mı?

1

Görünüşe göre selinux'u yapılandırmak önemsiz değil. Buradan başlamak isteyebilirsiniz .

setenforce 0

selinux'u izin verilen moda sokar, burada herhangi bir şeye izin verir ama izin verdiği şeyi kaydeder. Bir yeniden başlatma veya

setenforce 1

Politika izin vermediği her şeyi engellemeye geri döner.

Fedora'daki mySQL için bu selinux politikası dokümanlarına göz atın .

— Paul
kaynak

1

Selinux olduğundan emin misin? Dışarıdan normal bağlantılara selinux tarafından izin verilmelidir. Böylece güvenlik duvarı da olabilir. MySQL'e bağlanmaya çalışan yerel servisleriniz varsa, bu farklı bir şey: http://docs.fedoraproject.org/en-US/Fedora/13/html/Managing_Confined_Services/sect-Managing_Confined_Services-MySQL-Booleans.html

— AndreasM
kaynak

1

ausearchKomut hata günlüğünü bulmanıza yardımcı olabilir.

— vnix27
kaynak

1

ausearch -m avc -ts bugün | audit2why, komuta çözüm önerebilir

— vnix27

1

yerel politika da oluşturabilirsiniz:

"Bu erişime izin vermek için bir yerel ilke modülü oluşturabilirsiniz. Bu erişime şu anda izin vererek izin verin:"

grep httpd /var/log/audit/audit.log | audit2allow -M mypol

semodule -i mypol.pp

veya gerçek oturum için genel olarak etkinleştir:

setsebool httpd_can_network_connect_db 1

veya kalıcı:

setsebool -P httpd_can_network_connect_db 1

— Raffaello
kaynak