Início / unix / Perguntas / 432650
Accepted
David Tonhofer
Asked: 2018-03-22 10:34:27 +0800 CST

O servidor escravo MariaDB deve se conectar a 127.0.0.1:3307 para alcançar o mestre. O SELinux diz que não. Fazer o que?

  • 772

Eu tenho um servidor MariaDB no CentOS 7. O servidor deve desempenhar o papel de escravo e replicar o servidor mestre remoto. O servidor mestre remoto pode ser acessado por meio de um túnel SSH. A "entrada" do túnel SSH está em 127.0.0.1:3307.

Conectar-se a este endpoint usando o programa cliente MariaDB funciona.

No entanto, o servidor MariaDB não consegue se conectar. No log de erros do MySQL, encontra-se: Slave I/O: error connecting to master '[email protected]:3307' - retry-time: 60 maximum-retries: 86400 message: Can't connect to MySQL server on '127.0.0.1' (13 "Permission denied"), Internal MariaDB error code: 2003.

Evidentemente, pensa-se imediatamente no SELinux colocando o kibosh em conexões fora do padrão de saída de um servidor MariaDB.

Depois de colocar o SELinux no modo permissivo (editar /etc/selinux/confige reiniciar), o bom processo fociforme consegue se conectar.

Vamos examinar /var/log/audit/audit.logquais logs de eventos de negação do SELinux (entre outros) usando ausearch(mais informações sobre auditd em " uma breve introdução ao auditd ")

ausearch --comm mysqld

Isso fornece entradas como:

time->Wed Mar 21 18:52:53 2018
type=PROCTITLE msg=audit(1521654773.504:120): proctitle="/usr/sbin/mysqld"
type=SYSCALL msg=audit(1521654773.504:120): arch=c000003e syscall=42 success=no exit=-115 a0=41 a1=7fd1f4028ad0 a2=10 a3=72 items=0 ppid=1 pid=1342 auid=4294967295 uid=27 gid=27 euid=27 suid=27 fsuid=27 egid=27 sgid=27 fsgid=27 tty=(none) ses=4294967295 comm="mysqld" exe="/usr/sbin/mysqld" subj=system_u:system_r:mysqld_t:s0 key=(null)
type=AVC msg=audit(1521654773.504:120): avc:  denied  { name_connect } for  pid=1342 comm="mysqld" dest=3307 scontext=system_u:system_r:mysqld_t:s0 tcontext=system_u:object_r:unreserved_port_t:s0 tclass=tcp_socket

( syscall 42 é sys_connect)

Muito legal.

Agora, ainda tenho que ler o Manual (e talvez nem ajude), então a pergunta:

Que comando devo executar para permitir que o MariaDB se conecte a 127.0.0.1:3307? Porque eu quero reativar o SELinux .

selinux

2 respostas

  1. Best Answer

    As políticas do SELinux controlam todas as ações que um processo pode executar em um determinado objeto - como arquivos, dispositivos ou soquetes. Se um daemon foi configurado para escutar ou se comunicar usando uma porta não padrão, a política de destino nega essa ação, como deveria. Os rótulos são usados ​​para controlar as portas. Para encontrar o rótulo do MariaDB, use semanage, e filtre os resultados grepusando seu número de porta conhecido.

    semanage port -l | grep 3306

    Isso produz a seguinte saída.

    mysqld_port_t tcp 1186, 3306, 63132-63164

    Para alterar a regra desse rótulo, use semanagenovamente da seguinte maneira para a porta 3307.

    semanage port -a -t mysqld_port_t -p tcp 3307

    Depois de executar o comando acima, verifique a regra novamente para ver se 3307 agora é permitido.

    semanage port -l | grep 3307

    Isso deve mostrar 3307 na lista de portas.

    mysqld_port_t tcp 3307, 1186, 3306, 63132-63164
    • 2

  2. Se o pacote setroubleshoot-serverfoi instalado (recomendado), o programa setroubleshootdserá invocado via dbus do daemon de auditoria auditd(embora indiretamente) e receberá registros SELinux AVC para processar:

    Notificação do SELinux e cascata de registro

    Observe que setroubleshootdnão é realmente um "daemon" (costumava ser), mas um programa invocado na atividade que sai novamente se tudo estiver quieto .

    setroubleshootdregistrará no syslog e você verá as informações de negação do AVC. Por padrão, isso terminará, a /var/log/messagesmenos que rsyslogtenha sido configurado de forma diferente.

    setroubleshootdtambém notificará clientes dbus interessados ​​em eventos SELinux como sealertou widgets GUI.

    Use sealertpara examinar os registros AVC. A página do manual diz: "As duas opções de linha de comando mais úteis são -l para "procurar" um ID de alerta e -a para "analisar" um arquivo de log."

    Olhando para /var/log/messages, veremos agora coisas como:

    setroubleshoot: SELinux is preventing mysqld from
name_connect access on the tcp_socket port 3307. For complete SELinux
messages run: sealert -l 90cd70e9-0bb2-4668-b165-d5be37e26b22

    ..e linhas adicionais de informações muito legíveis que acabam sendo uma boa parte da saída de sealert -l 90cd70e9-0bb2-4668-b165-d5be37e26b22.

    Então vamos executar sealert -l 90cd70e9-0bb2-4668-b165-d5be37e26b22-- isso nos dá um bom conselho (não que esse registro tenha sido obtido enquanto o SELinux estava ativado):

    SELinux is preventing mysqld from name_connect access on the tcp_socket port 3307.

*****  Plugin connect_ports (85.9 confidence) suggests   *********************

If you want to allow mysqld to connect to network port 3307
Then you need to modify the port type.
Do
# semanage port -a -t PORT_TYPE -p tcp 3307
    where PORT_TYPE is one of the following: dns_port_t, dnssec_port_t,
    kerberos_port_t, mysqld_port_t, ocsp_port_t, tram_port_t.

*****  Plugin catchall_boolean (7.33 confidence) suggests   ******************

If you want to allow nis to enabled
Then you must tell SELinux about this by enabling the 'nis_enabled' boolean.
You can read 'None' man page for more details.
Do
setsebool -P nis_enabled 1

*****  Plugin catchall_boolean (7.33 confidence) suggests   ******************

If you want to allow mysql to connect any
Then you must tell SELinux about this by enabling the 'mysql_connect_any' boolean.
You can read 'None' man page for more details.
Do
setsebool -P mysql_connect_any 1

*****  Plugin catchall (1.35 confidence) suggests   **************************

If you believe that mysqld should be allowed name_connect access on the
port 3307 tcp_socket by default.
Then you should report this as a bug.
You can generate a local policy module to allow this access.
Do
allow this access for now by executing:
# ausearch -c 'mysqld' --raw | audit2allow -M my-mysqld
# semodule -i my-mysqld.pp


Additional Information:
Source Context                system_u:system_r:mysqld_t:s0
Target Context                system_u:object_r:unreserved_port_t:s0
Target Objects                port 3307 [ tcp_socket ]
Source                        mysqld
Source Path                   mysqld
Port                          3307
Host                          foobar.example.com
Source RPM Packages
Target RPM Packages
Policy RPM                    selinux-policy-3.13.1-166.el7_4.9.noarch
Selinux Enabled               True
Policy Type                   targeted
Enforcing Mode                Enforcing
Host Name                     foobar.example.com
Platform                      Linux foobar.example.com
                              3.10.0-693.21.1.el7.x86_64 #1 SMP Wed Mar 7
                              19:03:37 UTC 2018 x86_64 x86_64
Alert Count                   36
First Seen                    2018-03-22 16:04:59 CET
Last Seen                     2018-03-22 16:39:59 CET
Local ID                      90cd70e9-0bb2-4668-b165-d5be37e26b22

Raw Audit Messages
type=AVC msg=audit(1521733199.870:201): avc:  denied  { name_connect }
for  pid=1352 comm="mysqld" dest=3307
scontext=system_u:system_r:mysqld_t:s0
tcontext=system_u:object_r:unreserved_port_t:s0 tclass=tcp_socket


Hash: mysqld,mysqld_t,unreserved_port_t,tcp_socket,name_connect

    Portanto, com 85,9 de confiança ("Voltarei!")

    "Se você deseja permitir que o mysqld se conecte à porta de rede 3307, então você precisa modificar o tipo de porta. Faça semanage port -a -t PORT_TYPE -p tcp 3307" onde PORT_TYPE é mysqld_port_t!

    • 1

relate perguntas