ubuntu1604環境下mariadb啓動卡住報錯和apparmor基本使用

問題描述：Ubuntu 1604 新環境下使用apt安裝的mariadb10版本，結果次日就起不來了，非常鬱悶

啓動時會卡住，當時就慌了，這什麼狀況啊，昨天好好的今天就起不來了，過了一下子就有返回信息了

  啓動失敗，先查看一下狀態 確定也是不正常的，看一下有沒有什麼錯誤輸出信息

  而後再使用這個查看詳細一點的報錯

journalctl -xe

當時就只顧着找error關鍵字，沒在乎其餘的，後來才注意到這個apparmor="DENIED" ，後來查了查，是什麼應用程序訪問控制系統;想必這個應該是ubuntu特有的，太tm坑了，唉

接着就各類搜吧，趕忙把問題解決了，好在是新服務器沒有什麼數據，不然....

打開apparmor這個配置，添加所須要的目錄權限便可

  例如：若是修改了數據苦庫目錄能夠這樣修改一下，由於本機環境是空的因此沒有任何參數，若是有參數的話，爲了安全起見  能夠先copy一個再進行修改便可

原有配置：

/home/mysql/ r,
/home/mysql/** rwk,

 

修改成：新的數據目錄並給予權限

/data/mysql/ r,
/data/mysql/** rwk,

 

重啓AppArmor

/etc/init.d/apparmor reload

 

 

 再次啓動mariadb便可正常啓動

若是有防火牆等安全設備的狀況下，嫌麻煩也能夠直接禁用或者關閉掉此服務。

     事實上，這個應用是Novell主導的，想必Suse上也有一樣的設置，在/etc/apparmor.d目錄下的增減文件能夠在Linux文件系統權限以外基於程序對文件系統的訪問操做進行限制。若是你想要限制一個/a/b的文件，對應的配置文件就是/etc/apparmor.d/a.b。內容應該很好理解了

 

介紹一下apparmor的基本使用

　一：MAC和DAC

　　　　DAC(Discretionary Access Control)，自主訪問控制，是最經常使用的一類訪問控制機制，意思爲主體（文件全部者）能夠自主指定系統中其它用戶對其文件的全部權，最典型的就是Linux的"擁有者/同組用戶/其餘"。這種方式雖然爲用戶提供了很大的靈活性，可是缺少必要的安全性

　　　　MAC(Mandat-ory Access Control)，強制訪問控制,在這種機制下，系統中的每個進程，每個文件，每個IPC主體都被管理員按照嚴格的規則設置了相應的安全屬性，不能被用戶和其它直接或間接的修改。

　　二：Apparmor

　　　　因爲SELinux使用複雜，適用於對安全要求特別高的企業或者組織，爲了簡化操做，就推出了Apparmor，因此能夠說Apparmor脫胎於SELinux，但與SELinux基於角色的MAC不一樣的是，Apparmor是與程序綁定的基於路徑的MAC，也就是說若是路徑發生改變，策略就會失效。通常的Linux的系統，都會內置以上兩種MAC其中的一種，這也意味着，你須要對文件（其它）進行操做，你須要同時經過DAC和 MAC的檢測。

　　　　　　Apparmor有兩種工做模式：enforcement、complain/learning

　　　　　　Enforcement – 在這種模式下，配置文件裏列出的限制條件都會獲得執行，而且對於違反這些限制條件的程序會進行日誌記錄。

　　　　　　Complain – 在這種模式下，配置文件裏的限制條件不會獲得執行，Apparmor只是對程序的行爲進行記錄。例如程序能夠寫一個在配置文件裏註明只讀的文件，但　　         Apparmor不會對程序的行爲進行限制，只是進行記錄。這種模式也叫學習模式，若是某個程序的行爲不符合其配置文件的限制，能夠將其行爲記錄到系統日誌，而且能夠根         據程序的行爲，將日誌轉換成配置文件。

　　　　Apparmor能夠對程序進行多方面的限制，詳細能夠看官方文檔，這裏只提供幾個基本的例子：

　　　　　　（1）文件系統的訪問控制   例：  /home/Desktop/a.c rw 表示程序能夠對/home/Desktop/a.c 進行讀和寫。

　　　　　　（2）資源限制   例： set rlimit as<=1M ，表示該程序可使用的虛擬內存小於等於1M

　　　　　　（3）訪問網絡   例： network inet tcp ,表示該程序能夠在IPV4的狀況下使用TCP協議 　

　　　　　　（4）capability條目 例：capability setgid，表示程序進行setgid操做。


　　三：基本使用

　　　　ubuntu自帶Apparmor，因此以ubuntu14.04爲例。

　　　　最好先安裝了apparmor的管理工具套裝：apt-get install apparmor-utils

　　　　測試程序源碼以下：

#include<stdio.h>  
#include <string.h>  
int main(int argc, char *argv[])  
{  
 　　FILE *f;  
 　　int nn, i;   char ch;   
 　　if(3 == argc){   
  　　　　f = fopen(argv[1], "w");   
  　 if(f == NULL){                          printf("Open file %s with write ERROR\n", argv[1]);  
   　　return 2;  
　　　}   
  　nn = strlen(argv[2]);   
   i = 0;   
   while(i < nn){   
   　　fputc(argv[2][i], f);  
   　　++i; 
  　}  
  fclose(f); 
  }else if(argc == 2){  
  　　f = fopen(argv[1], "r");  
  　　if(NULL == f){  
   　　　　printf("Open file %s with read ERROR\n", argv[1]);  
   　　　　return 2;  
  　　}   
  　　while((ch=fgetc(f)) != EOF){   
   　　　　printf("%c", ch);  
 　　 }   
  　　printf("\n"); 
  　　fclose(f); 
 }else{ 
  　　printf("Usage: test file **\n");   
  　　return 3;  
 } 
 
　　 return 0;  
}

　　基本功能是對，文件進行讀寫，使用以下：

　　./test a.c "hello,world"進行寫

　　./test a.c 進行讀

　　能夠根據 aa-genprof 生成配置文件，生成的文件在/etc/apparmor.d下，文件名爲home.jdchen.test

　　　

　　生成的文件以下：

# Last Modified: Fri Nov 11 03:54:40 2016
#include <tunables/global>

/home/jdchen/test {
  #include <abstractions/base>


}

　　因爲apparmor採起相似於白名單的機制，因此不能進行任何操做。

　　

　　如今給配置文件添加可寫的權限並從新加載。

# Last Modified: Fri Nov 11 03:54:40 2016
#include <tunables/global>

/home/jdchen/test {
  #include <abstractions/base>
    /home/jdchen/a.c w，

}

　　而後介紹幾個命令：

　　　　Start : sudo /etc/init.d/apparmor start 啓動

　　　　Stop : sudo /etc/init.d/apparmor stop 中止

　　　　reload: sudo /etc/init.d/apparmor reload 從新加載

　　在修改配置以後，須要重載：

     

　  

　　能夠試着查看一下日誌，節選：

ov 11 04:23:53 ubuntu kernel: [ 2419.881291] audit_printk_skb: 15 callbacks suppressed
Nov 11 04:23:53 ubuntu kernel: [ 2419.881306] audit: type=1400 audit(1478867033.872:204): apparmor="DENIED" operation="open" profile="/home/jdchen/test" name="/home/jdchen/a.c" pid=4108 comm="test" requested_mask="r" denied_mask="r" fsuid=0 ouid=0
Nov 11 04:24:07 ubuntu kernel: [ 2433.212034] audit: type=1400 audit(1478867047.204:205): apparmor="DENIED" operation="open" profile="/home/jdchen/test" name="/home/jdchen/a.c" pid=4111 comm="test" requested_mask="r" denied_mask="r" fsuid=0 ouid=0

　　若是不須要配置，能夠直接將配置文件刪除。