系統城裝機大師 - 唯一官網:www.farandoo.com!

當前位置:首頁 > 腳本中心 > linux shell > 詳細頁面

ubuntu1604環境下mariadb啟動卡住報錯和apparmor基本使用

時間:2020-02-22來源:電腦系統城作者:電腦系統城

問題描述:Ubuntu 1604 新環境下使用apt安裝的mariadb10版本,結果第二天就起不來了,很是郁悶

啟動時會卡住,過了一會兒就有返回信息了

  啟動失敗,先查看一下狀態 肯定也是不正常的,看一下有沒有什么錯誤輸出信息

  然后再使用這個查看詳細一點的報錯

journalctl -xe

當時就只顧著找error關鍵字,沒在意其他的,后來才注意到這個apparmor="DENIED" ,后來查了查,是什么應用程序訪問控制系統;想必這個應該是ubuntu特有的安全機制,類似于centos的selinux

好在是新服務器沒有什么數據,否則....

下面來看解決方法,打開apparmor這個配置,添加所需要的目錄權限即可

  例如:如果修改了數據苦庫目錄可以這樣修改一下,因為本機環境是空的所以沒有任何參數,如果有參數的話,為了安全起見  可以先copy一個再進行修改即可

原有配置:

/home/mysql/ r,
/home/mysql/** rwk,

 修改為:新的數據目錄并給予權限

/data/mysql/ r,
/data/mysql/** rwk,

 重啟AppArmor

/etc/init.d/apparmor reload

 再次啟動mariadb即可正常啟動

如果有防火墻等安全設備的情況下,嫌麻煩也可以直接禁用此服務。

     事實上,這個應用是Novell主導的,想必Suse上也有同樣的設置,在/etc/apparmor.d目錄下的增減文件可以在Linux文件系統權限之外基于程序對文件系統的訪問操作進行限制。如果你想要限制一個/a/b的文件,對應的配置文件就是/etc/apparmor.d/a.b。內容應該很好理解了

下面介紹一下apparmor的基本使用

 一:MAC和DAC

    DAC(Discretionary Access Control),自主訪問控制,是最常用的一類訪問控制機制,意思為主體(文件所有者)可以自主指定系統中其它用戶對其文件的所有權,最典型的就是Linux的"擁有者/同組用戶/其他"。這種方式雖然為用戶提供了很大的靈活性,但是缺乏必要的安全性

    MAC(Mandat-ory Access Control),強制訪問控制,在這種機制下,系統中的每一個進程,每一個文件,每一個IPC主體都被管理員按照嚴格的規則設置了相應的安全屬性,不能被用戶和其它直接或間接的修改。

  二:Apparmor

    由于SELinux使用復雜,適用于對安全要求特別高的企業或者組織,為了簡化操作,就推出了Apparmor,所以可以說Apparmor脫胎于SELinux,但與SELinux基于角色的MAC不同的是,Apparmor是與程序綁定的基于路徑的MAC,也就是說如果路徑發生改變,策略就會失效。一般的Linux的系統,都會內置以上兩種MAC其中的一種,這也意味著,你需要對文件(其它)進行操作,你需要同時通過DAC和 MAC的檢測。

      Apparmor有兩種工作模式:enforcement、complain/learning

      Enforcement – 在這種模式下,配置文件里列出的限制條件都會得到執行,并且對于違反這些限制條件的程序會進行日志記錄。

      Complain – 在這種模式下,配置文件里的限制條件不會得到執行,Apparmor只是對程序的行為進行記錄。例如程序可以寫一個在配置文件里注明只讀的文件,但           Apparmor不會對程序的行為進行限制,只是進行記錄。這種模式也叫學習模式,如果某個程序的行為不符合其配置文件的限制,可以將其行為記錄到系統日志,并且可以根         據程序的行為,將日志轉換成配置文件。

    Apparmor可以對程序進行多方面的限制,詳細可以看官方文檔,這里只提供幾個基本的例子:

     ?。?)文件系統的訪問控制   例:  /home/Desktop/a.c rw 表示程序可以對/home/Desktop/a.c 進行讀和寫。

     ?。?)資源限制   例: set rlimit as<=1M ,表示該程序可以使用的虛擬內存小于等于1M

     ?。?)訪問網絡   例: network inet tcp ,表示該程序可以在IPV4的情況下使用TCP協議  

     ?。?)capability條目 例:capability setgid,表示程序進行setgid操作。

  三:基本使用

    ubuntu自帶Apparmor,所以以ubuntu14.04為例。

    最好先安裝了apparmor的管理工具套裝:apt-get install apparmor-utils

    測試程序源碼如下:

復制代碼
復制代碼
#include<stdio.h>  
#include <string.h>  
int main(int argc, char *argv[])  
{  
   FILE *f;  
   int nn, i;   char ch;   
   if(3 == argc){   
      f = fopen(argv[1], "w");   
    if(f == NULL){                          printf("Open file %s with write ERROR\n", argv[1]);  
     return 2;  
   }   
   nn = strlen(argv[2]);   
   i = 0;   
   while(i < nn){   
     fputc(argv[2][i], f);  
     ++i; 
   }  
  fclose(f); 
  }else if(argc == 2){  
    f = fopen(argv[1], "r");  
    if(NULL == f){  
       printf("Open file %s with read ERROR\n", argv[1]);  
       return 2;  
    }   
    while((ch=fgetc(f)) != EOF){   
       printf("%c", ch);  
    }   
    printf("\n"); 
    fclose(f); 
 }else{ 
    printf("Usage: test file **\n");   
    return 3;  
 } 
 
   return 0;  
}
復制代碼
復制代碼

  基本功能是對文件進行讀寫,使用如下:

  ./test a.c "hello,world"進行寫

  ./test a.c 進行讀

  可以根據 aa-genprof 生成配置文件,生成的文件在/etc/apparmor.d下,文件名為home.jdchen.test

   

  生成的文件如下:

復制代碼
復制代碼
# Last Modified: Fri Nov 11 03:54:40 2016
#include <tunables/global>

/home/jdchen/test {
  #include <abstractions/base>


}
復制代碼
復制代碼

  由于apparmor采取類似于白名單的機制,所以不能進行任何操作。

  

  現在給配置文件添加可寫的權限并重新加載。

復制代碼
復制代碼
# Last Modified: Fri Nov 11 03:54:40 2016
#include <tunables/global>

/home/jdchen/test {
  #include <abstractions/base>
    /home/jdchen/a.c w,

}
復制代碼
復制代碼

  然后介紹幾個命令:

    Start : sudo /etc/init.d/apparmor start 啟動

    Stop : sudo /etc/init.d/apparmor stop 停止

    reload: sudo /etc/init.d/apparmor reload 重新加載

  在修改配置之后,需要重載:

     

   

  可以試著查看一下日志,節選:

復制代碼
復制代碼
ov 11 04:23:53 ubuntu kernel: [ 2419.881291] audit_printk_skb: 15 callbacks suppressed
Nov 11 04:23:53 ubuntu kernel: [ 2419.881306] audit: type=1400 audit(1478867033.872:204): apparmor="DENIED" operation="open" profile="/home/jdchen/test" name="/home/jdchen/a.c" pid=4108 comm="test" requested_mask="r" denied_mask="r" fsuid=0 ouid=0
Nov 11 04:24:07 ubuntu kernel: [ 2433.212034] audit: type=1400 audit(1478867047.204:205): apparmor="DENIED" operation="open" profile="/home/jdchen/test" name="/home/jdchen/a.c" pid=4111 comm="test" requested_mask="r" denied_mask="r" fsuid=0 ouid=0
復制代碼
復制代碼

  如果不需要配置,可以直接將配置文件刪除。


我有夢,有遠方,我會為了它們奔跑,奮斗,直到成為連我自己都佩服的人。
分享到:

相關信息

系統教程欄目

欄目熱門教程

人氣教程排行

站長推薦

熱門系統下載

jlzzjlzz亚洲乱熟在线播放