selinux+mysql (Не отключать, а настроить)

[playnet]

Хочу все-таки освоить SELinux. Может кто дать быстрое введение?

Ну и проблема.
Пускаю мускуль, не стартует.
Потом делаю

Код: Выделить всё

# /usr/sbin/setenforce Permissive
# /etc/init.d/mysqld start
Starting MySQL:                                            [  OK  ]
# dmesg |tail -n 4
type=1400 audit(1281632604.113:382): avc:  denied  { search } for  pid=2454 comm="mysqld" name="/" dev=dm-0 ino=2 scontext=user_u:system_r:mysqld_t:s0 tcontext=system_u:object_r:file_t:s0 tclass=dir
type=1400 audit(1281632604.139:383): avc:  denied  { getattr } for  pid=2454 comm="mysqld" path="/var" dev=dm-0 ino=2 scontext=user_u:system_r:mysqld_t:s0 tcontext=system_u:object_r:file_t:s0 tclass=dir
type=1400 audit(1281632604.143:384): avc:  denied  { getattr } for  pid=2454 comm="mysqld" path="/var/lib/mysql" dev=dm-0 ino=1736862 scontext=user_u:system_r:mysqld_t:s0 tcontext=root:object_r:var_lib_t:s0 tclass=lnk_file
type=1400 audit(1281632604.147:385): avc:  denied  { read } for  pid=2454 comm="mysqld" name="mysql" dev=dm-0 ino=1736862 scontext=user_u:system_r:mysqld_t:s0 tcontext=root:object_r:var_lib_t:s0 tclass=lnk_file

Код: Выделить всё

# ls -Z /var/lib/mysql
-rw-rw----  mysql mysql root:object_r:mysqld_db_t:s0     ibdata1
-rw-rw----  mysql mysql root:object_r:mysqld_db_t:s0     ib_logfile0
-rw-rw----  mysql mysql root:object_r:mysqld_db_t:s0     ib_logfile1
drwx------  mysql mysql root:object_r:mysqld_db_t:s0     mysql
srwxrwxrwx  mysql mysql user_u:object_r:mysqld_var_run_t:s0 mysql.sock
drwx------  mysql mysql root:object_r:mysqld_db_t:s0     test

CentOS 5.4

[McLeod095]

Хочу все-таки освоить SELinux. Может кто дать быстрое введение?

Ну и проблема.
Пускаю мускуль, не стартует.
Потом делаю

Код: Выделить всё

# /usr/sbin/setenforce Permissive
# /etc/init.d/mysqld start
Starting MySQL:                                            [  OK  ]
# dmesg |tail -n 4
type=1400 audit(1281632604.113:382): avc:  denied  { search } for  pid=2454 comm="mysqld" name="/" dev=dm-0 ino=2 scontext=user_u:system_r:mysqld_t:s0 tcontext=system_u:object_r:file_t:s0 tclass=dir
type=1400 audit(1281632604.139:383): avc:  denied  { getattr } for  pid=2454 comm="mysqld" path="/var" dev=dm-0 ino=2 scontext=user_u:system_r:mysqld_t:s0 tcontext=system_u:object_r:file_t:s0 tclass=dir
type=1400 audit(1281632604.143:384): avc:  denied  { getattr } for  pid=2454 comm="mysqld" path="/var/lib/mysql" dev=dm-0 ino=1736862 scontext=user_u:system_r:mysqld_t:s0 tcontext=root:object_r:var_lib_t:s0 tclass=lnk_file
type=1400 audit(1281632604.147:385): avc:  denied  { read } for  pid=2454 comm="mysqld" name="mysql" dev=dm-0 ino=1736862 scontext=user_u:system_r:mysqld_t:s0 tcontext=root:object_r:var_lib_t:s0 tclass=lnk_file

Код: Выделить всё

# ls -Z /var/lib/mysql
-rw-rw----  mysql mysql root:object_r:mysqld_db_t:s0     ibdata1
-rw-rw----  mysql mysql root:object_r:mysqld_db_t:s0     ib_logfile0
-rw-rw----  mysql mysql root:object_r:mysqld_db_t:s0     ib_logfile1
drwx------  mysql mysql root:object_r:mysqld_db_t:s0     mysql
srwxrwxrwx  mysql mysql user_u:object_r:mysqld_var_run_t:s0 mysql.sock
drwx------  mysql mysql root:object_r:mysqld_db_t:s0     test

CentOS 5.4

Так а в чем трабла???
У Вас как я понял все запустилось и все работает.
Ну а если уж разбираться то тогда полностью всю инфу
ls -laZ /var/lib | grep mysql
mount | grep mysql

То есть все что связано с мускулем в студию

Ну и в довесок все действия выполнять при
setenforce 1

[playnet]

Так а в чем трабла???
У Вас как я понял все запустилось и все работает.

В том, что в режиме Enforsing старт заканчивается [FAILED].

Ну а если уж разбираться то тогда полностью всю инфу
ls -laZ /var/lib | grep mysql
mount | grep mysql

Код: Выделить всё

[root@centos www]# ls -laZ /var/lib | grep mysql
lrwxrwxrwx  root   root    root:object_r:var_lib_t:s0       mysql

Код: Выделить всё

[root@centos www]# mount | grep mysql
[root@centos www]#

То есть все что связано с мускулем в студию

Ну и в довесок все действия выполнять при
setenforce 1

да, еще момент, сделанный хостером

Код: Выделить всё

[root@centos www]# ls -la /var/lib/|grep mysql
lrwxrwxrwx  1 root   root      11 Aug 12 19:30 mysql -> /home/mysql

Что сделать, чтобы при такой схеме работало?

и вопрос напоследок )
Был / с полной структурой, создал раздел для /var
Как теперь скопировать данные так, чтобы получить полную копию, включая selinux-флаги? просто данные перекинул уже через rsync -av /var/ /var-new

[McLeod095]

Так а в чем трабла???
У Вас как я понял все запустилось и все работает.

В том, что в режиме Enforsing старт заканчивается [FAILED].

Ну а если уж разбираться то тогда полностью всю инфу
ls -laZ /var/lib | grep mysql
mount | grep mysql

Код: Выделить всё

[root@centos www]# ls -laZ /var/lib | grep mysql
lrwxrwxrwx  root   root    root:object_r:var_lib_t:s0       mysql

Код: Выделить всё

[root@centos www]# mount | grep mysql
[root@centos www]#

То есть все что связано с мускулем в студию

Ну и в довесок все действия выполнять при
setenforce 1

да, еще момент, сделанный хостером

Код: Выделить всё

[root@centos www]# ls -la /var/lib/|grep mysql
lrwxrwxrwx  1 root   root      11 Aug 12 19:30 mysql -> /home/mysql

Что сделать, чтобы при такой схеме работало?

и вопрос напоследок )
Был / с полной структурой, создал раздел для /var
Как теперь скопировать данные так, чтобы получить полную копию, включая selinux-флаги? просто данные перекинул уже через rsync -av /var/ /var-new

Ну могу посоветовать тока вот это
chcon -t mysqld_db_t /home/mysql
на этот каталог естественно дать права
chown mysql.mysql /home/mysql
chmod 0755 /home/mysql
после чего попробовать стартануть службу
если не поможет то будем копать дальше

по поводу var
chcon -t var_t /var
ну и после чего
cp -ac old_var/ /var