ubuntu1604环境下mariadb启动卡住报错和apparmor基本使用

问题描述：Ubuntu 1604 新环境下使用apt安装的mariadb10版本，结果次日就起不来了，非常郁闷

启动时会卡住，当时就慌了，这什么状况啊，昨天好好的今天就起不来了，过了一下子就有返回信息了

  启动失败，先查看一下状态 确定也是不正常的，看一下有没有什么错误输出信息

  而后再使用这个查看详细一点的报错

journalctl -xe

当时就只顾着找error关键字，没在乎其余的，后来才注意到这个apparmor="DENIED" ，后来查了查，是什么应用程序访问控制系统;想必这个应该是ubuntu特有的，太tm坑了，唉

接着就各类搜吧，赶忙把问题解决了，好在是新服务器没有什么数据，不然....

打开apparmor这个配置，添加所须要的目录权限便可

  例如：若是修改了数据苦库目录能够这样修改一下，由于本机环境是空的因此没有任何参数，若是有参数的话，为了安全起见  能够先copy一个再进行修改便可

原有配置：

/home/mysql/ r,
/home/mysql/** rwk,

 

修改成：新的数据目录并给予权限

/data/mysql/ r,
/data/mysql/** rwk,

 

重启AppArmor

/etc/init.d/apparmor reload

 

 

 再次启动mariadb便可正常启动

若是有防火墙等安全设备的状况下，嫌麻烦也能够直接禁用或者关闭掉此服务。

     事实上，这个应用是Novell主导的，想必Suse上也有一样的设置，在/etc/apparmor.d目录下的增减文件能够在Linux文件系统权限以外基于程序对文件系统的访问操做进行限制。若是你想要限制一个/a/b的文件，对应的配置文件就是/etc/apparmor.d/a.b。内容应该很好理解了

 

介绍一下apparmor的基本使用

　一：MAC和DAC

　　　　DAC(Discretionary Access Control)，自主访问控制，是最经常使用的一类访问控制机制，意思为主体（文件全部者）能够自主指定系统中其它用户对其文件的全部权，最典型的就是Linux的"拥有者/同组用户/其余"。这种方式虽然为用户提供了很大的灵活性，可是缺少必要的安全性

　　　　MAC(Mandat-ory Access Control)，强制访问控制,在这种机制下，系统中的每个进程，每个文件，每个IPC主体都被管理员按照严格的规则设置了相应的安全属性，不能被用户和其它直接或间接的修改。

　　二：Apparmor

　　　　因为SELinux使用复杂，适用于对安全要求特别高的企业或者组织，为了简化操做，就推出了Apparmor，因此能够说Apparmor脱胎于SELinux，但与SELinux基于角色的MAC不一样的是，Apparmor是与程序绑定的基于路径的MAC，也就是说若是路径发生改变，策略就会失效。通常的Linux的系统，都会内置以上两种MAC其中的一种，这也意味着，你须要对文件（其它）进行操做，你须要同时经过DAC和 MAC的检测。

　　　　　　Apparmor有两种工做模式：enforcement、complain/learning

　　　　　　Enforcement – 在这种模式下，配置文件里列出的限制条件都会获得执行，而且对于违反这些限制条件的程序会进行日志记录。

　　　　　　Complain – 在这种模式下，配置文件里的限制条件不会获得执行，Apparmor只是对程序的行为进行记录。例如程序能够写一个在配置文件里注明只读的文件，但　　         Apparmor不会对程序的行为进行限制，只是进行记录。这种模式也叫学习模式，若是某个程序的行为不符合其配置文件的限制，能够将其行为记录到系统日志，而且能够根         据程序的行为，将日志转换成配置文件。

　　　　Apparmor能够对程序进行多方面的限制，详细能够看官方文档，这里只提供几个基本的例子：

　　　　　　（1）文件系统的访问控制   例：  /home/Desktop/a.c rw 表示程序能够对/home/Desktop/a.c 进行读和写。

　　　　　　（2）资源限制   例： set rlimit as<=1M ，表示该程序可使用的虚拟内存小于等于1M

　　　　　　（3）访问网络   例： network inet tcp ,表示该程序能够在IPV4的状况下使用TCP协议 　

　　　　　　（4）capability条目 例：capability setgid，表示程序进行setgid操做。


　　三：基本使用

　　　　ubuntu自带Apparmor，因此以ubuntu14.04为例。

　　　　最好先安装了apparmor的管理工具套装：apt-get install apparmor-utils

　　　　测试程序源码以下：

#include<stdio.h>  
#include <string.h>  
int main(int argc, char *argv[])  
{  
 　　FILE *f;  
 　　int nn, i;   char ch;   
 　　if(3 == argc){   
  　　　　f = fopen(argv[1], "w");   
  　 if(f == NULL){                          printf("Open file %s with write ERROR\n", argv[1]);  
   　　return 2;  
　　　}   
  　nn = strlen(argv[2]);   
   i = 0;   
   while(i < nn){   
   　　fputc(argv[2][i], f);  
   　　++i; 
  　}  
  fclose(f); 
  }else if(argc == 2){  
  　　f = fopen(argv[1], "r");  
  　　if(NULL == f){  
   　　　　printf("Open file %s with read ERROR\n", argv[1]);  
   　　　　return 2;  
  　　}   
  　　while((ch=fgetc(f)) != EOF){   
   　　　　printf("%c", ch);  
 　　 }   
  　　printf("\n"); 
  　　fclose(f); 
 }else{ 
  　　printf("Usage: test file **\n");   
  　　return 3;  
 } 
 
　　 return 0;  
}

　　基本功能是对，文件进行读写，使用以下：

　　./test a.c "hello,world"进行写

　　./test a.c 进行读

　　能够根据 aa-genprof 生成配置文件，生成的文件在/etc/apparmor.d下，文件名为home.jdchen.test

　　　

　　生成的文件以下：

# Last Modified: Fri Nov 11 03:54:40 2016
#include <tunables/global>

/home/jdchen/test {
  #include <abstractions/base>


}

　　因为apparmor采起相似于白名单的机制，因此不能进行任何操做。

　　

　　如今给配置文件添加可写的权限并从新加载。

# Last Modified: Fri Nov 11 03:54:40 2016
#include <tunables/global>

/home/jdchen/test {
  #include <abstractions/base>
    /home/jdchen/a.c w，

}

　　而后介绍几个命令：

　　　　Start : sudo /etc/init.d/apparmor start 启动

　　　　Stop : sudo /etc/init.d/apparmor stop 中止

　　　　reload: sudo /etc/init.d/apparmor reload 从新加载

　　在修改配置以后，须要重载：

     

　  

　　能够试着查看一下日志，节选：

ov 11 04:23:53 ubuntu kernel: [ 2419.881291] audit_printk_skb: 15 callbacks suppressed
Nov 11 04:23:53 ubuntu kernel: [ 2419.881306] audit: type=1400 audit(1478867033.872:204): apparmor="DENIED" operation="open" profile="/home/jdchen/test" name="/home/jdchen/a.c" pid=4108 comm="test" requested_mask="r" denied_mask="r" fsuid=0 ouid=0
Nov 11 04:24:07 ubuntu kernel: [ 2433.212034] audit: type=1400 audit(1478867047.204:205): apparmor="DENIED" operation="open" profile="/home/jdchen/test" name="/home/jdchen/a.c" pid=4111 comm="test" requested_mask="r" denied_mask="r" fsuid=0 ouid=0

　　若是不须要配置，能够直接将配置文件删除。