快捷導(dǎo)航

CentOS 7系統(tǒng)下SELinux阻止MongoDB啟動(dòng)的問(wèn)題詳解

更新時(shí)間：2017年11月10日 10:22:40 作者：mydeman

這篇文章主要給大家介紹了關(guān)于CentOS 7系統(tǒng)下SELinux阻止MongoDB啟動(dòng)問(wèn)題的相關(guān)資料，文中通過(guò)示例代碼介紹的非常詳細(xì)，對(duì)大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價(jià)值，需要的朋友們下面隨著小編來(lái)一起學(xué)習(xí)學(xué)習(xí)吧。

問(wèn)題描述：

最近發(fā)現(xiàn)了一個(gè)問(wèn)題，在新裝的CentOS7上，安裝了MongoDB3.4，掛載了一個(gè)大的數(shù)據(jù)盤后，修改/etc/mongo.conf，將配置文件中的log和data目錄放在新的數(shù)據(jù)盤下，并修改文件的訪問(wèn)權(quán)限。

改完后的mongo.conf:

# mongod.conf

# for documentation of all options, see:
# http://docs.mongodb.org/manual/reference/configuration-options/

# where to write logging data.
systemLog:
 destination: file
 logAppend: true
 path: /data/mongodb/log/mongod.log

# Where and how to store data.
storage:
 dbPath: /data/mongodb/data
.....

文件權(quán)限：

# ls -alh
drwxr-xr-x. 5 mongod mongod 4.0K 11月 1 14:53 mongodb

# cd mongodb
# ls -alh
drwxr-xr-x. 3 mongod mongod 4.0K 11月 9 19:08 data
drwxr-xr-x. 2 mongod mongod 4.0K 11月 9 19:06 log
drwxr-xr-x. 2 mongod mongod 4.0K 11月 1 14:54 run

執(zhí)行systemctl start mongod命令后，查看狀態(tài)發(fā)現(xiàn)并沒(méi)有啟動(dòng)，查看/var/log/message，發(fā)現(xiàn)以下錯(cuò)誤

Nov 9 06:06:44 [localhost] setroubleshoot: failed to retrieve rpm info for /data/mongodb/run/mongod.pid
Nov 9 06:06:44 [localhost] setroubleshoot: SELinux is preventing /usr/bin/mongod from write access on the file /data/mongodb/run/mongod.pid. For complete SELinux messages run: sealert -l f7148e11-b126-401e-ba9f-a9a87c1e54ae
Nov 9 06:06:44 [localhost] python: SELinux is preventing /usr/bin/mongod from write access on the file /data/mongodb/run/mongod.pid.#012#012***** Plugin restorecon (94.8 confidence) suggests ************************#012#012If you want to fix the label. #012/data/mongodb/run/mongod.pid default label should be default_t.#012Then you can run restorecon.#012Do#012# /sbin/restorecon -v /data/mongodb/run/mongod.pid#012#012***** Plugin catchall_labels (5.21 confidence) suggests *******************#012#012If you want to allow mongod to have write access on the mongod.pid file#012Then you need to change the label on /data/mongodb/run/mongod.pid#012Do#012# semanage fcontext -a -t FILE_TYPE '/data/mongodb/run/mongod.pid'#012where FILE_TYPE is one of the following: afs_cache_t, initrc_tmp_t, mongod_log_t, mongod_tmp_t, mongod_var_lib_t, mongod_var_run_t, puppet_tmp_t, user_cron_spool_t.#012Then execute:#012restorecon -v '/data/mongodb/run/mongod.pid'#012#012#012***** Plugin catchall (1.44 confidence) suggests **************************#012#012If you believe that mongod should be allowed write access on the mongod.pid file by default.#012Then you should report this as a bug.#012You can generate a local policy module to allow this access.#012Do#012allow this access for now by executing:#012# ausearch -c 'mongod' --raw | audit2allow -M my-mongod#012# semodule -i my-mongod.pp#012

從提示中可以看出是SELinux的防護(hù)功能，阻止了訪問(wèn)。

SELinux

SELinux的全稱是Security Enhanced Linux, 就是安全加強(qiáng)的Linux。在SELinux之前，root賬號(hào)能夠任意的訪問(wèn)所有文檔和服務(wù)；如果某個(gè)文件設(shè)為777，那么任何用戶都可以訪問(wèn)甚至刪除；這種方式稱為DAC（主動(dòng)訪問(wèn)機(jī)制），很不安全。

DAC 自主訪問(wèn)控制: 用戶根據(jù)自己的文件權(quán)限來(lái)決定對(duì)文件的操作，也就是依據(jù)文件的own，group，other/r，w，x權(quán)限進(jìn)行限制。Root有最高權(quán)限無(wú)法限制。r，w，x權(quán)限劃分太粗糙。無(wú)法針對(duì)不同的進(jìn)程實(shí)現(xiàn)限制。

SELinux則是基于MAC（強(qiáng)制訪問(wèn)機(jī)制），簡(jiǎn)單的說(shuō)，就是程序和訪問(wèn)對(duì)象上都有一個(gè)安全標(biāo)簽（即selinux上下文）進(jìn)行區(qū)分，只有對(duì)應(yīng)的標(biāo)簽才能允許訪問(wèn)。否則即使權(quán)限是777，也是不能訪問(wèn)的。

在SELinux中，訪問(wèn)控制屬性叫做安全上下文。所有客體（文件、進(jìn)程間通訊通道、套接字、網(wǎng)絡(luò)主機(jī)等）和主體（進(jìn)程）都有與其關(guān)聯(lián)的安全上下文，一個(gè)安全上下文由三部分組成：用戶（u）、角色(r)和類型(t)標(biāo)識(shí)符。但我們最關(guān)注的是第三個(gè)部分

當(dāng)程序訪問(wèn)資源時(shí)，主體程序必須要通過(guò)selinux策略內(nèi)的規(guī)則放行后，就可以與目標(biāo)資源進(jìn)行安全上下文的比對(duì)，若比對(duì)失敗則無(wú)法存取目標(biāo)，若比對(duì)成功則可以開始存取目標(biāo)，最終能否存取目標(biāo)還要與文件系統(tǒng)的rwx權(quán)限的設(shè)定有關(guān)。所以啟用了selinux后出現(xiàn)權(quán)限不符的情況時(shí)，你就得一步一步的分析可能的問(wèn)題了。

解決過(guò)程：

/var/log/message中的信息看起來(lái)比較費(fèi)勁，里面有一句提示：

For complete SELinux messages run: sealert -l e73ba9e8-f74d-4835-9b53-85667546b28c

根據(jù)提示執(zhí)行：

# sealert -l e73ba9e8-f74d-4835-9b53-85667546b28c
SELinux is preventing /usr/bin/mongod from write access on the directory /data/mongodb/log.

***** Plugin catchall_labels (83.8 confidence) suggests *******************

If you want to allow mongod to have write access on the log directory
Then 必須更改 /data/mongodb/log 中的標(biāo)簽
Do
# semanage fcontext -a -t FILE_TYPE '/data/mongodb/log'

其中 FILE_TYPE 為以下內(nèi)容之一：mongod_log_t, mongod_tmp_t, mongod_var_lib_t, mongod_var_run_t, tmp_t, var_lib_t, var_log_t, var_run_t。

然后執(zhí)行：

restorecon -v '/data/mongodb/log'


***** Plugin catchall (17.1 confidence) suggests **************************
......

上面提示輸出中已經(jīng)包含了，解決方法：

# semanage fcontext -a -t mongo_log_t '/data/mongodb/log'
# restorecon -v '/data/mongodb/log'
restorecon reset /data/mongodb/log context unconfined_u:object_r:unlabeled_t:s0->unconfined_u:object_r:mongod_log_t:s0

上面命令執(zhí)行完畢后，就解決了/data/mongodb/log目錄的文件權(quán)限問(wèn)題。

同樣的方法，再解決/data/mongodb/data和/data/mongodb/run目錄的問(wèn)題。

啟動(dòng)mongod，問(wèn)題解決。

Nov 9 06:08:51 [localhost] systemd: Starting High-performance, schema-free document-oriented database...
Nov 9 06:08:51 [localhost] systemd: Started High-performance, schema-free document-oriented database.
Nov 9 06:08:51 [localhost] mongod: about to fork child process, waiting until server is ready for connections.
Nov 9 06:08:51 [localhost] mongod: forked process: 18218
Nov 9 06:08:51 [localhost] mongod: child process started successfully, parent exiting

P.S. 除了上面通過(guò)提示信息解決問(wèn)題外，還有一個(gè)比較暴力的方法，直接關(guān)閉SELinux，但是不太建議。