問題描述:
最近發現了一個問題�,在新裝的CentOS7上���,安裝了MongoDB3.4�����,掛載了一個大的數據盤后�����,修改/etc/mongo.conf���,將配置文件中的log和data目錄放在新的數據盤下,并修改文件的訪問權限��。
改完后的mongo.conf:
# mongod.conf# for documentation of all options, see:# http://docs.mongodb.org/manual/reference/configuration-options/# where to write logging data.systemLog: destination: file logAppend: true path: /data/mongodb/log/mongod.log# Where and how to store data.storage: dbPath: /data/mongodb/data.....
文件權限:
# ls -alhdrwxr-xr-x. 5 mongod mongod 4.0K 11月 1 14:53 mongodb# cd mongodb# ls -alhdrwxr-xr-x. 3 mongod mongod 4.0K 11月 9 19:08 datadrwxr-xr-x. 2 mongod mongod 4.0K 11月 9 19:06 logdrwxr-xr-x. 2 mongod mongod 4.0K 11月 1 14:54 run
執行systemctl start mongod命令后�����,查看狀態發現并沒有啟動�,查看/var/log/message,發現以下錯誤
Nov 9 06:06:44 [localhost] setroubleshoot: failed to retrieve rpm info for /data/mongodb/run/mongod.pidNov 9 06:06:44 [localhost] setroubleshoot: SELinux is preventing /usr/bin/mongod from write access on the file /data/mongodb/run/mongod.pid. For complete SELinux messages run: sealert -l f7148e11-b126-401e-ba9f-a9a87c1e54aeNov 9 06:06:44 [localhost] python: SELinux is preventing /usr/bin/mongod from write access on the file /data/mongodb/run/mongod.pid.#012#012***** Plugin restorecon (94.8 confidence) suggests ************************#012#012If you want to fix the label. #012/data/mongodb/run/mongod.pid default label should be default_t.#012Then you can run restorecon.#012Do#012# /sbin/restorecon -v /data/mongodb/run/mongod.pid#012#012***** Plugin catchall_labels (5.21 confidence) suggests *******************#012#012If you want to allow mongod to have write access on the mongod.pid file#012Then you need to change the label on /data/mongodb/run/mongod.pid#012Do#012# semanage fcontext -a -t FILE_TYPE '/data/mongodb/run/mongod.pid'#012where FILE_TYPE is one of the following: afs_cache_t, initrc_tmp_t, mongod_log_t, mongod_tmp_t, mongod_var_lib_t, mongod_var_run_t, puppet_tmp_t, user_cron_spool_t.#012Then execute:#012restorecon -v '/data/mongodb/run/mongod.pid'#012#012#012***** Plugin catchall (1.44 confidence) suggests **************************#012#012If you believe that mongod should be allowed write access on the mongod.pid file by default.#012Then you should report this as a bug.#012You can generate a local policy module to allow this access.#012Do#012allow this access for now by executing:#012# ausearch -c 'mongod' --raw | audit2allow -M my-mongod#012# semodule -i my-mongod.pp#012
從提示中可以看出是SELinux的防護功能���,阻止了訪問�����。
SELinux
SELinux的全稱是Security Enhanced Linux, 就是安全加強的Linux���。在SELinux之前,root賬號能夠任意的訪問所有文檔和服務��;如果某個文件設為777����,那么任何用戶都可以訪問甚至刪除�;這種方式稱為DAC(主動訪問機制)�����,很不安全�����。
DAC 自主訪問控制: 用戶根據自己的文件權限來決定對文件的操作����,也就是依據文件的own,group�,other/r,w��,x權限進行限制�。Root有最高權限無法限制。r���,w�,x權限劃分太粗糙���。無法針對不同的進程實現限制���。
SELinux則是基于MAC(強制訪問機制)�����,簡單的說,就是程序和訪問對象上都有一個安全標簽(即selinux上下文)進行區分�����,只有對應的標簽才能允許訪問�����。否則即使權限是777�����,也是不能訪問的�����。
在SELinux中����,訪問控制屬性叫做安全上下文�。所有客體(文件���、進程間通訊通道���、套接字、網絡主機等)和主體(進程)都有與其關聯的安全上下文���,一個安全上下文由三部分組成:用戶(u)�、角色(r)和類型(t)標識符�����。但我們最關注的是第三個部分
當程序訪問資源時����,主體程序必須要通過selinux策略內的規則放行后,就可以與目標資源進行安全上下文的比對���,若比對失敗則無法存取目標����,若比對成功則可以開始存取目標,最終能否存取目標還要與文件系統的rwx權限的設定有關�。所以啟用了selinux后出現權限不符的情況時,你就得一步一步的分析可能的問題了����。
解決過程:
/var/log/message中的信息看起來比較費勁,里面有一句提示:
For complete SELinux messages run: sealert -l e73ba9e8-f74d-4835-9b53-85667546b28c
根據提示執行:
# sealert -l e73ba9e8-f74d-4835-9b53-85667546b28cSELinux is preventing /usr/bin/mongod from write access on the directory /data/mongodb/log.***** Plugin catchall_labels (83.8 confidence) suggests *******************If you want to allow mongod to have write access on the log directoryThen 必須更改 /data/mongodb/log 中的標簽Do# semanage fcontext -a -t FILE_TYPE '/data/mongodb/log'
其中 FILE_TYPE 為以下內容之一:mongod_log_t, mongod_tmp_t, mongod_var_lib_t, mongod_var_run_t, tmp_t, var_lib_t, var_log_t, var_run_t��。
然后執行:
restorecon -v '/data/mongodb/log'***** Plugin catchall (17.1 confidence) suggests **************************......
上面提示輸出中已經包含了��,解決方法:
# semanage fcontext -a -t mongo_log_t '/data/mongodb/log'# restorecon -v '/data/mongodb/log'restorecon reset /data/mongodb/log context unconfined_u:object_r:unlabeled_t:s0->unconfined_u:object_r:mongod_log_t:s0
上面命令執行完畢后�����,就解決了/data/mongodb/log目錄的文件權限問題����。
同樣的方法�,再解決/data/mongodb/data和/data/mongodb/run目錄的問題。
啟動mongod�,問題解決。
Nov 9 06:08:51 [localhost] systemd: Starting High-performance, schema-free document-oriented database...Nov 9 06:08:51 [localhost] systemd: Started High-performance, schema-free document-oriented database.Nov 9 06:08:51 [localhost] mongod: about to fork child process, waiting until server is ready for connections.Nov 9 06:08:51 [localhost] mongod: forked process: 18218Nov 9 06:08:51 [localhost] mongod: child process started successfully, parent exiting
P.S. 除了上面通過提示信息解決問題外����,還有一個比較暴力的方法���,直接關閉SELinux,但是不太建議��。
# setenforce 0# getenforcePermissive
上面是臨時關閉����,如果是永久關閉,就需要編輯/etc/selinux/config文件�����,將SELINUX=enforcing改為SELINUX=disabled�����,但是只有重啟后才會發揮作用���。
總結
以上就是這篇文章的全部內容了���,希望本文的內容對大家的學習或者工作具有一定的參考學習價值,如果有疑問大家可以留言交流�����,謝謝大家對武林網的支持。
