ubuntu1604环境下mariadb启动卡住报错和apparmor基本使用
问题描述:Ubuntu 1604 新环境下使用apt安装的mariadb10版本,结果第二天就起不来了,很是郁闷
启动时会卡住,过了一会儿就有返回信息了
启动失败,先查看一下状态 肯定也是不正常的,看一下有没有什么错误输出信息
然后再使用这个查看详细一点的报错
journalctl -xe
当时就只顾着找error关键字,没在意其他的,后来才注意到这个apparmor="DENIED" ,后来查了查,是什么应用程序访问控制系统;想必这个应该是ubuntu特有的安全机制,类似于centos的selinux
好在是新服务器没有什么数据,否则....
下面来看解决方法,打开apparmor这个配置,添加所需要的目录权限即可
例如:如果修改了数据苦库目录可以这样修改一下,因为本机环境是空的所以没有任何参数,如果有参数的话,为了安全起见 可以先copy一个再进行修改即可
原有配置:
/home/mysql/ r,
/home/mysql/** rwk,
修改为:新的数据目录并给予权限
/data/mysql/ r,
/data/mysql/** rwk,
重启AppArmor
/etc/init.d/apparmor reload
再次启动mariadb即可正常启动
如果有防火墙等安全设备的情况下,嫌麻烦也可以直接禁用此服务。
事实上,这个应用是Novell主导的,想必Suse上也有同样的设置,在/etc/apparmor.d目录下的增减文件可以在Linux文件系统权限之外基于程序对文件系统的访问操作进行限制。如果你想要限制一个/a/b的文件,对应的配置文件就是/etc/apparmor.d/a.b。内容应该很好理解了
下面介绍一下apparmor的基本使用
一:MAC和DAC
DAC(Discretionary Access Control),自主访问控制,是最常用的一类访问控制机制,意思为主体(文件所有者)可以自主指定系统中其它用户对其文件的所有权,最典型的就是Linux的"拥有者/同组用户/其他"。这种方式虽然为用户提供了很大的灵活性,但是缺乏必要的安全性
MAC(Mandat-ory Access Control),强制访问控制,在这种机制下,系统中的每一个进程,每一个文件,每一个IPC主体都被管理员按照严格的规则设置了相应的安全属性,不能被用户和其它直接或间接的修改。
二:Apparmor
由于SELinux使用复杂,适用于对安全要求特别高的企业或者组织,为了简化操作,就推出了Apparmor,所以可以说Apparmor脱胎于SELinux,但与SELinux基于角色的MAC不同的是,Apparmor是与程序绑定的基于路径的MAC,也就是说如果路径发生改变,策略就会失效。一般的Linux的系统,都会内置以上两种MAC其中的一种,这也意味着,你需要对文件(其它)进行操作,你需要同时通过DAC和 MAC的检测。
Apparmor有两种工作模式:enforcement、complain/learning
Enforcement – 在这种模式下,配置文件里列出的限制条件都会得到执行,并且对于违反这些限制条件的程序会进行日志记录。
Complain – 在这种模式下,配置文件里的限制条件不会得到执行,Apparmor只是对程序的行为进行记录。例如程序可以写一个在配置文件里注明只读的文件,但 Apparmor不会对程序的行为进行限制,只是进行记录。这种模式也叫学习模式,如果某个程序的行为不符合其配置文件的限制,可以将其行为记录到系统日志,并且可以根 据程序的行为,将日志转换成配置文件。
Apparmor可以对程序进行多方面的限制,详细可以看官方文档,这里只提供几个基本的例子:
(1)文件系统的访问控制 例: /home/Desktop/a.c rw 表示程序可以对/home/Desktop/a.c 进行读和写。
(2)资源限制 例: set rlimit as<=1M ,表示该程序可以使用的虚拟内存小于等于1M
(3)访问网络 例: network inet tcp ,表示该程序可以在IPV4的情况下使用TCP协议
(4)capability条目 例:capability setgid,表示程序进行setgid操作。
三:基本使用
ubuntu自带Apparmor,所以以ubuntu14.04为例。
最好先安装了apparmor的管理工具套装:apt-get install apparmor-utils
测试程序源码如下:
#include<stdio.h>
#include <string.h>
int main(int argc, char *argv[])
{
FILE *f;
int nn, i; char ch;
if(3 == argc){
f = fopen(argv[1], "w");
if(f == NULL){ printf("Open file %s with write ERROR\n", argv[1]);
return 2;
}
nn = strlen(argv[2]);
i = 0;
while(i < nn){
fputc(argv[2][i], f);
++i;
}
fclose(f);
}else if(argc == 2){
f = fopen(argv[1], "r");
if(NULL == f){
printf("Open file %s with read ERROR\n", argv[1]);
return 2;
}
while((ch=fgetc(f)) != EOF){
printf("%c", ch);
}
printf("\n");
fclose(f);
}else{
printf("Usage: test file **\n");
return 3;
} return 0;
}
基本功能是对文件进行读写,使用如下:
./test a.c "hello,world"进行写
./test a.c 进行读
可以根据 aa-genprof 生成配置文件,生成的文件在/etc/apparmor.d下,文件名为home.jdchen.test
生成的文件如下:
# Last Modified: Fri Nov 11 03:54:40 2016
#include <tunables/global> /home/jdchen/test {
#include <abstractions/base> }
由于apparmor采取类似于白名单的机制,所以不能进行任何操作。
现在给配置文件添加可写的权限并重新加载。
# Last Modified: Fri Nov 11 03:54:40 2016
#include <tunables/global> /home/jdchen/test {
#include <abstractions/base>
/home/jdchen/a.c w, }
然后介绍几个命令:
Start : sudo /etc/init.d/apparmor start 启动
Stop : sudo /etc/init.d/apparmor stop 停止
reload: sudo /etc/init.d/apparmor reload 重新加载
在修改配置之后,需要重载:
可以试着查看一下日志,节选:
ov 11 04:23:53 ubuntu kernel: [ 2419.881291] audit_printk_skb: 15 callbacks suppressed
Nov 11 04:23:53 ubuntu kernel: [ 2419.881306] audit: type=1400 audit(1478867033.872:204): apparmor="DENIED" operation="open" profile="/home/jdchen/test" name="/home/jdchen/a.c" pid=4108 comm="test" requested_mask="r" denied_mask="r" fsuid=0 ouid=0
Nov 11 04:24:07 ubuntu kernel: [ 2433.212034] audit: type=1400 audit(1478867047.204:205): apparmor="DENIED" operation="open" profile="/home/jdchen/test" name="/home/jdchen/a.c" pid=4111 comm="test" requested_mask="r" denied_mask="r" fsuid=0 ouid=0
如果不需要配置,可以直接将配置文件删除。
ubuntu1604环境下mariadb启动卡住报错和apparmor基本使用的更多相关文章
- Eclipse启动项目正常,放到tomcat下单独启动就报错的 一例
一个老的ssh的项目,进行二次开发(增加一些新功能)后, 首先用Eclipse中集成的Tomcat启动没有任何问题,但是把启动后的webapps下得目录放到 windows的普通tomcat下单独启动 ...
- window环境下npm install node-sass报错
最近准备想用vue-cli初始化一个项目,需要sass-loader编译: 发现window下npm install node-sass和sass-loader一直报错, window 命令行中提示我 ...
- ha环境下重新格式化hdfs报错
datanode启动不成功,如下所示,我的136,137.138都是datanode,都启动不了. 查看datanode日志文件发现报错: 一个报错Incompatible clusterIDs in ...
- thinkphp 5.0 lnmp环境下 无法访问,报错500(public目录)
两种方法: 1.修改fastcgi的配置文件 /usr/local/nginx/conf/fastcgi.conf fastcgi_param PHP_ADMIN_VALUE "open_b ...
- windows环境下安装scrapy框架报错问题--最快捷有效的解决方案
windows在执行如下命令,安装scrapy的过程中会报错: pip install scrapy 报错分析: windows环境下,会出现如下错误: 1.提示的错误是编译环境的问题,字面意思看需要 ...
- windows10环境下pip安装Scrapy报错
问题描述 当前环境win10,python_3.6.1,64位. 在windows下,在dos中运行pip install Scrapy报错: building 'twisted.test.raise ...
- ubuntu环境下重启mysql服务报错“No directory, logging in with HOME=-”
前提:使用系统的环境 3.13.0-24-generic mysql的版本:5.6.33 错误描述: 首先用mysqld_safe启动报错如下: root@zabbix-forFunction:~# ...
- Mac下idea启动H5报错:xcode-select: error: tool 'xcodebuild' requires Xcode, but active developer directory '/Library/Deve
1. 执行“ xcodebuild -showsdks ”,报错如下“xcode-select: error: tool 'xcodebuild' requires Xcode, but active ...
- ubuntu12.04下root启动wireshark报错解决办法
在ubuntu11.10以后版本中发现,安装wireshark后用root权限启动,弹出如下错误: Running as user “root” and group “root”. This coul ...
随机推荐
- Java的证书:HTTPS与SSL
在取得connection的时候和正常浏览器访问一样,仍然会验证服务端的证书是否被信任(权威机构发行或者被权威机构签名):如果服务端证书不被信任,则默认的实现就会有问题,一般来说,java在访问ssl ...
- python元类深入解析
元类 什么是元类 元类是类的类,是类的模板(就如对象的模板是类一样) 元类的实例为类,类的实例为对象 元类是用来产生类的 动态语言和静态语言最大的不同,就是函数和类的定义,不是编译时定义的,是运行时动 ...
- rsync通过服务同步、Linux系统日志、screen工具 使用介绍
第8周5月15日任务 课程内容: 10.32/10.33 rsync通过服务同步10.34 linux系统日志10.35 screen工具 扩展1. Linux日志文件总管logrotate http ...
- C语言I博客作业01
C语言I博客作业01 作业1 这个作业属于哪个课程? C语言程序设计I 这个作业要求在哪里? https://edu.cnblogs.com/campus/zswxy/CST2019-2/homewo ...
- iOS 一些struct类型的NSLog输出格式
https://my.oschina.net/sayonala/blog/215910 我们经常会输出一些坐标尺寸信息之类的,比如view的frame,是CGRect类型的,用frame.oringi ...
- su和sudo的区别与使用【华为云技术分享】
版权声明:本文为博主原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接和本声明. 本文链接:https://blog.csdn.net/devcloud/article/detai ...
- 一招教你如何修复MySQL slave中继日志损坏问题
[摘要]MySQL的Crash safe slave是指slave crash后,把slave重新拉起来可以继续从Master进行复制,不会出现复制错误也不会出现数据不一致. PS:华为云数据库特惠专 ...
- 新一代数据安全的制胜法宝-UBA
[摘要]在入侵防御领域,运用数据分析的方法保护数据的技术其实没有什么新的东西,比如防火墙-分析数据包的内容以及其他的元数据,如IP地址,从增长的数据条目中检测和阻断攻击者:防病毒软件不断的扫描文件系统 ...
- Python使用psutil模块,做你的电脑管家
电脑管家 也许大家都有这样的感觉,优化完美的电脑系统,你把电脑借给一个电脑小白使用上几天,等你拿回来的时候会发现,开机各种慢,乱七八糟的软件装了一大堆.那么我们如何使用Python来获取电脑的相关数据 ...
- 华为云BigData Pro解读: 鲲鹏云容器助力大数据破茧成蝶
华为云鲲鹏云容器 见证BigData Pro蝶变之旅大数据之路顺应人类科技的进步而诞生,一直顺风顺水,不到20年时间,已渗透到社会生产和人们生活的方方面面,.然而,伴随着信息量的指数级增长,大数据也开 ...