Install Mysql with SELinux on

前言：

今日在部署mysql應用時，遇到mysql無法啓動錯誤

環境：

系統：centos 6.8 x64

mysql：mysql 5.7

問題：

採用mysql 官方yum 源安裝mysql5.7，安裝後修改了my.cnf 默認的datadir 路徑爲自定義目錄。

啓動mysql 報datadir 目錄無權限，錯誤信息如下。

Initializing MySQL database:  mysqld: Can't create directory '/data/mysql/' (Errcode: 17 - File exists)
2016-09-20T01:51:47.062108Z 0 [Warning] TIMESTAMP with implicit DEFAULT value is deprecated. 
Please use --explicit_defaults_for_timestamp server option (see documentation for more details).
2016-09-20T01:51:47.064457Z 0 [ERROR] Aborting
[FAILED]

解決方案：

確認datadir 目錄屬主 屬組均爲mysql 用戶，應該不是用戶權限的問題，這時想起SELinux 默認是開啓狀態，會不會是SELinux 的問題，爲了確認問題，臨時關閉SELINUX

#setenforce 0

也可邊查看SELINUX 日誌邊啓動mysql服務

#tail -f /var/log/audit/audit.log

確認確實是SELinux 的原因，那就來修改 datadir 自定義目錄的SELinux 標籤。

首先查看默認目錄的SElinux 標籤

#ls -ldZ /var/lib/mysql

drwxr-x--x. mysql mysql system_u:object_r:mysqld_db_t:s0 /var/lib/mysql

設置自定義目錄的SELINUX 標籤爲以上值，並確認

#chcon -Rv -u system_u -t mysqld_db_t /data/mysql
#ls -ldZ /data/mysql

drwxr-x--x. mysql mysql system_u:object_r:mysqld_db_t:s0 /data/mysql/

這樣問題應該就解決了，啓動mysql

#service mysqld start

暈，居然還是同樣的問題，再次查看/data/mysql目錄的安全上下文

# ls -lZd /data/mysql/

drwxr-x--x. mysql mysql system_u:object_r:default_t:s0   /data/mysql/

汗，目錄的安全上下文居然變回默認值了，猜測可能是mysql啓動時重置了目錄的selinux安全上下文。

那有沒有辦法修改默認安全上下文的方法呢，只要你能想到的，就肯定是有的。

使用semanage 修改安全上下文的默認值，具體使用可見 http://man.linuxde.net/semanage

#semanage fcontext -a -t mysqld_db_t “/data/mysql(/.*)?“

接下來在將目錄的安全上下文恢復爲剛剛設置的默認值即可

#restorecon -Rv /data/mysql

如果使用的是非默認端口，還需修改端口的安全上下文

#semanage port -a -t mysqld_port_t -p tcp port_number

需要修改的安全上下文標籤值，是什麼這裏就用什麼，此處mysql 用的是mysqld_db_t 如果是http類的，用的就是http_port

啓動還是報同樣的錯誤

最後要修正下安全上下文

#fixfiles restore

********************************************filespec_add:  conflicting specifications for /var/log/boot.log and /var/spool/plymouth/boot.log, using system_u:object_r:plymouthd_spool_t:s0.
******************

再次啓動mysql就可以了

亦可通過查看selinux 文檔確認修改

#grep "/data/mysql" /etc/selinux/targeted/contexts/files/file_contexts.local

/data/mysql(/.*)?    system_u:object_r:mysqld_db_t:s0
/data/mysql    system_u:object_r:mysqld_db_t:s0

按照這種方式推理，直接在file_contexts.local 文件增加自定義目錄及對應安全上下文貌似也可以，

經驗證可行，但同樣需要執行

#fixfiles restore

總結：

遇到系統權限問題時，首先確認用戶權限設置是否正確，其次就要想到SELINUX 這個linux系統獨有的安全控制

selinux 太複雜，但在生產環境是一種不錯的安全機制