問題描述:Ubuntu 1604 新環境下使用apt安裝的mariadb10版本,結果第二天就起不來了,很是郁悶
啟動時會卡住,過了一會兒就有回傳資訊了
啟動失敗,先查看一下狀態 肯定也是不正常的,看一下有沒有什么錯誤輸出資訊
然后再使用這個查看詳細一點的報錯
journalctl -xe
當時就只顧著找error關鍵字,沒在意其他的,后來才注意到這個apparmor="DENIED" ,后來查了查,是什么應用程式訪問控制系統;想必這個應該是ubuntu特有的安全機制,類似于centos的selinux
好在是新服務器沒有什么資料,否則....
下面來看解決方法,打開apparmor這個配置,添加所需要的目錄權限即可
例如:如果修改了資料苦庫目錄可以這樣修改一下,因為本機環境是空的所以沒有任何引數,如果有引數的話,為了安全起見 可以先copy一個再進行修改即可
原有配置:
/home/mysql/ r, /home/mysql/** rwk,
修改為:新的資料目錄并給予權限
/data/mysql/ r, /data/mysql/** rwk,
重啟AppArmor
/etc/init.d/apparmor reload
再次啟動mariadb即可正常啟動
如果有防火墻等安全設備的情況下,嫌麻煩也可以直接禁用此服務,
事實上,這個應用是Novell主導的,想必Suse上也有同樣的設定,在/etc/apparmor.d目錄下的增減檔案可以在Linux檔案系統權限之外基于程式對檔案系統的訪問操作進行限制,如果你想要限制一個/a/b的檔案,對應的組態檔就是/etc/apparmor.d/a.b,內容應該很好理解了
下面介紹一下apparmor的基本使用
一:MAC和DAC
DAC(Discretionary Access Control),自主訪問控制,是最常用的一類訪問控制機制,意思為主體(檔案所有者)可以自主指定系統中其它用戶對其檔案的所有權,最典型的就是Linux的"擁有者/同組用戶/其他",這種方式雖然為用戶提供了很大的靈活性,但是缺乏必要的安全性
MAC(Mandat-ory Access Control),強制訪問控制,在這種機制下,系統中的每一個行程,每一個檔案,每一個IPC主體都被管理員按照嚴格的規則設定了相應的安全屬性,不能被用戶和其它直接或間接的修改,
二:Apparmor
由于SELinux使用復雜,適用于對安全要求特別高的企業或者組織,為了簡化操作,就推出了Apparmor,所以可以說Apparmor脫胎于SELinux,但與SELinux基于角色的MAC不同的是,Apparmor是與程式系結的基于路徑的MAC,也就是說如果路徑發生改變,策略就會失效,一般的Linux的系統,都會內置以上兩種MAC其中的一種,這也意味著,你需要對檔案(其它)進行操作,你需要同時通過DAC和 MAC的檢測,
Apparmor有兩種作業模式:enforcement、complain/learning
Enforcement – 在這種模式下,組態檔里列出的限制條件都會得到執行,并且對于違反這些限制條件的程式會進行日志記錄,
Complain – 在這種模式下,組態檔里的限制條件不會得到執行,Apparmor只是對程式的行為進行記錄,例如程式可以寫一個在組態檔里注明只讀的檔案,但 Apparmor不會對程式的行為進行限制,只是進行記錄,這種模式也叫學習模式,如果某個程式的行為不符合其組態檔的限制,可以將其行為記錄到系統日志,并且可以根 據程式的行為,將日志轉換成組態檔,
Apparmor可以對程式進行多方面的限制,詳細可以看官方檔案,這里只提供幾個基本的例子:
(1)檔案系統的訪問控制 例: /home/Desktop/a.c rw 表示程式可以對/home/Desktop/a.c 進行讀和寫,
(2)資源限制 例: set rlimit as<=1M ,表示該程式可以使用的虛擬記憶體小于等于1M
(3)訪問網路 例: network inet tcp ,表示該程式可以在IPV4的情況下使用TCP協議
(4)capability條目 例:capability setgid,表示程式進行setgid操作,
三:基本使用
ubuntu自帶Apparmor,所以以ubuntu14.04為例,
最好先安裝了apparmor的管理工具套裝:apt-get install apparmor-utils
測驗程式原始碼如下:
#include<stdio.h>
#include <string.h>
int main(int argc, char *argv[])
{
FILE *f;
int nn, i; char ch;
if(3 == argc){
f = fopen(argv[1], "w");
if(f == NULL){ printf("Open file %s with write ERROR\n", argv[1]);
return 2;
}
nn = strlen(argv[2]);
i = 0;
while(i < nn){
fputc(argv[2][i], f);
++i;
}
fclose(f);
}else if(argc == 2){
f = fopen(argv[1], "r");
if(NULL == f){
printf("Open file %s with read ERROR\n", argv[1]);
return 2;
}
while((ch=fgetc(f)) != EOF){
printf("%c", ch);
}
printf("\n");
fclose(f);
}else{
printf("Usage: test file **\n");
return 3;
}
return 0;
}
基本功能是對檔案進行讀寫,使用如下:
./test a.c "hello,world"進行寫
./test a.c 進行讀
可以根據 aa-genprof 生成組態檔,生成的檔案在/etc/apparmor.d下,檔案名為home.jdchen.test
生成的檔案如下:
# Last Modified: Fri Nov 11 03:54:40 2016
#include <tunables/global>
/home/jdchen/test {
#include <abstractions/base>
}
由于apparmor采取類似于白名單的機制,所以不能進行任何操作,
現在給組態檔添加可寫的權限并重新加載,
# Last Modified: Fri Nov 11 03:54:40 2016
#include <tunables/global>
/home/jdchen/test {
#include <abstractions/base>
/home/jdchen/a.c w,
}
然后介紹幾個命令:
Start : sudo /etc/init.d/apparmor start 啟動
Stop : sudo /etc/init.d/apparmor stop 停止
reload: sudo /etc/init.d/apparmor reload 重新加載
在修改配置之后,需要多載:
可以試著查看一下日志,節選:
ov 11 04:23:53 ubuntu kernel: [ 2419.881291] audit_printk_skb: 15 callbacks suppressed Nov 11 04:23:53 ubuntu kernel: [ 2419.881306] audit: type=1400 audit(1478867033.872:204): apparmor="DENIED" operation="open" profile="/home/jdchen/test" name="/home/jdchen/a.c" pid=4108 comm="test" requested_mask="r" denied_mask="r" fsuid=0 ouid=0 Nov 11 04:24:07 ubuntu kernel: [ 2433.212034] audit: type=1400 audit(1478867047.204:205): apparmor="DENIED" operation="open" profile="/home/jdchen/test" name="/home/jdchen/a.c" pid=4111 comm="test" requested_mask="r" denied_mask="r" fsuid=0 ouid=0
如果不需要配置,可以直接將組態檔洗掉,
轉載請註明出處,本文鏈接:https://www.uj5u.com/caozuo/147628.html
標籤:Linux
上一篇:Linux就該這么學——新手必須掌握的命令之我的第一個命令
下一篇:centos7配置靜態IP地址