SELinux中的Apache和MySQL设定 - Linux 时代

首页 | 博客 | Linux | 论坛 | 人才 | 培训 | 知识库 | 资料 | 读书 | 手册 | 精华 | 下载 | 沙龙 | 搜索

搜索

产品与方案

·中科红旗全面打造现代化邮政体系
·红旗助力“网上审批服务” 推动电子政务
·红旗正版化开创呼和浩特网吧建设新起点
·红旗Linux助信息产业部邮件服务器“快跑”
·中标普华Linux 为电子政务信息化保驾护航
·中标普华Linux助力基金产业
·中标普华Office率先支持UOF标准
·中标普华邮件系统助力西藏政府信息化建设
·红旗Linux助力国库集中支付系统改革
·红旗助中信卫星掀起GIS通信应用风暴
·红旗软件助力烟草总局全面建设“数字烟草”
·红旗助力“信访阳光工程”打造畅通信访渠道
·红帽联合FIS发布下一代实时核心银行平台
·红旗助力金盾打造全无忧出入境信息系统
·红旗Linux全力打造中国邮政总局名址信息库
·爱尔兰证交所从Unix迁移到红帽企业Linux
·一流的意大利银行选择使用红帽企业Linux
·PLUS Finanzservice选择使用红帽企业Linux
·红帽助力TransACT Communications 公司
·法国零售业巨头Lapeyre采用Redhat Linux
·旅游预订网站选择使用红帽企业Linux
·马哈拉施特拉邦政府的红帽解决之道
·美国联邦政府案例
·红帽为慕尼黑展览会提供现代化集群系统
·Yuba郡用开源软件和红帽产品提高了效率
·红帽企业Linux助印度理工建立高性能计算中心
·采用红帽Linux 将系统维护时间缩短了65%
·从UNIX迁移到Linux使PeÃ±oles公司获益非浅
·Hikal公司用红帽企业Linux开展任务关键的ERP项目
·KDE3.5.4新版本发布
·芝加哥商业交易所从Unix向Linux迁移
·南方基金管理有限公司成功案例 Red Hat Linux
·广东北电通讯设备有限公司成功案例
·挪威国家石油公司从UNIX迁移到红帽Linux，成本减半
·中央电视台CCTV动画部案例 Red Hat Linux

图书

鸟哥的Linux私房菜基础学..

Linux程序设计.第3版

Linux设备驱动开发详解

下载

·Endian Firewall
·linux kernel(Linux 内核)
·CentOS
·Fedora Core 6
·Scientific Linux
·Slackware 11.0
·Gentoo Linux
·ubuntu-6.10-i386服务器版本
·ubuntu-6.10-amd64服务器版
·ubuntu-6.10-i386桌面版
·ubuntu-6.10-amd64桌面版
·Engarde Linux

您的位置: Linux时代 > 技术文档 > 系统安全 >

SELinux中的Apache和MySQL设定

日期：2006-08-03　　来自：www.phpwhy.com

Fedora Core 3 在安装时默认把SELinux的选项激活了。SELinux比普通的Linux内核提供了更高的安全性，理论上说，在系统因为未知漏洞溢出的时候，普通用户是不可能得到超级用户的权限了。但是，就是因为SELinux安全性的提高，导致我们在使用时，会发生一些我们以前从没遇到的问题。
前两天我在使用Fedora Core 3搭建PHP+MySQL的WebServer时就遇到了一些问题。现在整理一下，如果您也遇到同样的问题，那么，看过这篇文章，就应该可以轻而易举的解决了。
1.　Apache - Document root must be a directory 问题。
有可能和这个问题并发的问题还有 403 Forbidden　禁止访问的问题。
现象描述：
不使用系统默认的 /var/www/html作为系统的Document Root，自己新建一个目录后修改 /etc/httpd/conf/httpd.conf 中的配置，然后重起Apache的Daemon，发现Apache无法起动，系统报错：
　　Document root must be a directory
但是，我们设置的DocumentRoot 的确是一个目录，而且apache用户具有可读权限。
另一种情况：新建一个虚拟目录或文件后，无法访问，显示 Forbidden, 403 Error，但文件或目录有可读权限。
问题产生的原因：
一开始我想来想去想不出为什么，但是给我感觉是权限的问题，用传统的Linux的思维方式来看，权限绝对没有问题。但是仔细一想，SELinux是不是会有其他安全的设定？
检查 avc　message，查看 /var/log/messages文件，发现有类似以下内容的这样一段：
Dec 24 17:54:59 hostname kernel: audit(1098222899.827:0): avc:　\
denied　{ getattr } for　pid=19029 exe=/usr/sbin/httpd \
path=/var/www/html/about.html dev=dm-0 ino=373900 \
scontext=root:system_r:httpd_t tcontext=user_ubject_r:user_home_t \
tclass=file
嘿嘿，问题找到了，果然是SELinux的新特性搞的鬼。我把目录或文件设成了user_home_t类型，因此apache的进程没有权限，无法访问。针对Apache的进程所使用的SELinux target policy规定了apache的进程只能访问httpd_sys_content_t类型的目录或文件。
解决办法：
很简单，把目录或文件的策略类型改成 httpd_sys_content_t 就可以了
使用root用户
# chcon -t httpd_sys_content_t 目录名或文件名
然后可以用 ls -laZ 命令查看文件目录的策略类型

2.　Mysql - Can't connect to local MySQL server through socket '/var/lib/mysql/mysql.sock' (13)
刚搞定Apache，mySQL又出问题了。
问题现象：
本机用mysql命令可以正常登录数据库并正常操作。但是在php写的页面中，不管怎样，连接mySQL数据库时，都会报如下错误：
Can't connect to local MySQL server through socket　'/var/lib/mysql/mysql.sock' (13)
问题原因：
查看mysql.sock文件，存在并且任何人都可读可写。发现avc message (/var/log/messages)中同样有策略错误的记录。
用 ps -efZ|grep mysql 命令检查mysql的进程，发现mySQL使用了unconfined_t　这个未定义策略类型在运行，而mysql.sock以及mysqld文件的策略类型都是var_lib_t。很明显，这应该是个Fedora Core 3 的 BUG，SELinux target policy的BUG，redhat并没有为mySQL制定正确的target policy。
解决办法：
到redhat的bugzilla系统上搜索，果然找到了这个BUG。
　Bug #:　 138421　
https://bugzilla.redhat.com/bugzill...g.cgi?id=138421
在这个页面找到新的target policy的补丁安装即可
补丁下载页面：
ftp://people.redhat.com/dwalsh/SELinux/FC3
你也可以从本文的附件中下载
只要下载
selinux-policy-targeted-1.17.30-2.23以上的版本就能正常使用mySQL了。
如果你原来的系统安装了 selinux-policy-targeted-source (源代码)，那么你也必需下载source的rpm文件，并首先升级这个包，因为两个包有依赖关系。
补丁安装办法：
使用root用户。
先升级新的target-policy-source (如果你之前安装了这个包的话)
# rpm -Uvh selinux-policy-targeted-sources-1.17.30-2.61.noarch.rpm
升级新的target-policy
# rpm -Uvh selinux-policy-targeted-1.17.30-2.61.noarch.rpm
更新mysql相关的target policy
# rpm -q -l mysql-server | restorecon -R -v -f -
# rpm -q -l mysql | restorecon -R -v -f -
重起mysql的服务
# service mysqld restart
试一下吧，一定有效　

原文链接：http://www.phpwhy.com/bbs/read.php?tid=980

本文被浏览次