Re: PHP cannot connect to mysql server

• From: Daniel J Walsh
• To: "Fedora SELinux support list for users & developers."
• Subject: Re: PHP cannot connect to mysql server
• Date: Wed, 10 Nov 2004 10:52:22 -0500

I am running FC3 with selinux on targeted policy. When PHP tryies to connect to the mysql server i get this messages in dmesg:
sbin/httpd name=mysql.sock dev=hda3 ino=309535 scontext=user_u:system_r:httpd_t tcontext=user_u:object_r:var_lib_t tclass=sock_file
Disabling SELinux for Apache fix this, but I want to run httpd with selinux.
So how can i fix this?

--
fedora-selinux-list mailing list
fedora-selinux-list redhat com

   * Install selinux-policy-targeted-sources.
   * yum install selinux-policy-targeted-sources
   * cd /etc/selinux/targeted/src/policy
   * cp MYSQLD.te domains/program/
   * make load
   * rpm -q -l mysql | restorecon -R -f -
   * service mysql restart

   * Install selinux-policy-targeted-sources.
   * yum install selinux-policy-targeted-sources
   * cd /etc/selinux/targeted/src/policy
   * echo "allow httpd_t var_lib_t:sock_file rw_socket_perms;" >
     domains/program/httpd_socket.te
   * make load

#DESC Mysqld - Database server
#
# Author:  Russell Coker 
# X-Debian-Packages: mysql-server
#

#################################
#
# Rules for the mysqld_t domain.
#
# mysqld_exec_t is the type of the mysqld executable.
#
daemon_domain(mysqld)

type mysqld_port_t, port_type;
allow mysqld_t mysqld_port_t:tcp_socket name_bind;

allow mysqld_t mysqld_var_run_t:sock_file create_file_perms;

etcdir_domain(mysqld)
typealias mysqld_etc_t alias etc_mysqld_t;
type mysqld_db_t, file_type, sysadmfile;

log_domain(mysqld)

# for temporary tables
tmp_domain(mysqld)

allow mysqld_t usr_t:file { getattr read };

allow mysqld_t self:fifo_file { read write };
allow mysqld_t self:unix_stream_socket create_stream_socket_perms;
allow initrc_t mysqld_t:unix_stream_socket connectto;
allow initrc_t mysqld_var_run_t:sock_file write;

allow initrc_t mysqld_log_t:file { write append setattr ioctl };

allow mysqld_t self:capability { dac_override setgid setuid };
allow mysqld_t self:process getsched;

allow mysqld_t proc_t:file { getattr read };

# Allow access to the mysqld databases
create_dir_file(mysqld_t, mysqld_db_t)
allow mysqld_t var_lib_t:dir { getattr search };

can_network(mysqld_t)
can_ypbind(mysqld_t)

# read config files
r_dir_file(initrc_t, mysqld_etc_t)
allow mysqld_t { etc_t etc_runtime_t }:{ file lnk_file } { read getattr };

allow mysqld_t etc_t:dir search;

allow mysqld_t sysctl_kernel_t:dir search;
allow mysqld_t sysctl_kernel_t:file read;

can_unix_connect(sysadm_t, mysqld_t)

# for /root/.my.cnf - should not be needed
allow mysqld_t sysadm_home_dir_t:dir search;
allow mysqld_t sysadm_home_t:file { read getattr };

ifdef(`logrotate.te', `
r_dir_file(logrotate_t, mysqld_etc_t)
allow logrotate_t mysqld_db_t:dir search;
allow logrotate_t mysqld_var_run_t:dir search;
allow logrotate_t mysqld_var_run_t:sock_file write;
can_unix_connect(logrotate_t, mysqld_t)
')

ifdef(`user_db_connect', `
allow userdomain mysqld_var_run_t:dir search;
allow userdomain mysqld_var_run_t:sock_file write;
')

ifdef(`daemontools.te', `
domain_auto_trans( svc_run_t, mysqld_exec_t, mysqld_t)
allow svc_start_t mysqld_t:process signal;
svc_ipc_domain(mysqld_t)
')dnl end ifdef daemontools

ifdef(`distro_redhat', `
allow initrc_t mysqld_db_t:dir create_dir_perms;

# because Fedora has the sock_file in the database directory
file_type_auto_trans(mysqld_t, mysqld_db_t, mysqld_var_run_t, sock_file)
')

• Follow-Ups:
  • • From: dragoran

• References:
  • • From: dragoran

Chinaunix首页 | 论坛 | 博客

博文 博主

ELM's Blogwenzk.blog.chinaunix.net

• 4月28日14:30-20:30机房服务器迁移，暂停博客使用
• 9/30日 14:00 -10/4日 08:00暂时无法发布内容！
• 9/30日 14:00 -10/4日 08:00暂时无法发布内容！

首页　| 　博文目录　| 　关于我

wenzk

• 博客访问： 7683581
• 博文数量： 637
• 博客积分： 10265
• 博客等级： 上将
• 技术积分： 6165
• 用 户 组： 普通用户
• 注册时间： 2004-12-12 22:00

文章分类

全部博文（637）

• 程序设计（9）
• Solaris系统（22）
• 数码相机（8）
• IT新技术（11）
• DNS相关（16）
• Office相关（13）
• OpenVPN（2）
• 供电系统（9）
• 工作相关（79）
• BSD杂谈（46）
• 数据库相关（35）
• 乱七八糟（31）
• Linux系统相关（224）
• 自娱自乐（19）
• 邮件系统相关（39）
• 计算机网络（73）
• 未分配的博文（1）

文章存档

2011年（1）

• 2011年07月（1）

2010年（1）

• 2010年02月（1）

2009年（3）

• 2009年09月（2）
• 2009年05月（1）

2008年（12）

• 2008年06月（1）
• 2008年04月（9）
• 2008年03月（1）
• 2008年01月（1）

2007年（44）

• 2007年11月（2）
• 2007年10月（1）
• 2007年09月（1）
• 2007年07月（1）
• 2007年06月（11）
• 2007年05月（4）
• 2007年04月（5）
• 2007年03月（13）
• 2007年01月（6）

2006年（156）

• 2006年11月（3）
• 2006年10月（8）
• 2006年09月（1）
• 2006年08月（8）
• 2006年06月（12）
• 2006年05月（12）
• 2006年04月（4）
• 2006年03月（25）
• 2006年02月（24）
• 2006年01月（59）

2005年（419）

• 2005年12月（55）
• 2005年11月（20）
• 2005年10月（79）
• 2005年09月（11）
• 2005年08月（22）
• 2005年07月（44）
• 2005年06月（81）
• 2005年05月（48）
• 2005年04月（11）
• 2005年03月（48）

2004年（1）

• 2004年12月（1）

我的朋友

• 

  一鸣雨

• 

  叶绍琛

• 

  大鬼不动

• 

  myeer

• 

  chbljy12

• 

  flashfir

• 

  techim

• 

  非洲乌龟

• 

  wangzhan

最近访客

• 

  beyand81

• 

  lyg111

• 

  khls27

• 

  gaokeke1

• 

  5sky

• 

  suixiaof

• 

  djx2020

• 

  cynthia

• 

  浪花小雨

推荐博文

• ·ORACLE SQL overlap时间段重...
• ·Rust入门到精通(三）—— 不...
• ·Oracle 1582-10-07问题
• ·1：Python开发：初识Python...
• ·ORACLE物理结构

相关博文

• ·通过内置FTP服务共享本地文件...
• ·Jtti：教你如何远程管理Linux...
• ·Linux中如何删除文件和目录？...
• ·百度搜索：蓝易云 - k8s部署n...
• ·百度搜索：蓝易云 - DNS部署...
• ·SQL数据库的错误处理机制是怎...
• ·Ubuntu linux 命令总结
• ·内网穿透详解：从传统方式到P...
• ·CentOS设置单用户模式快速修...
• ·FMEA在网络安全中的应用实践...

PHP cannot connect to mysql server (FC3 SELinux)

分类： LINUX

2006-02-26 08:48:42

---

[][]   [][]   [] [] []

Re: PHP cannot connect to mysql server

---

• From: Daniel J Walsh
• To: "Fedora SELinux support list for users & developers."
• Subject: Re: PHP cannot connect to mysql server
• Date: Wed, 10 Nov 2004 10:52:22 -0500

---

dragoran wrote:

I am running FC3 with selinux on targeted policy. When PHP tryies to connect to the mysql server i get this messages in dmesg:
sbin/httpd name=mysql.sock dev=hda3 ino=309535 scontext=user_u:system_r:httpd_t tcontext=user_u:object_r:var_lib_t tclass=sock_file
Disabling SELinux for Apache fix this, but I want to run httpd with selinux.
So how can i fix this?

--
fedora-selinux-list mailing list
fedora-selinux-list redhat com

A couple of things to try.

I am thinking of adding mysqld.te file to targeted policy. (attached)

You can try to use it by doing the following

   * Install selinux-policy-targeted-sources.
   * yum install selinux-policy-targeted-sources
   * cd /etc/selinux/targeted/src/policy
   * cp MYSQLD.te domains/program/
   * make load
   * rpm -q -l mysql | restorecon -R -f -
   * service mysql restart

Or you can just add the ability to write to sock_files in var lib.

   * Install selinux-policy-targeted-sources.
   * yum install selinux-policy-targeted-sources
   * cd /etc/selinux/targeted/src/policy
   * echo "allow httpd_t var_lib_t:sock_file rw_socket_perms;" >
     domains/program/httpd_socket.te
   * make load

#DESC Mysqld - Database server
#
# Author:  Russell Coker 
# X-Debian-Packages: mysql-server
#

#################################
#
# Rules for the mysqld_t domain.
#
# mysqld_exec_t is the type of the mysqld executable.
#
daemon_domain(mysqld)

type mysqld_port_t, port_type;
allow mysqld_t mysqld_port_t:tcp_socket name_bind;

allow mysqld_t mysqld_var_run_t:sock_file create_file_perms;

etcdir_domain(mysqld)
typealias mysqld_etc_t alias etc_mysqld_t;
type mysqld_db_t, file_type, sysadmfile;

log_domain(mysqld)

# for temporary tables
tmp_domain(mysqld)

allow mysqld_t usr_t:file { getattr read };

allow mysqld_t self:fifo_file { read write };
allow mysqld_t self:unix_stream_socket create_stream_socket_perms;
allow initrc_t mysqld_t:unix_stream_socket connectto;
allow initrc_t mysqld_var_run_t:sock_file write;

allow initrc_t mysqld_log_t:file { write append setattr ioctl };

allow mysqld_t self:capability { dac_override setgid setuid };
allow mysqld_t self:process getsched;

allow mysqld_t proc_t:file { getattr read };

# Allow access to the mysqld databases
create_dir_file(mysqld_t, mysqld_db_t)
allow mysqld_t var_lib_t:dir { getattr search };

can_network(mysqld_t)
can_ypbind(mysqld_t)

# read config files
r_dir_file(initrc_t, mysqld_etc_t)
allow mysqld_t { etc_t etc_runtime_t }:{ file lnk_file } { read getattr };

allow mysqld_t etc_t:dir search;

allow mysqld_t sysctl_kernel_t:dir search;
allow mysqld_t sysctl_kernel_t:file read;

can_unix_connect(sysadm_t, mysqld_t)

# for /root/.my.cnf - should not be needed
allow mysqld_t sysadm_home_dir_t:dir search;
allow mysqld_t sysadm_home_t:file { read getattr };

ifdef(`logrotate.te', `
r_dir_file(logrotate_t, mysqld_etc_t)
allow logrotate_t mysqld_db_t:dir search;
allow logrotate_t mysqld_var_run_t:dir search;
allow logrotate_t mysqld_var_run_t:sock_file write;
can_unix_connect(logrotate_t, mysqld_t)
')

ifdef(`user_db_connect', `
allow userdomain mysqld_var_run_t:dir search;
allow userdomain mysqld_var_run_t:sock_file write;
')

ifdef(`daemontools.te', `
domain_auto_trans( svc_run_t, mysqld_exec_t, mysqld_t)
allow svc_start_t mysqld_t:process signal;
svc_ipc_domain(mysqld_t)
')dnl end ifdef daemontools

ifdef(`distro_redhat', `
allow initrc_t mysqld_db_t:dir create_dir_perms;

# because Fedora has the sock_file in the database directory
file_type_auto_trans(mysqld_t, mysqld_db_t, mysqld_var_run_t, sock_file)
')

---

• Follow-Ups:
  • • From: dragoran

• References:
  • • From: dragoran

[][]   [][]   [] [] []

Chinaunix首页 | 论坛 | 博客

博文 博主

ELM's Blogwenzk.blog.chinaunix.net

• 4月28日14:30-20:30机房服务器迁移，暂停博客使用
• 9/30日 14:00 -10/4日 08:00暂时无法发布内容！
• 9/30日 14:00 -10/4日 08:00暂时无法发布内容！

首页　| 　博文目录　| 　关于我

wenzk

• 博客访问： 7683582
• 博文数量： 637
• 博客积分： 10265
• 博客等级： 上将
• 技术积分： 6165
• 用 户 组： 普通用户
• 注册时间： 2004-12-12 22:00

文章分类

全部博文（637）

• 程序设计（9）
• Solaris系统（22）
• 数码相机（8）
• IT新技术（11）
• DNS相关（16）
• Office相关（13）
• OpenVPN（2）
• 供电系统（9）
• 工作相关（79）
• BSD杂谈（46）
• 数据库相关（35）
• 乱七八糟（31）
• Linux系统相关（224）
• 自娱自乐（19）
• 邮件系统相关（39）
• 计算机网络（73）
• 未分配的博文（1）

文章存档

2011年（1）

• 2011年07月（1）

2010年（1）

• 2010年02月（1）

2009年（3）

• 2009年09月（2）
• 2009年05月（1）

2008年（12）

• 2008年06月（1）
• 2008年04月（9）
• 2008年03月（1）
• 2008年01月（1）

2007年（44）

• 2007年11月（2）
• 2007年10月（1）
• 2007年09月（1）
• 2007年07月（1）
• 2007年06月（11）
• 2007年05月（4）
• 2007年04月（5）
• 2007年03月（13）
• 2007年01月（6）

2006年（156）

• 2006年11月（3）
• 2006年10月（8）
• 2006年09月（1）
• 2006年08月（8）
• 2006年06月（12）
• 2006年05月（12）
• 2006年04月（4）
• 2006年03月（25）
• 2006年02月（24）
• 2006年01月（59）

2005年（419）

• 2005年12月（55）
• 2005年11月（20）
• 2005年10月（79）
• 2005年09月（11）
• 2005年08月（22）
• 2005年07月（44）
• 2005年06月（81）
• 2005年05月（48）
• 2005年04月（11）
• 2005年03月（48）

2004年（1）

• 2004年12月（1）

我的朋友

• 

  一鸣雨

• 

  叶绍琛

• 

  大鬼不动

• 

  myeer

• 

  chbljy12

• 

  flashfir

• 

  techim

• 

  非洲乌龟

• 

  wangzhan

最近访客

• 

  beyand81

• 

  lyg111

• 

  khls27

• 

  gaokeke1

• 

  5sky

• 

  suixiaof

• 

  djx2020

• 

  cynthia

• 

  浪花小雨

推荐博文

• ·ORACLE SQL overlap时间段重...
• ·Rust入门到精通(三）—— 不...
• ·Oracle 1582-10-07问题
• ·1：Python开发：初识Python...
• ·ORACLE物理结构

相关博文

• ·通过内置FTP服务共享本地文件...
• ·Jtti：教你如何远程管理Linux...
• ·Linux中如何删除文件和目录？...
• ·百度搜索：蓝易云 - k8s部署n...
• ·百度搜索：蓝易云 - DNS部署...
• ·SQL数据库的错误处理机制是怎...
• ·Ubuntu linux 命令总结
• ·内网穿透详解：从传统方式到P...
• ·CentOS设置单用户模式快速修...
• ·FMEA在网络安全中的应用实践...

PHP cannot connect to mysql server (FC3 SELinux)

分类： LINUX

2006-02-26 08:48:42

---

[][]   [][]   [] [] []

Re: PHP cannot connect to mysql server

---

• From: Daniel J Walsh
• To: "Fedora SELinux support list for users & developers."
• Subject: Re: PHP cannot connect to mysql server
• Date: Wed, 10 Nov 2004 10:52:22 -0500

---

dragoran wrote:

I am running FC3 with selinux on targeted policy. When PHP tryies to connect to the mysql server i get this messages in dmesg:
sbin/httpd name=mysql.sock dev=hda3 ino=309535 scontext=user_u:system_r:httpd_t tcontext=user_u:object_r:var_lib_t tclass=sock_file
Disabling SELinux for Apache fix this, but I want to run httpd with selinux.
So how can i fix this?

--
fedora-selinux-list mailing list
fedora-selinux-list redhat com

A couple of things to try.

I am thinking of adding mysqld.te file to targeted policy. (attached)

You can try to use it by doing the following

   * Install selinux-policy-targeted-sources.
   * yum install selinux-policy-targeted-sources
   * cd /etc/selinux/targeted/src/policy
   * cp MYSQLD.te domains/program/
   * make load
   * rpm -q -l mysql | restorecon -R -f -
   * service mysql restart

Or you can just add the ability to write to sock_files in var lib.

   * Install selinux-policy-targeted-sources.
   * yum install selinux-policy-targeted-sources
   * cd /etc/selinux/targeted/src/policy
   * echo "allow httpd_t var_lib_t:sock_file rw_socket_perms;" >
     domains/program/httpd_socket.te
   * make load

#DESC Mysqld - Database server
#
# Author:  Russell Coker 
# X-Debian-Packages: mysql-server
#

#################################
#
# Rules for the mysqld_t domain.
#
# mysqld_exec_t is the type of the mysqld executable.
#
daemon_domain(mysqld)

type mysqld_port_t, port_type;
allow mysqld_t mysqld_port_t:tcp_socket name_bind;

allow mysqld_t mysqld_var_run_t:sock_file create_file_perms;

etcdir_domain(mysqld)
typealias mysqld_etc_t alias etc_mysqld_t;
type mysqld_db_t, file_type, sysadmfile;

log_domain(mysqld)

# for temporary tables
tmp_domain(mysqld)

allow mysqld_t usr_t:file { getattr read };

allow mysqld_t self:fifo_file { read write };
allow mysqld_t self:unix_stream_socket create_stream_socket_perms;
allow initrc_t mysqld_t:unix_stream_socket connectto;
allow initrc_t mysqld_var_run_t:sock_file write;

allow initrc_t mysqld_log_t:file { write append setattr ioctl };

allow mysqld_t self:capability { dac_override setgid setuid };
allow mysqld_t self:process getsched;

allow mysqld_t proc_t:file { getattr read };

# Allow access to the mysqld databases
create_dir_file(mysqld_t, mysqld_db_t)
allow mysqld_t var_lib_t:dir { getattr search };

can_network(mysqld_t)
can_ypbind(mysqld_t)

# read config files
r_dir_file(initrc_t, mysqld_etc_t)
allow mysqld_t { etc_t etc_runtime_t }:{ file lnk_file } { read getattr };

allow mysqld_t etc_t:dir search;

allow mysqld_t sysctl_kernel_t:dir search;
allow mysqld_t sysctl_kernel_t:file read;

can_unix_connect(sysadm_t, mysqld_t)

# for /root/.my.cnf - should not be needed
allow mysqld_t sysadm_home_dir_t:dir search;
allow mysqld_t sysadm_home_t:file { read getattr };

ifdef(`logrotate.te', `
r_dir_file(logrotate_t, mysqld_etc_t)
allow logrotate_t mysqld_db_t:dir search;
allow logrotate_t mysqld_var_run_t:dir search;
allow logrotate_t mysqld_var_run_t:sock_file write;
can_unix_connect(logrotate_t, mysqld_t)
')

ifdef(`user_db_connect', `
allow userdomain mysqld_var_run_t:dir search;
allow userdomain mysqld_var_run_t:sock_file write;
')

ifdef(`daemontools.te', `
domain_auto_trans( svc_run_t, mysqld_exec_t, mysqld_t)
allow svc_start_t mysqld_t:process signal;
svc_ipc_domain(mysqld_t)
')dnl end ifdef daemontools

ifdef(`distro_redhat', `
allow initrc_t mysqld_db_t:dir create_dir_perms;

# because Fedora has the sock_file in the database directory
file_type_auto_trans(mysqld_t, mysqld_db_t, mysqld_var_run_t, sock_file)
')

---

• Follow-Ups:
  • • From: dragoran

• References:
  • • From: dragoran

[][]   [][]   [] [] []

Chinaunix首页 | 论坛 | 博客

博文 博主

ELM's Blogwenzk.blog.chinaunix.net

• 4月28日14:30-20:30机房服务器迁移，暂停博客使用
• 9/30日 14:00 -10/4日 08:00暂时无法发布内容！
• 9/30日 14:00 -10/4日 08:00暂时无法发布内容！

首页　| 　博文目录　| 　关于我

wenzk

• 博客访问： 7683583
• 博文数量： 637
• 博客积分： 10265
• 博客等级： 上将
• 技术积分： 6165
• 用 户 组： 普通用户
• 注册时间： 2004-12-12 22:00

文章分类

全部博文（637）

• 程序设计（9）
• Solaris系统（22）
• 数码相机（8）
• IT新技术（11）
• DNS相关（16）
• Office相关（13）
• OpenVPN（2）
• 供电系统（9）
• 工作相关（79）
• BSD杂谈（46）
• 数据库相关（35）
• 乱七八糟（31）
• Linux系统相关（224）
• 自娱自乐（19）
• 邮件系统相关（39）
• 计算机网络（73）
• 未分配的博文（1）

文章存档

2011年（1）

• 2011年07月（1）

2010年（1）

• 2010年02月（1）

2009年（3）

• 2009年09月（2）
• 2009年05月（1）

2008年（12）

• 2008年06月（1）
• 2008年04月（9）
• 2008年03月（1）
• 2008年01月（1）

2007年（44）

• 2007年11月（2）
• 2007年10月（1）
• 2007年09月（1）
• 2007年07月（1）
• 2007年06月（11）
• 2007年05月（4）
• 2007年04月（5）
• 2007年03月（13）
• 2007年01月（6）

2006年（156）

• 2006年11月（3）
• 2006年10月（8）
• 2006年09月（1）
• 2006年08月（8）
• 2006年06月（12）
• 2006年05月（12）
• 2006年04月（4）
• 2006年03月（25）
• 2006年02月（24）
• 2006年01月（59）

2005年（419）

• 2005年12月（55）
• 2005年11月（20）
• 2005年10月（79）
• 2005年09月（11）
• 2005年08月（22）
• 2005年07月（44）
• 2005年06月（81）
• 2005年05月（48）
• 2005年04月（11）
• 2005年03月（48）

2004年（1）

• 2004年12月（1）

我的朋友

• 

  一鸣雨

• 

  叶绍琛

• 

  大鬼不动

• 

  myeer

• 

  chbljy12

• 

  flashfir

• 

  techim

• 

  非洲乌龟

• 

  wangzhan

最近访客

• 

  beyand81

• 

  lyg111

• 

  khls27

• 

  gaokeke1

• 

  5sky

• 

  suixiaof

• 

  djx2020

• 

  cynthia

• 

  浪花小雨

推荐博文

• ·ORACLE SQL overlap时间段重...
• ·Rust入门到精通(三）—— 不...
• ·Oracle 1582-10-07问题
• ·1：Python开发：初识Python...
• ·ORACLE物理结构

相关博文

• ·通过内置FTP服务共享本地文件...
• ·Jtti：教你如何远程管理Linux...
• ·Linux中如何删除文件和目录？...
• ·百度搜索：蓝易云 - k8s部署n...
• ·百度搜索：蓝易云 - DNS部署...
• ·SQL数据库的错误处理机制是怎...
• ·Ubuntu linux 命令总结
• ·内网穿透详解：从传统方式到P...
• ·CentOS设置单用户模式快速修...
• ·FMEA在网络安全中的应用实践...

PHP cannot connect to mysql server (FC3 SELinux)

分类： LINUX

2006-02-26 08:48:42

---

[][]   [][]   [] [] []

Re: PHP cannot connect to mysql server

---

• From: Daniel J Walsh
• To: "Fedora SELinux support list for users & developers."
• Subject: Re: PHP cannot connect to mysql server
• Date: Wed, 10 Nov 2004 10:52:22 -0500

---

dragoran wrote:

I am running FC3 with selinux on targeted policy. When PHP tryies to connect to the mysql server i get this messages in dmesg:
sbin/httpd name=mysql.sock dev=hda3 ino=309535 scontext=user_u:system_r:httpd_t tcontext=user_u:object_r:var_lib_t tclass=sock_file
Disabling SELinux for Apache fix this, but I want to run httpd with selinux.
So how can i fix this?

--
fedora-selinux-list mailing list
fedora-selinux-list redhat com

A couple of things to try.

I am thinking of adding mysqld.te file to targeted policy. (attached)

You can try to use it by doing the following

   * Install selinux-policy-targeted-sources.
   * yum install selinux-policy-targeted-sources
   * cd /etc/selinux/targeted/src/policy
   * cp MYSQLD.te domains/program/
   * make load
   * rpm -q -l mysql | restorecon -R -f -
   * service mysql restart

Or you can just add the ability to write to sock_files in var lib.

   * Install selinux-policy-targeted-sources.
   * yum install selinux-policy-targeted-sources
   * cd /etc/selinux/targeted/src/policy
   * echo "allow httpd_t var_lib_t:sock_file rw_socket_perms;" >
     domains/program/httpd_socket.te
   * make load

#DESC Mysqld - Database server
#
# Author:  Russell Coker 
# X-Debian-Packages: mysql-server
#

#################################
#
# Rules for the mysqld_t domain.
#
# mysqld_exec_t is the type of the mysqld executable.
#
daemon_domain(mysqld)

type mysqld_port_t, port_type;
allow mysqld_t mysqld_port_t:tcp_socket name_bind;

allow mysqld_t mysqld_var_run_t:sock_file create_file_perms;

etcdir_domain(mysqld)
typealias mysqld_etc_t alias etc_mysqld_t;
type mysqld_db_t, file_type, sysadmfile;

log_domain(mysqld)

# for temporary tables
tmp_domain(mysqld)

allow mysqld_t usr_t:file { getattr read };

allow mysqld_t self:fifo_file { read write };
allow mysqld_t self:unix_stream_socket create_stream_socket_perms;
allow initrc_t mysqld_t:unix_stream_socket connectto;
allow initrc_t mysqld_var_run_t:sock_file write;

allow initrc_t mysqld_log_t:file { write append setattr ioctl };

allow mysqld_t self:capability { dac_override setgid setuid };
allow mysqld_t self:process getsched;

allow mysqld_t proc_t:file { getattr read };

# Allow access to the mysqld databases
create_dir_file(mysqld_t, mysqld_db_t)
allow mysqld_t var_lib_t:dir { getattr search };

can_network(mysqld_t)
can_ypbind(mysqld_t)

# read config files
r_dir_file(initrc_t, mysqld_etc_t)
allow mysqld_t { etc_t etc_runtime_t }:{ file lnk_file } { read getattr };

allow mysqld_t etc_t:dir search;

allow mysqld_t sysctl_kernel_t:dir search;
allow mysqld_t sysctl_kernel_t:file read;

can_unix_connect(sysadm_t, mysqld_t)

# for /root/.my.cnf - should not be needed
allow mysqld_t sysadm_home_dir_t:dir search;
allow mysqld_t sysadm_home_t:file { read getattr };

ifdef(`logrotate.te', `
r_dir_file(logrotate_t, mysqld_etc_t)
allow logrotate_t mysqld_db_t:dir search;
allow logrotate_t mysqld_var_run_t:dir search;
allow logrotate_t mysqld_var_run_t:sock_file write;
can_unix_connect(logrotate_t, mysqld_t)
')

ifdef(`user_db_connect', `
allow userdomain mysqld_var_run_t:dir search;
allow userdomain mysqld_var_run_t:sock_file write;
')

ifdef(`daemontools.te', `
domain_auto_trans( svc_run_t, mysqld_exec_t, mysqld_t)
allow svc_start_t mysqld_t:process signal;
svc_ipc_domain(mysqld_t)
')dnl end ifdef daemontools

ifdef(`distro_redhat', `
allow initrc_t mysqld_db_t:dir create_dir_perms;

# because Fedora has the sock_file in the database directory
file_type_auto_trans(mysqld_t, mysqld_db_t, mysqld_var_run_t, sock_file)
')

---

• Follow-Ups:
  • • From: dragoran

• References:
  • • From: dragoran

[][]   [][]   [] [] []

Chinaunix首页 | 论坛 | 博客

博文 博主

ELM's Blogwenzk.blog.chinaunix.net

• 4月28日14:30-20:30机房服务器迁移，暂停博客使用
• 9/30日 14:00 -10/4日 08:00暂时无法发布内容！
• 9/30日 14:00 -10/4日 08:00暂时无法发布内容！

首页　| 　博文目录　| 　关于我

wenzk

• 博客访问： 7683584
• 博文数量： 637
• 博客积分： 10265
• 博客等级： 上将
• 技术积分： 6165
• 用 户 组： 普通用户
• 注册时间： 2004-12-12 22:00

文章分类

全部博文（637）

• 程序设计（9）
• Solaris系统（22）
• 数码相机（8）
• IT新技术（11）
• DNS相关（16）
• Office相关（13）
• OpenVPN（2）
• 供电系统（9）
• 工作相关（79）
• BSD杂谈（46）
• 数据库相关（35）
• 乱七八糟（31）
• Linux系统相关（224）
• 自娱自乐（19）
• 邮件系统相关（39）
• 计算机网络（73）
• 未分配的博文（1）

文章存档

2011年（1）

• 2011年07月（1）

2010年（1）

• 2010年02月（1）

2009年（3）

• 2009年09月（2）
• 2009年05月（1）

2008年（12）

• 2008年06月（1）
• 2008年04月（9）
• 2008年03月（1）
• 2008年01月（1）

2007年（44）

• 2007年11月（2）
• 2007年10月（1）
• 2007年09月（1）
• 2007年07月（1）
• 2007年06月（11）
• 2007年05月（4）
• 2007年04月（5）
• 2007年03月（13）
• 2007年01月（6）

2006年（156）

• 2006年11月（3）
• 2006年10月（8）
• 2006年09月（1）
• 2006年08月（8）
• 2006年06月（12）
• 2006年05月（12）
• 2006年04月（4）
• 2006年03月（25）
• 2006年02月（24）
• 2006年01月（59）

2005年（419）

• 2005年12月（55）
• 2005年11月（20）
• 2005年10月（79）
• 2005年09月（11）
• 2005年08月（22）
• 2005年07月（44）
• 2005年06月（81）
• 2005年05月（48）
• 2005年04月（11）
• 2005年03月（48）

2004年（1）

• 2004年12月（1）

我的朋友

• 

  一鸣雨

• 

  叶绍琛

• 

  大鬼不动

• 

  myeer

• 

  chbljy12

• 

  flashfir

• 

  techim

• 

  非洲乌龟

• 

  wangzhan

最近访客

• 

  beyand81

• 

  lyg111

• 

  khls27

• 

  gaokeke1

• 

  5sky

• 

  suixiaof

• 

  djx2020

• 

  cynthia

• 

  浪花小雨

推荐博文

• ·ORACLE SQL overlap时间段重...
• ·Rust入门到精通(三）—— 不...
• ·Oracle 1582-10-07问题
• ·1：Python开发：初识Python...
• ·ORACLE物理结构

相关博文

• ·通过内置FTP服务共享本地文件...
• ·Jtti：教你如何远程管理Linux...
• ·Linux中如何删除文件和目录？...
• ·百度搜索：蓝易云 - k8s部署n...
• ·百度搜索：蓝易云 - DNS部署...
• ·SQL数据库的错误处理机制是怎...
• ·Ubuntu linux 命令总结
• ·内网穿透详解：从传统方式到P...
• ·CentOS设置单用户模式快速修...
• ·FMEA在网络安全中的应用实践...

PHP cannot connect to mysql server (FC3 SELinux)

分类： LINUX

2006-02-26 08:48:42

---

[][]   [][]   [] [] []

Re: PHP cannot connect to mysql server

---

• From: Daniel J Walsh
• To: "Fedora SELinux support list for users & developers."
• Subject: Re: PHP cannot connect to mysql server
• Date: Wed, 10 Nov 2004 10:52:22 -0500

---

dragoran wrote:

I am running FC3 with selinux on targeted policy. When PHP tryies to connect to the mysql server i get this messages in dmesg:
sbin/httpd name=mysql.sock dev=hda3 ino=309535 scontext=user_u:system_r:httpd_t tcontext=user_u:object_r:var_lib_t tclass=sock_file
Disabling SELinux for Apache fix this, but I want to run httpd with selinux.
So how can i fix this?

--
fedora-selinux-list mailing list
fedora-selinux-list redhat com

A couple of things to try.

I am thinking of adding mysqld.te file to targeted policy. (attached)

You can try to use it by doing the following

   * Install selinux-policy-targeted-sources.
   * yum install selinux-policy-targeted-sources
   * cd /etc/selinux/targeted/src/policy
   * cp MYSQLD.te domains/program/
   * make load
   * rpm -q -l mysql | restorecon -R -f -
   * service mysql restart

Or you can just add the ability to write to sock_files in var lib.

   * Install selinux-policy-targeted-sources.
   * yum install selinux-policy-targeted-sources
   * cd /etc/selinux/targeted/src/policy
   * echo "allow httpd_t var_lib_t:sock_file rw_socket_perms;" >
     domains/program/httpd_socket.te
   * make load

#DESC Mysqld - Database server
#
# Author:  Russell Coker 
# X-Debian-Packages: mysql-server
#

#################################
#
# Rules for the mysqld_t domain.
#
# mysqld_exec_t is the type of the mysqld executable.
#
daemon_domain(mysqld)

type mysqld_port_t, port_type;
allow mysqld_t mysqld_port_t:tcp_socket name_bind;

allow mysqld_t mysqld_var_run_t:sock_file create_file_perms;

etcdir_domain(mysqld)
typealias mysqld_etc_t alias etc_mysqld_t;
type mysqld_db_t, file_type, sysadmfile;

log_domain(mysqld)

# for temporary tables
tmp_domain(mysqld)

allow mysqld_t usr_t:file { getattr read };

allow mysqld_t self:fifo_file { read write };
allow mysqld_t self:unix_stream_socket create_stream_socket_perms;
allow initrc_t mysqld_t:unix_stream_socket connectto;
allow initrc_t mysqld_var_run_t:sock_file write;

allow initrc_t mysqld_log_t:file { write append setattr ioctl };

allow mysqld_t self:capability { dac_override setgid setuid };
allow mysqld_t self:process getsched;

allow mysqld_t proc_t:file { getattr read };

# Allow access to the mysqld databases
create_dir_file(mysqld_t, mysqld_db_t)
allow mysqld_t var_lib_t:dir { getattr search };

can_network(mysqld_t)
can_ypbind(mysqld_t)

# read config files
r_dir_file(initrc_t, mysqld_etc_t)
allow mysqld_t { etc_t etc_runtime_t }:{ file lnk_file } { read getattr };

allow mysqld_t etc_t:dir search;

allow mysqld_t sysctl_kernel_t:dir search;
allow mysqld_t sysctl_kernel_t:file read;

can_unix_connect(sysadm_t, mysqld_t)

# for /root/.my.cnf - should not be needed
allow mysqld_t sysadm_home_dir_t:dir search;
allow mysqld_t sysadm_home_t:file { read getattr };

ifdef(`logrotate.te', `
r_dir_file(logrotate_t, mysqld_etc_t)
allow logrotate_t mysqld_db_t:dir search;
allow logrotate_t mysqld_var_run_t:dir search;
allow logrotate_t mysqld_var_run_t:sock_file write;
can_unix_connect(logrotate_t, mysqld_t)
')

ifdef(`user_db_connect', `
allow userdomain mysqld_var_run_t:dir search;
allow userdomain mysqld_var_run_t:sock_file write;
')

ifdef(`daemontools.te', `
domain_auto_trans( svc_run_t, mysqld_exec_t, mysqld_t)
allow svc_start_t mysqld_t:process signal;
svc_ipc_domain(mysqld_t)
')dnl end ifdef daemontools

ifdef(`distro_redhat', `
allow initrc_t mysqld_db_t:dir create_dir_perms;

# because Fedora has the sock_file in the database directory
file_type_auto_trans(mysqld_t, mysqld_db_t, mysqld_var_run_t, sock_file)
')

---

• Follow-Ups:
  • • From: dragoran

• References:
  • • From: dragoran

[][]   [][]   [] [] []

Chinaunix首页 | 论坛 | 博客

博文 博主

ELM's Blogwenzk.blog.chinaunix.net

• 4月28日14:30-20:30机房服务器迁移，暂停博客使用
• 9/30日 14:00 -10/4日 08:00暂时无法发布内容！
• 9/30日 14:00 -10/4日 08:00暂时无法发布内容！

首页　| 　博文目录　| 　关于我

wenzk

• 博客访问： 7683585
• 博文数量： 637
• 博客积分： 10265
• 博客等级： 上将
• 技术积分： 6165
• 用 户 组： 普通用户
• 注册时间： 2004-12-12 22:00

文章分类

全部博文（637）

• 程序设计（9）
• Solaris系统（22）
• 数码相机（8）
• IT新技术（11）
• DNS相关（16）
• Office相关（13）
• OpenVPN（2）
• 供电系统（9）
• 工作相关（79）
• BSD杂谈（46）
• 数据库相关（35）
• 乱七八糟（31）
• Linux系统相关（224）
• 自娱自乐（19）
• 邮件系统相关（39）
• 计算机网络（73）
• 未分配的博文（1）

文章存档

2011年（1）

• 2011年07月（1）

2010年（1）

• 2010年02月（1）

2009年（3）

• 2009年09月（2）
• 2009年05月（1）

2008年（12）

• 2008年06月（1）
• 2008年04月（9）
• 2008年03月（1）
• 2008年01月（1）

2007年（44）

• 2007年11月（2）
• 2007年10月（1）
• 2007年09月（1）
• 2007年07月（1）
• 2007年06月（11）
• 2007年05月（4）
• 2007年04月（5）
• 2007年03月（13）
• 2007年01月（6）

2006年（156）

• 2006年11月（3）
• 2006年10月（8）
• 2006年09月（1）
• 2006年08月（8）
• 2006年06月（12）
• 2006年05月（12）
• 2006年04月（4）
• 2006年03月（25）
• 2006年02月（24）
• 2006年01月（59）

2005年（419）

• 2005年12月（55）
• 2005年11月（20）
• 2005年10月（79）
• 2005年09月（11）
• 2005年08月（22）
• 2005年07月（44）
• 2005年06月（81）
• 2005年05月（48）
• 2005年04月（11）
• 2005年03月（48）

2004年（1）

• 2004年12月（1）

我的朋友

• 

  一鸣雨

• 

  叶绍琛

• 

  大鬼不动

• 

  myeer

• 

  chbljy12

• 

  flashfir

• 

  techim

• 

  非洲乌龟

• 

  wangzhan

最近访客

• 

  beyand81

• 

  lyg111

• 

  khls27

• 

  gaokeke1

• 

  5sky

• 

  suixiaof

• 

  djx2020

• 

  cynthia

• 

  浪花小雨

推荐博文

• ·ORACLE SQL overlap时间段重...
• ·Rust入门到精通(三）—— 不...
• ·Oracle 1582-10-07问题
• ·1：Python开发：初识Python...
• ·ORACLE物理结构

相关博文

• ·通过内置FTP服务共享本地文件...
• ·Jtti：教你如何远程管理Linux...
• ·Linux中如何删除文件和目录？...
• ·百度搜索：蓝易云 - k8s部署n...
• ·百度搜索：蓝易云 - DNS部署...
• ·SQL数据库的错误处理机制是怎...
• ·Ubuntu linux 命令总结
• ·内网穿透详解：从传统方式到P...
• ·CentOS设置单用户模式快速修...
• ·FMEA在网络安全中的应用实践...

PHP cannot connect to mysql server (FC3 SELinux)

分类： LINUX

2006-02-26 08:48:42

---

[][]   [][]   [] [] []

Re: PHP cannot connect to mysql server

---

• From: Daniel J Walsh
• To: "Fedora SELinux support list for users & developers."
• Subject: Re: PHP cannot connect to mysql server
• Date: Wed, 10 Nov 2004 10:52:22 -0500

---

dragoran wrote:

I am running FC3 with selinux on targeted policy. When PHP tryies to connect to the mysql server i get this messages in dmesg:
sbin/httpd name=mysql.sock dev=hda3 ino=309535 scontext=user_u:system_r:httpd_t tcontext=user_u:object_r:var_lib_t tclass=sock_file
Disabling SELinux for Apache fix this, but I want to run httpd with selinux.
So how can i fix this?

--
fedora-selinux-list mailing list
fedora-selinux-list redhat com

A couple of things to try.

I am thinking of adding mysqld.te file to targeted policy. (attached)

You can try to use it by doing the following

   * Install selinux-policy-targeted-sources.
   * yum install selinux-policy-targeted-sources
   * cd /etc/selinux/targeted/src/policy
   * cp MYSQLD.te domains/program/
   * make load
   * rpm -q -l mysql | restorecon -R -f -
   * service mysql restart

Or you can just add the ability to write to sock_files in var lib.

   * Install selinux-policy-targeted-sources.
   * yum install selinux-policy-targeted-sources
   * cd /etc/selinux/targeted/src/policy
   * echo "allow httpd_t var_lib_t:sock_file rw_socket_perms;" >
     domains/program/httpd_socket.te
   * make load

#DESC Mysqld - Database server
#
# Author:  Russell Coker 
# X-Debian-Packages: mysql-server
#

#################################
#
# Rules for the mysqld_t domain.
#
# mysqld_exec_t is the type of the mysqld executable.
#
daemon_domain(mysqld)

type mysqld_port_t, port_type;
allow mysqld_t mysqld_port_t:tcp_socket name_bind;

allow mysqld_t mysqld_var_run_t:sock_file create_file_perms;

etcdir_domain(mysqld)
typealias mysqld_etc_t alias etc_mysqld_t;
type mysqld_db_t, file_type, sysadmfile;

log_domain(mysqld)

# for temporary tables
tmp_domain(mysqld)

allow mysqld_t usr_t:file { getattr read };

allow mysqld_t self:fifo_file { read write };
allow mysqld_t self:unix_stream_socket create_stream_socket_perms;
allow initrc_t mysqld_t:unix_stream_socket connectto;
allow initrc_t mysqld_var_run_t:sock_file write;

allow initrc_t mysqld_log_t:file { write append setattr ioctl };

allow mysqld_t self:capability { dac_override setgid setuid };
allow mysqld_t self:process getsched;

allow mysqld_t proc_t:file { getattr read };

# Allow access to the mysqld databases
create_dir_file(mysqld_t, mysqld_db_t)
allow mysqld_t var_lib_t:dir { getattr search };

can_network(mysqld_t)
can_ypbind(mysqld_t)

# read config files
r_dir_file(initrc_t, mysqld_etc_t)
allow mysqld_t { etc_t etc_runtime_t }:{ file lnk_file } { read getattr };

allow mysqld_t etc_t:dir search;

allow mysqld_t sysctl_kernel_t:dir search;
allow mysqld_t sysctl_kernel_t:file read;

can_unix_connect(sysadm_t, mysqld_t)

# for /root/.my.cnf - should not be needed
allow mysqld_t sysadm_home_dir_t:dir search;
allow mysqld_t sysadm_home_t:file { read getattr };

ifdef(`logrotate.te', `
r_dir_file(logrotate_t, mysqld_etc_t)
allow logrotate_t mysqld_db_t:dir search;
allow logrotate_t mysqld_var_run_t:dir search;
allow logrotate_t mysqld_var_run_t:sock_file write;
can_unix_connect(logrotate_t, mysqld_t)
')

ifdef(`user_db_connect', `
allow userdomain mysqld_var_run_t:dir search;
allow userdomain mysqld_var_run_t:sock_file write;
')

ifdef(`daemontools.te', `
domain_auto_trans( svc_run_t, mysqld_exec_t, mysqld_t)
allow svc_start_t mysqld_t:process signal;
svc_ipc_domain(mysqld_t)
')dnl end ifdef daemontools

ifdef(`distro_redhat', `
allow initrc_t mysqld_db_t:dir create_dir_perms;

# because Fedora has the sock_file in the database directory
file_type_auto_trans(mysqld_t, mysqld_db_t, mysqld_var_run_t, sock_file)
')

---

• Follow-Ups:
  • • From: dragoran

• References:
  • • From: dragoran

[][]   [][]   [] [] []

Chinaunix首页 | 论坛 | 博客

博文 博主

ELM's Blogwenzk.blog.chinaunix.net

• 4月28日14:30-20:30机房服务器迁移，暂停博客使用
• 9/30日 14:00 -10/4日 08:00暂时无法发布内容！
• 9/30日 14:00 -10/4日 08:00暂时无法发布内容！

首页　| 　博文目录　| 　关于我

wenzk

• 博客访问： 7683576
• 博文数量： 637
• 博客积分： 10265
• 博客等级： 上将
• 技术积分： 6165
• 用 户 组： 普通用户
• 注册时间： 2004-12-12 22:00

文章分类

全部博文（637）

• 程序设计（9）
• Solaris系统（22）
• 数码相机（8）
• IT新技术（11）
• DNS相关（16）
• Office相关（13）
• OpenVPN（2）
• 供电系统（9）
• 工作相关（79）
• BSD杂谈（46）
• 数据库相关（35）
• 乱七八糟（31）
• Linux系统相关（224）
• 自娱自乐（19）
• 邮件系统相关（39）
• 计算机网络（73）
• 未分配的博文（1）

文章存档

2011年（1）

• 2011年07月（1）

2010年（1）

• 2010年02月（1）

2009年（3）

• 2009年09月（2）
• 2009年05月（1）

2008年（12）

• 2008年06月（1）
• 2008年04月（9）
• 2008年03月（1）
• 2008年01月（1）

2007年（44）

• 2007年11月（2）
• 2007年10月（1）
• 2007年09月（1）
• 2007年07月（1）
• 2007年06月（11）
• 2007年05月（4）
• 2007年04月（5）
• 2007年03月（13）
• 2007年01月（6）

2006年（156）

• 2006年11月（3）
• 2006年10月（8）
• 2006年09月（1）
• 2006年08月（8）
• 2006年06月（12）
• 2006年05月（12）
• 2006年04月（4）
• 2006年03月（25）
• 2006年02月（24）
• 2006年01月（59）

2005年（419）

• 2005年12月（55）
• 2005年11月（20）
• 2005年10月（79）
• 2005年09月（11）
• 2005年08月（22）
• 2005年07月（44）
• 2005年06月（81）
• 2005年05月（48）
• 2005年04月（11）
• 2005年03月（48）

2004年（1）

• 2004年12月（1）

我的朋友

• 

  一鸣雨

• 

  叶绍琛

• 

  大鬼不动

• 

  myeer

• 

  chbljy12

• 

  flashfir

• 

  techim

• 

  非洲乌龟

• 

  wangzhan

最近访客

• 

  beyand81

• 

  lyg111

• 

  khls27

• 

  gaokeke1

• 

  5sky

• 

  suixiaof

• 

  djx2020

• 

  cynthia

• 

  浪花小雨

推荐博文

• ·ORACLE SQL overlap时间段重...
• ·Rust入门到精通(三）—— 不...
• ·Oracle 1582-10-07问题
• ·1：Python开发：初识Python...
• ·ORACLE物理结构

相关博文

• ·通过内置FTP服务共享本地文件...
• ·Jtti：教你如何远程管理Linux...
• ·Linux中如何删除文件和目录？...
• ·百度搜索：蓝易云 - k8s部署n...
• ·百度搜索：蓝易云 - DNS部署...
• ·SQL数据库的错误处理机制是怎...
• ·Ubuntu linux 命令总结
• ·内网穿透详解：从传统方式到P...
• ·CentOS设置单用户模式快速修...
• ·FMEA在网络安全中的应用实践...

PHP cannot connect to mysql server (FC3 SELinux)

分类： LINUX

2006-02-26 08:48:42

---

[][]   [][]   [] [] []

Re: PHP cannot connect to mysql server

---

• From: Daniel J Walsh
• To: "Fedora SELinux support list for users & developers."
• Subject: Re: PHP cannot connect to mysql server
• Date: Wed, 10 Nov 2004 10:52:22 -0500

---

dragoran wrote:

I am running FC3 with selinux on targeted policy. When PHP tryies to connect to the mysql server i get this messages in dmesg:
sbin/httpd name=mysql.sock dev=hda3 ino=309535 scontext=user_u:system_r:httpd_t tcontext=user_u:object_r:var_lib_t tclass=sock_file
Disabling SELinux for Apache fix this, but I want to run httpd with selinux.
So how can i fix this?

--
fedora-selinux-list mailing list
fedora-selinux-list redhat com

A couple of things to try.

I am thinking of adding mysqld.te file to targeted policy. (attached)

You can try to use it by doing the following

   * Install selinux-policy-targeted-sources.
   * yum install selinux-policy-targeted-sources
   * cd /etc/selinux/targeted/src/policy
   * cp MYSQLD.te domains/program/
   * make load
   * rpm -q -l mysql | restorecon -R -f -
   * service mysql restart

Or you can just add the ability to write to sock_files in var lib.

   * Install selinux-policy-targeted-sources.
   * yum install selinux-policy-targeted-sources
   * cd /etc/selinux/targeted/src/policy
   * echo "allow httpd_t var_lib_t:sock_file rw_socket_perms;" >
     domains/program/httpd_socket.te
   * make load

#DESC Mysqld - Database server
#
# Author:  Russell Coker 
# X-Debian-Packages: mysql-server
#

#################################
#
# Rules for the mysqld_t domain.
#
# mysqld_exec_t is the type of the mysqld executable.
#
daemon_domain(mysqld)

type mysqld_port_t, port_type;
allow mysqld_t mysqld_port_t:tcp_socket name_bind;

allow mysqld_t mysqld_var_run_t:sock_file create_file_perms;

etcdir_domain(mysqld)
typealias mysqld_etc_t alias etc_mysqld_t;
type mysqld_db_t, file_type, sysadmfile;

log_domain(mysqld)

# for temporary tables
tmp_domain(mysqld)

allow mysqld_t usr_t:file { getattr read };

allow mysqld_t self:fifo_file { read write };
allow mysqld_t self:unix_stream_socket create_stream_socket_perms;
allow initrc_t mysqld_t:unix_stream_socket connectto;
allow initrc_t mysqld_var_run_t:sock_file write;

allow initrc_t mysqld_log_t:file { write append setattr ioctl };

allow mysqld_t self:capability { dac_override setgid setuid };
allow mysqld_t self:process getsched;

allow mysqld_t proc_t:file { getattr read };

# Allow access to the mysqld databases
create_dir_file(mysqld_t, mysqld_db_t)
allow mysqld_t var_lib_t:dir { getattr search };

can_network(mysqld_t)
can_ypbind(mysqld_t)

# read config files
r_dir_file(initrc_t, mysqld_etc_t)
allow mysqld_t { etc_t etc_runtime_t }:{ file lnk_file } { read getattr };

allow mysqld_t etc_t:dir search;

allow mysqld_t sysctl_kernel_t:dir search;
allow mysqld_t sysctl_kernel_t:file read;

can_unix_connect(sysadm_t, mysqld_t)

# for /root/.my.cnf - should not be needed
allow mysqld_t sysadm_home_dir_t:dir search;
allow mysqld_t sysadm_home_t:file { read getattr };

ifdef(`logrotate.te', `
r_dir_file(logrotate_t, mysqld_etc_t)
allow logrotate_t mysqld_db_t:dir search;
allow logrotate_t mysqld_var_run_t:dir search;
allow logrotate_t mysqld_var_run_t:sock_file write;
can_unix_connect(logrotate_t, mysqld_t)
')

ifdef(`user_db_connect', `
allow userdomain mysqld_var_run_t:dir search;
allow userdomain mysqld_var_run_t:sock_file write;
')

ifdef(`daemontools.te', `
domain_auto_trans( svc_run_t, mysqld_exec_t, mysqld_t)
allow svc_start_t mysqld_t:process signal;
svc_ipc_domain(mysqld_t)
')dnl end ifdef daemontools

ifdef(`distro_redhat', `
allow initrc_t mysqld_db_t:dir create_dir_perms;

# because Fedora has the sock_file in the database directory
file_type_auto_trans(mysqld_t, mysqld_db_t, mysqld_var_run_t, sock_file)
')

---

• Follow-Ups:
  • • From: dragoran

• References:
  • • From: dragoran

[][]   [][]   [] [] []

Chinaunix首页 | 论坛 | 博客

博文 博主

ELM's Blogwenzk.blog.chinaunix.net

• 4月28日14:30-20:30机房服务器迁移，暂停博客使用
• 9/30日 14:00 -10/4日 08:00暂时无法发布内容！
• 9/30日 14:00 -10/4日 08:00暂时无法发布内容！

首页　| 　博文目录　| 　关于我

wenzk

• 博客访问： 7683587
• 博文数量： 637
• 博客积分： 10265
• 博客等级： 上将
• 技术积分： 6165
• 用 户 组： 普通用户
• 注册时间： 2004-12-12 22:00

文章分类

全部博文（637）

• 程序设计（9）
• Solaris系统（22）
• 数码相机（8）
• IT新技术（11）
• DNS相关（16）
• Office相关（13）
• OpenVPN（2）
• 供电系统（9）
• 工作相关（79）
• BSD杂谈（46）
• 数据库相关（35）
• 乱七八糟（31）
• Linux系统相关（224）
• 自娱自乐（19）
• 邮件系统相关（39）
• 计算机网络（73）
• 未分配的博文（1）

文章存档

2011年（1）

• 2011年07月（1）

2010年（1）

• 2010年02月（1）

2009年（3）

• 2009年09月（2）
• 2009年05月（1）

2008年（12）

• 2008年06月（1）
• 2008年04月（9）
• 2008年03月（1）
• 2008年01月（1）

2007年（44）

• 2007年11月（2）
• 2007年10月（1）
• 2007年09月（1）
• 2007年07月（1）
• 2007年06月（11）
• 2007年05月（4）
• 2007年04月（5）
• 2007年03月（13）
• 2007年01月（6）

2006年（156）

• 2006年11月（3）
• 2006年10月（8）
• 2006年09月（1）
• 2006年08月（8）
• 2006年06月（12）
• 2006年05月（12）
• 2006年04月（4）
• 2006年03月（25）
• 2006年02月（24）
• 2006年01月（59）

2005年（419）

• 2005年12月（55）
• 2005年11月（20）
• 2005年10月（79）
• 2005年09月（11）
• 2005年08月（22）
• 2005年07月（44）
• 2005年06月（81）
• 2005年05月（48）
• 2005年04月（11）
• 2005年03月（48）

2004年（1）

• 2004年12月（1）

我的朋友

• 

  一鸣雨

• 

  叶绍琛

• 

  大鬼不动

• 

  myeer

• 

  chbljy12

• 

  flashfir

• 

  techim

• 

  非洲乌龟

• 

  wangzhan

最近访客

• 

  beyand81

• 

  lyg111

• 

  khls27

• 

  gaokeke1

• 

  5sky

• 

  suixiaof

• 

  djx2020

• 

  cynthia

• 

  浪花小雨

推荐博文

• ·ORACLE SQL overlap时间段重...
• ·Rust入门到精通(三）—— 不...
• ·Oracle 1582-10-07问题
• ·1：Python开发：初识Python...
• ·ORACLE物理结构

相关博文

• ·通过内置FTP服务共享本地文件...
• ·Jtti：教你如何远程管理Linux...
• ·Linux中如何删除文件和目录？...
• ·百度搜索：蓝易云 - k8s部署n...
• ·百度搜索：蓝易云 - DNS部署...
• ·SQL数据库的错误处理机制是怎...
• ·Ubuntu linux 命令总结
• ·内网穿透详解：从传统方式到P...
• ·CentOS设置单用户模式快速修...
• ·FMEA在网络安全中的应用实践...

PHP cannot connect to mysql server (FC3 SELinux)

分类： LINUX

2006-02-26 08:48:42

---

[][]   [][]   [] [] []

Re: PHP cannot connect to mysql server

---

• From: Daniel J Walsh
• To: "Fedora SELinux support list for users & developers."
• Subject: Re: PHP cannot connect to mysql server
• Date: Wed, 10 Nov 2004 10:52:22 -0500

---

dragoran wrote:

I am running FC3 with selinux on targeted policy. When PHP tryies to connect to the mysql server i get this messages in dmesg:
sbin/httpd name=mysql.sock dev=hda3 ino=309535 scontext=user_u:system_r:httpd_t tcontext=user_u:object_r:var_lib_t tclass=sock_file
Disabling SELinux for Apache fix this, but I want to run httpd with selinux.
So how can i fix this?

--
fedora-selinux-list mailing list
fedora-selinux-list redhat com

A couple of things to try.

I am thinking of adding mysqld.te file to targeted policy. (attached)

You can try to use it by doing the following

   * Install selinux-policy-targeted-sources.
   * yum install selinux-policy-targeted-sources
   * cd /etc/selinux/targeted/src/policy
   * cp MYSQLD.te domains/program/
   * make load
   * rpm -q -l mysql | restorecon -R -f -
   * service mysql restart

Or you can just add the ability to write to sock_files in var lib.

   * Install selinux-policy-targeted-sources.
   * yum install selinux-policy-targeted-sources
   * cd /etc/selinux/targeted/src/policy
   * echo "allow httpd_t var_lib_t:sock_file rw_socket_perms;" >
     domains/program/httpd_socket.te
   * make load

#DESC Mysqld - Database server
#
# Author:  Russell Coker 
# X-Debian-Packages: mysql-server
#

#################################
#
# Rules for the mysqld_t domain.
#
# mysqld_exec_t is the type of the mysqld executable.
#
daemon_domain(mysqld)

type mysqld_port_t, port_type;
allow mysqld_t mysqld_port_t:tcp_socket name_bind;

allow mysqld_t mysqld_var_run_t:sock_file create_file_perms;

etcdir_domain(mysqld)
typealias mysqld_etc_t alias etc_mysqld_t;
type mysqld_db_t, file_type, sysadmfile;

log_domain(mysqld)

# for temporary tables
tmp_domain(mysqld)

allow mysqld_t usr_t:file { getattr read };

allow mysqld_t self:fifo_file { read write };
allow mysqld_t self:unix_stream_socket create_stream_socket_perms;
allow initrc_t mysqld_t:unix_stream_socket connectto;
allow initrc_t mysqld_var_run_t:sock_file write;

allow initrc_t mysqld_log_t:file { write append setattr ioctl };

allow mysqld_t self:capability { dac_override setgid setuid };
allow mysqld_t self:process getsched;

allow mysqld_t proc_t:file { getattr read };

# Allow access to the mysqld databases
create_dir_file(mysqld_t, mysqld_db_t)
allow mysqld_t var_lib_t:dir { getattr search };

can_network(mysqld_t)
can_ypbind(mysqld_t)

# read config files
r_dir_file(initrc_t, mysqld_etc_t)
allow mysqld_t { etc_t etc_runtime_t }:{ file lnk_file } { read getattr };

allow mysqld_t etc_t:dir search;

allow mysqld_t sysctl_kernel_t:dir search;
allow mysqld_t sysctl_kernel_t:file read;

can_unix_connect(sysadm_t, mysqld_t)

# for /root/.my.cnf - should not be needed
allow mysqld_t sysadm_home_dir_t:dir search;
allow mysqld_t sysadm_home_t:file { read getattr };

ifdef(`logrotate.te', `
r_dir_file(logrotate_t, mysqld_etc_t)
allow logrotate_t mysqld_db_t:dir search;
allow logrotate_t mysqld_var_run_t:dir search;
allow logrotate_t mysqld_var_run_t:sock_file write;
can_unix_connect(logrotate_t, mysqld_t)
')

ifdef(`user_db_connect', `
allow userdomain mysqld_var_run_t:dir search;
allow userdomain mysqld_var_run_t:sock_file write;
')

ifdef(`daemontools.te', `
domain_auto_trans( svc_run_t, mysqld_exec_t, mysqld_t)
allow svc_start_t mysqld_t:process signal;
svc_ipc_domain(mysqld_t)
')dnl end ifdef daemontools

ifdef(`distro_redhat', `
allow initrc_t mysqld_db_t:dir create_dir_perms;

# because Fedora has the sock_file in the database directory
file_type_auto_trans(mysqld_t, mysqld_db_t, mysqld_var_run_t, sock_file)
')

---

• Follow-Ups:
  • • From: dragoran

• References:
  • • From: dragoran

[][]   [][]   [] [] []

Chinaunix首页 | 论坛 | 博客

博文 博主

ELM's Blogwenzk.blog.chinaunix.net

• 4月28日14:30-20:30机房服务器迁移，暂停博客使用
• 9/30日 14:00 -10/4日 08:00暂时无法发布内容！
• 9/30日 14:00 -10/4日 08:00暂时无法发布内容！

首页　| 　博文目录　| 　关于我

wenzk

• 博客访问： 7683588
• 博文数量： 637
• 博客积分： 10265
• 博客等级： 上将
• 技术积分： 6165
• 用 户 组： 普通用户
• 注册时间： 2004-12-12 22:00

文章分类

全部博文（637）

• 程序设计（9）
• Solaris系统（22）
• 数码相机（8）
• IT新技术（11）
• DNS相关（16）
• Office相关（13）
• OpenVPN（2）
• 供电系统（9）
• 工作相关（79）
• BSD杂谈（46）
• 数据库相关（35）
• 乱七八糟（31）
• Linux系统相关（224）
• 自娱自乐（19）
• 邮件系统相关（39）
• 计算机网络（73）
• 未分配的博文（1）

文章存档

2011年（1）

• 2011年07月（1）

2010年（1）

• 2010年02月（1）

2009年（3）

• 2009年09月（2）
• 2009年05月（1）

2008年（12）

• 2008年06月（1）
• 2008年04月（9）
• 2008年03月（1）
• 2008年01月（1）

2007年（44）

• 2007年11月（2）
• 2007年10月（1）
• 2007年09月（1）
• 2007年07月（1）
• 2007年06月（11）
• 2007年05月（4）
• 2007年04月（5）
• 2007年03月（13）
• 2007年01月（6）

2006年（156）

• 2006年11月（3）
• 2006年10月（8）
• 2006年09月（1）
• 2006年08月（8）
• 2006年06月（12）
• 2006年05月（12）
• 2006年04月（4）
• 2006年03月（25）
• 2006年02月（24）
• 2006年01月（59）

2005年（419）

• 2005年12月（55）
• 2005年11月（20）
• 2005年10月（79）
• 2005年09月（11）
• 2005年08月（22）
• 2005年07月（44）
• 2005年06月（81）
• 2005年05月（48）
• 2005年04月（11）
• 2005年03月（48）

2004年（1）

• 2004年12月（1）

我的朋友

• 

  一鸣雨

• 

  叶绍琛

• 

  大鬼不动

• 

  myeer

• 

  chbljy12

• 

  flashfir

• 

  techim

• 

  非洲乌龟

• 

  wangzhan

最近访客

• 

  beyand81

• 

  lyg111

• 

  khls27

• 

  gaokeke1

• 

  5sky

• 

  suixiaof

• 

  djx2020

• 

  cynthia

• 

  浪花小雨

推荐博文

• ·ORACLE SQL overlap时间段重...
• ·Rust入门到精通(三）—— 不...
• ·Oracle 1582-10-07问题
• ·1：Python开发：初识Python...
• ·ORACLE物理结构

相关博文

• ·通过内置FTP服务共享本地文件...
• ·Jtti：教你如何远程管理Linux...
• ·Linux中如何删除文件和目录？...
• ·百度搜索：蓝易云 - k8s部署n...
• ·百度搜索：蓝易云 - DNS部署...
• ·SQL数据库的错误处理机制是怎...
• ·Ubuntu linux 命令总结
• ·内网穿透详解：从传统方式到P...
• ·CentOS设置单用户模式快速修...
• ·FMEA在网络安全中的应用实践...

PHP cannot connect to mysql server (FC3 SELinux)

分类： LINUX

2006-02-26 08:48:42

---

[][]   [][]   [] [] []

Re: PHP cannot connect to mysql server

---

• From: Daniel J Walsh
• To: "Fedora SELinux support list for users & developers."
• Subject: Re: PHP cannot connect to mysql server
• Date: Wed, 10 Nov 2004 10:52:22 -0500

---

dragoran wrote:

I am running FC3 with selinux on targeted policy. When PHP tryies to connect to the mysql server i get this messages in dmesg:
sbin/httpd name=mysql.sock dev=hda3 ino=309535 scontext=user_u:system_r:httpd_t tcontext=user_u:object_r:var_lib_t tclass=sock_file
Disabling SELinux for Apache fix this, but I want to run httpd with selinux.
So how can i fix this?

--
fedora-selinux-list mailing list
fedora-selinux-list redhat com

A couple of things to try.

I am thinking of adding mysqld.te file to targeted policy. (attached)

You can try to use it by doing the following

   * Install selinux-policy-targeted-sources.
   * yum install selinux-policy-targeted-sources
   * cd /etc/selinux/targeted/src/policy
   * cp MYSQLD.te domains/program/
   * make load
   * rpm -q -l mysql | restorecon -R -f -
   * service mysql restart

Or you can just add the ability to write to sock_files in var lib.

   * Install selinux-policy-targeted-sources.
   * yum install selinux-policy-targeted-sources
   * cd /etc/selinux/targeted/src/policy
   * echo "allow httpd_t var_lib_t:sock_file rw_socket_perms;" >
     domains/program/httpd_socket.te
   * make load

#DESC Mysqld - Database server
#
# Author:  Russell Coker 
# X-Debian-Packages: mysql-server
#

#################################
#
# Rules for the mysqld_t domain.
#
# mysqld_exec_t is the type of the mysqld executable.
#
daemon_domain(mysqld)

type mysqld_port_t, port_type;
allow mysqld_t mysqld_port_t:tcp_socket name_bind;

allow mysqld_t mysqld_var_run_t:sock_file create_file_perms;

etcdir_domain(mysqld)
typealias mysqld_etc_t alias etc_mysqld_t;
type mysqld_db_t, file_type, sysadmfile;

log_domain(mysqld)

# for temporary tables
tmp_domain(mysqld)

allow mysqld_t usr_t:file { getattr read };

allow mysqld_t self:fifo_file { read write };
allow mysqld_t self:unix_stream_socket create_stream_socket_perms;
allow initrc_t mysqld_t:unix_stream_socket connectto;
allow initrc_t mysqld_var_run_t:sock_file write;

allow initrc_t mysqld_log_t:file { write append setattr ioctl };

allow mysqld_t self:capability { dac_override setgid setuid };
allow mysqld_t self:process getsched;

allow mysqld_t proc_t:file { getattr read };

# Allow access to the mysqld databases
create_dir_file(mysqld_t, mysqld_db_t)
allow mysqld_t var_lib_t:dir { getattr search };

can_network(mysqld_t)
can_ypbind(mysqld_t)

# read config files
r_dir_file(initrc_t, mysqld_etc_t)
allow mysqld_t { etc_t etc_runtime_t }:{ file lnk_file } { read getattr };

allow mysqld_t etc_t:dir search;

allow mysqld_t sysctl_kernel_t:dir search;
allow mysqld_t sysctl_kernel_t:file read;

can_unix_connect(sysadm_t, mysqld_t)

# for /root/.my.cnf - should not be needed
allow mysqld_t sysadm_home_dir_t:dir search;
allow mysqld_t sysadm_home_t:file { read getattr };

ifdef(`logrotate.te', `
r_dir_file(logrotate_t, mysqld_etc_t)
allow logrotate_t mysqld_db_t:dir search;
allow logrotate_t mysqld_var_run_t:dir search;
allow logrotate_t mysqld_var_run_t:sock_file write;
can_unix_connect(logrotate_t, mysqld_t)
')

ifdef(`user_db_connect', `
allow userdomain mysqld_var_run_t:dir search;
allow userdomain mysqld_var_run_t:sock_file write;
')

ifdef(`daemontools.te', `
domain_auto_trans( svc_run_t, mysqld_exec_t, mysqld_t)
allow svc_start_t mysqld_t:process signal;
svc_ipc_domain(mysqld_t)
')dnl end ifdef daemontools

ifdef(`distro_redhat', `
allow initrc_t mysqld_db_t:dir create_dir_perms;

# because Fedora has the sock_file in the database directory
file_type_auto_trans(mysqld_t, mysqld_db_t, mysqld_var_run_t, sock_file)
')

---

• Follow-Ups:
  • • From: dragoran

• References:
  • • From: dragoran

[][]   [][]   [] [] []

Chinaunix首页 | 论坛 | 博客

博文 博主

ELM's Blogwenzk.blog.chinaunix.net

• 4月28日14:30-20:30机房服务器迁移，暂停博客使用
• 9/30日 14:00 -10/4日 08:00暂时无法发布内容！
• 9/30日 14:00 -10/4日 08:00暂时无法发布内容！

首页　| 　博文目录　| 　关于我

wenzk

• 博客访问： 7683589
• 博文数量： 637
• 博客积分： 10265
• 博客等级： 上将
• 技术积分： 6165
• 用 户 组： 普通用户
• 注册时间： 2004-12-12 22:00

文章分类

全部博文（637）

• 程序设计（9）
• Solaris系统（22）
• 数码相机（8）
• IT新技术（11）
• DNS相关（16）
• Office相关（13）
• OpenVPN（2）
• 供电系统（9）
• 工作相关（79）
• BSD杂谈（46）
• 数据库相关（35）
• 乱七八糟（31）
• Linux系统相关（224）
• 自娱自乐（19）
• 邮件系统相关（39）
• 计算机网络（73）
• 未分配的博文（1）

文章存档

2011年（1）

• 2011年07月（1）

2010年（1）

• 2010年02月（1）

2009年（3）

• 2009年09月（2）
• 2009年05月（1）

2008年（12）

• 2008年06月（1）
• 2008年04月（9）
• 2008年03月（1）
• 2008年01月（1）

2007年（44）

• 2007年11月（2）
• 2007年10月（1）
• 2007年09月（1）
• 2007年07月（1）
• 2007年06月（11）
• 2007年05月（4）
• 2007年04月（5）
• 2007年03月（13）
• 2007年01月（6）

2006年（156）

• 2006年11月（3）
• 2006年10月（8）
• 2006年09月（1）
• 2006年08月（8）
• 2006年06月（12）
• 2006年05月（12）
• 2006年04月（4）
• 2006年03月（25）
• 2006年02月（24）
• 2006年01月（59）

2005年（419）

• 2005年12月（55）
• 2005年11月（20）
• 2005年10月（79）
• 2005年09月（11）
• 2005年08月（22）
• 2005年07月（44）
• 2005年06月（81）
• 2005年05月（48）
• 2005年04月（11）
• 2005年03月（48）

2004年（1）

• 2004年12月（1）

我的朋友

• 

  一鸣雨

• 

  叶绍琛

• 

  大鬼不动

• 

  myeer

• 

  chbljy12

• 

  flashfir

• 

  techim

• 

  非洲乌龟

• 

  wangzhan

最近访客

• 

  beyand81

• 

  lyg111

• 

  khls27

• 

  gaokeke1

• 

  5sky

• 

  suixiaof

• 

  djx2020

• 

  cynthia

• 

  浪花小雨

推荐博文

• ·ORACLE SQL overlap时间段重...
• ·Rust入门到精通(三）—— 不...
• ·Oracle 1582-10-07问题
• ·1：Python开发：初识Python...
• ·ORACLE物理结构

相关博文

• ·通过内置FTP服务共享本地文件...
• ·Jtti：教你如何远程管理Linux...
• ·Linux中如何删除文件和目录？...
• ·百度搜索：蓝易云 - k8s部署n...
• ·百度搜索：蓝易云 - DNS部署...
• ·SQL数据库的错误处理机制是怎...
• ·Ubuntu linux 命令总结
• ·内网穿透详解：从传统方式到P...
• ·CentOS设置单用户模式快速修...
• ·FMEA在网络安全中的应用实践...

PHP cannot connect to mysql server (FC3 SELinux)

分类： LINUX

2006-02-26 08:48:42

---

[][]   [][]   [] [] []

Re: PHP cannot connect to mysql server

---

• From: Daniel J Walsh
• To: "Fedora SELinux support list for users & developers."
• Subject: Re: PHP cannot connect to mysql server
• Date: Wed, 10 Nov 2004 10:52:22 -0500

---

dragoran wrote:

I am running FC3 with selinux on targeted policy. When PHP tryies to connect to the mysql server i get this messages in dmesg:
sbin/httpd name=mysql.sock dev=hda3 ino=309535 scontext=user_u:system_r:httpd_t tcontext=user_u:object_r:var_lib_t tclass=sock_file
Disabling SELinux for Apache fix this, but I want to run httpd with selinux.
So how can i fix this?

--
fedora-selinux-list mailing list
fedora-selinux-list redhat com

A couple of things to try.

I am thinking of adding mysqld.te file to targeted policy. (attached)

You can try to use it by doing the following

   * Install selinux-policy-targeted-sources.
   * yum install selinux-policy-targeted-sources
   * cd /etc/selinux/targeted/src/policy
   * cp MYSQLD.te domains/program/
   * make load
   * rpm -q -l mysql | restorecon -R -f -
   * service mysql restart

Or you can just add the ability to write to sock_files in var lib.

   * Install selinux-policy-targeted-sources.
   * yum install selinux-policy-targeted-sources
   * cd /etc/selinux/targeted/src/policy
   * echo "allow httpd_t var_lib_t:sock_file rw_socket_perms;" >
     domains/program/httpd_socket.te
   * make load

#DESC Mysqld - Database server
#
# Author:  Russell Coker 
# X-Debian-Packages: mysql-server
#

#################################
#
# Rules for the mysqld_t domain.
#
# mysqld_exec_t is the type of the mysqld executable.
#
daemon_domain(mysqld)

type mysqld_port_t, port_type;
allow mysqld_t mysqld_port_t:tcp_socket name_bind;

allow mysqld_t mysqld_var_run_t:sock_file create_file_perms;

etcdir_domain(mysqld)
typealias mysqld_etc_t alias etc_mysqld_t;
type mysqld_db_t, file_type, sysadmfile;

log_domain(mysqld)

# for temporary tables
tmp_domain(mysqld)

allow mysqld_t usr_t:file { getattr read };

allow mysqld_t self:fifo_file { read write };
allow mysqld_t self:unix_stream_socket create_stream_socket_perms;
allow initrc_t mysqld_t:unix_stream_socket connectto;
allow initrc_t mysqld_var_run_t:sock_file write;

allow initrc_t mysqld_log_t:file { write append setattr ioctl };

allow mysqld_t self:capability { dac_override setgid setuid };
allow mysqld_t self:process getsched;

allow mysqld_t proc_t:file { getattr read };

# Allow access to the mysqld databases
create_dir_file(mysqld_t, mysqld_db_t)
allow mysqld_t var_lib_t:dir { getattr search };

can_network(mysqld_t)
can_ypbind(mysqld_t)

# read config files
r_dir_file(initrc_t, mysqld_etc_t)
allow mysqld_t { etc_t etc_runtime_t }:{ file lnk_file } { read getattr };

allow mysqld_t etc_t:dir search;

allow mysqld_t sysctl_kernel_t:dir search;
allow mysqld_t sysctl_kernel_t:file read;

can_unix_connect(sysadm_t, mysqld_t)

# for /root/.my.cnf - should not be needed
allow mysqld_t sysadm_home_dir_t:dir search;
allow mysqld_t sysadm_home_t:file { read getattr };

ifdef(`logrotate.te', `
r_dir_file(logrotate_t, mysqld_etc_t)
allow logrotate_t mysqld_db_t:dir search;
allow logrotate_t mysqld_var_run_t:dir search;
allow logrotate_t mysqld_var_run_t:sock_file write;
can_unix_connect(logrotate_t, mysqld_t)
')

ifdef(`user_db_connect', `
allow userdomain mysqld_var_run_t:dir search;
allow userdomain mysqld_var_run_t:sock_file write;
')

ifdef(`daemontools.te', `
domain_auto_trans( svc_run_t, mysqld_exec_t, mysqld_t)
allow svc_start_t mysqld_t:process signal;
svc_ipc_domain(mysqld_t)
')dnl end ifdef daemontools

ifdef(`distro_redhat', `
allow initrc_t mysqld_db_t:dir create_dir_perms;

# because Fedora has the sock_file in the database directory
file_type_auto_trans(mysqld_t, mysqld_db_t, mysqld_var_run_t, sock_file)
')

---

• Follow-Ups:
  • • From: dragoran

• References:
  • • From: dragoran

[][]   [][]   [] [] []

Chinaunix首页 | 论坛 | 博客

博文 博主

ELM's Blogwenzk.blog.chinaunix.net

• 4月28日14:30-20:30机房服务器迁移，暂停博客使用
• 9/30日 14:00 -10/4日 08:00暂时无法发布内容！
• 9/30日 14:00 -10/4日 08:00暂时无法发布内容！

首页　| 　博文目录　| 　关于我

wenzk

• 博客访问： 7683590
• 博文数量： 637
• 博客积分： 10265
• 博客等级： 上将
• 技术积分： 6165
• 用 户 组： 普通用户
• 注册时间： 2004-12-12 22:00

文章分类

全部博文（637）

• 程序设计（9）
• Solaris系统（22）
• 数码相机（8）
• IT新技术（11）
• DNS相关（16）
• Office相关（13）
• OpenVPN（2）
• 供电系统（9）
• 工作相关（79）
• BSD杂谈（46）
• 数据库相关（35）
• 乱七八糟（31）
• Linux系统相关（224）
• 自娱自乐（19）
• 邮件系统相关（39）
• 计算机网络（73）
• 未分配的博文（1）

文章存档

2011年（1）

• 2011年07月（1）

2010年（1）

• 2010年02月（1）

2009年（3）

• 2009年09月（2）
• 2009年05月（1）

2008年（12）

• 2008年06月（1）
• 2008年04月（9）
• 2008年03月（1）
• 2008年01月（1）

2007年（44）

• 2007年11月（2）
• 2007年10月（1）
• 2007年09月（1）
• 2007年07月（1）
• 2007年06月（11）
• 2007年05月（4）
• 2007年04月（5）
• 2007年03月（13）
• 2007年01月（6）

2006年（156）

• 2006年11月（3）
• 2006年10月（8）
• 2006年09月（1）
• 2006年08月（8）
• 2006年06月（12）
• 2006年05月（12）
• 2006年04月（4）
• 2006年03月（25）
• 2006年02月（24）
• 2006年01月（59）

2005年（419）

• 2005年12月（55）
• 2005年11月（20）
• 2005年10月（79）
• 2005年09月（11）
• 2005年08月（22）
• 2005年07月（44）
• 2005年06月（81）
• 2005年05月（48）
• 2005年04月（11）
• 2005年03月（48）

2004年（1）

• 2004年12月（1）

我的朋友

• 

  一鸣雨

• 

  叶绍琛

• 

  大鬼不动

• 

  myeer

• 

  chbljy12

• 

  flashfir

• 

  techim

• 

  非洲乌龟

• 

  wangzhan

最近访客

• 

  beyand81

• 

  lyg111

• 

  khls27

• 

  gaokeke1

• 

  5sky

• 

  suixiaof

• 

  djx2020

• 

  cynthia

• 

  浪花小雨

推荐博文

• ·ORACLE SQL overlap时间段重...
• ·Rust入门到精通(三）—— 不...
• ·Oracle 1582-10-07问题
• ·1：Python开发：初识Python...
• ·ORACLE物理结构

相关博文

• ·通过内置FTP服务共享本地文件...
• ·Jtti：教你如何远程管理Linux...
• ·Linux中如何删除文件和目录？...
• ·百度搜索：蓝易云 - k8s部署n...
• ·百度搜索：蓝易云 - DNS部署...
• ·SQL数据库的错误处理机制是怎...
• ·Ubuntu linux 命令总结
• ·内网穿透详解：从传统方式到P...
• ·CentOS设置单用户模式快速修...
• ·FMEA在网络安全中的应用实践...

PHP cannot connect to mysql server (FC3 SELinux)

分类： LINUX

2006-02-26 08:48:42

---

[][]   [][]   [] [] []

Re: PHP cannot connect to mysql server

---

• From: Daniel J Walsh
• To: "Fedora SELinux support list for users & developers."
• Subject: Re: PHP cannot connect to mysql server
• Date: Wed, 10 Nov 2004 10:52:22 -0500

---

dragoran wrote:

I am running FC3 with selinux on targeted policy. When PHP tryies to connect to the mysql server i get this messages in dmesg:
sbin/httpd name=mysql.sock dev=hda3 ino=309535 scontext=user_u:system_r:httpd_t tcontext=user_u:object_r:var_lib_t tclass=sock_file
Disabling SELinux for Apache fix this, but I want to run httpd with selinux.
So how can i fix this?

--
fedora-selinux-list mailing list
fedora-selinux-list redhat com

A couple of things to try.

I am thinking of adding mysqld.te file to targeted policy. (attached)

You can try to use it by doing the following

   * Install selinux-policy-targeted-sources.
   * yum install selinux-policy-targeted-sources
   * cd /etc/selinux/targeted/src/policy
   * cp MYSQLD.te domains/program/
   * make load
   * rpm -q -l mysql | restorecon -R -f -
   * service mysql restart

Or you can just add the ability to write to sock_files in var lib.

   * Install selinux-policy-targeted-sources.
   * yum install selinux-policy-targeted-sources
   * cd /etc/selinux/targeted/src/policy
   * echo "allow httpd_t var_lib_t:sock_file rw_socket_perms;" >
     domains/program/httpd_socket.te
   * make load

#DESC Mysqld - Database server
#
# Author:  Russell Coker 
# X-Debian-Packages: mysql-server
#

#################################
#
# Rules for the mysqld_t domain.
#
# mysqld_exec_t is the type of the mysqld executable.
#
daemon_domain(mysqld)

type mysqld_port_t, port_type;
allow mysqld_t mysqld_port_t:tcp_socket name_bind;

allow mysqld_t mysqld_var_run_t:sock_file create_file_perms;

etcdir_domain(mysqld)
typealias mysqld_etc_t alias etc_mysqld_t;
type mysqld_db_t, file_type, sysadmfile;

log_domain(mysqld)

# for temporary tables
tmp_domain(mysqld)

allow mysqld_t usr_t:file { getattr read };

allow mysqld_t self:fifo_file { read write };
allow mysqld_t self:unix_stream_socket create_stream_socket_perms;
allow initrc_t mysqld_t:unix_stream_socket connectto;
allow initrc_t mysqld_var_run_t:sock_file write;

allow initrc_t mysqld_log_t:file { write append setattr ioctl };

allow mysqld_t self:capability { dac_override setgid setuid };
allow mysqld_t self:process getsched;

allow mysqld_t proc_t:file { getattr read };

# Allow access to the mysqld databases
create_dir_file(mysqld_t, mysqld_db_t)
allow mysqld_t var_lib_t:dir { getattr search };

can_network(mysqld_t)
can_ypbind(mysqld_t)

# read config files
r_dir_file(initrc_t, mysqld_etc_t)
allow mysqld_t { etc_t etc_runtime_t }:{ file lnk_file } { read getattr };

allow mysqld_t etc_t:dir search;

allow mysqld_t sysctl_kernel_t:dir search;
allow mysqld_t sysctl_kernel_t:file read;

can_unix_connect(sysadm_t, mysqld_t)

# for /root/.my.cnf - should not be needed
allow mysqld_t sysadm_home_dir_t:dir search;
allow mysqld_t sysadm_home_t:file { read getattr };

ifdef(`logrotate.te', `
r_dir_file(logrotate_t, mysqld_etc_t)
allow logrotate_t mysqld_db_t:dir search;
allow logrotate_t mysqld_var_run_t:dir search;
allow logrotate_t mysqld_var_run_t:sock_file write;
can_unix_connect(logrotate_t, mysqld_t)
')

ifdef(`user_db_connect', `
allow userdomain mysqld_var_run_t:dir search;
allow userdomain mysqld_var_run_t:sock_file write;
')

ifdef(`daemontools.te', `
domain_auto_trans( svc_run_t, mysqld_exec_t, mysqld_t)
allow svc_start_t mysqld_t:process signal;
svc_ipc_domain(mysqld_t)
')dnl end ifdef daemontools

ifdef(`distro_redhat', `
allow initrc_t mysqld_db_t:dir create_dir_perms;

# because Fedora has the sock_file in the database directory
file_type_auto_trans(mysqld_t, mysqld_db_t, mysqld_var_run_t, sock_file)
')

---

• Follow-Ups:
  • • From: dragoran

• References:
  • • From: dragoran

[][]   [][]   [] [] []

Chinaunix首页 | 论坛 | 博客

博文 博主

ELM's Blogwenzk.blog.chinaunix.net

• 4月28日14:30-20:30机房服务器迁移，暂停博客使用
• 9/30日 14:00 -10/4日 08:00暂时无法发布内容！
• 9/30日 14:00 -10/4日 08:00暂时无法发布内容！

首页　| 　博文目录　| 　关于我

wenzk

• 博客访问： 7683591
• 博文数量： 637
• 博客积分： 10265
• 博客等级： 上将
• 技术积分： 6165
• 用 户 组： 普通用户
• 注册时间： 2004-12-12 22:00

文章分类

全部博文（637）

• 程序设计（9）
• Solaris系统（22）
• 数码相机（8）
• IT新技术（11）
• DNS相关（16）
• Office相关（13）
• OpenVPN（2）
• 供电系统（9）
• 工作相关（79）
• BSD杂谈（46）
• 数据库相关（35）
• 乱七八糟（31）
• Linux系统相关（224）
• 自娱自乐（19）
• 邮件系统相关（39）
• 计算机网络（73）
• 未分配的博文（1）

文章存档

2011年（1）

• 2011年07月（1）

2010年（1）

• 2010年02月（1）

2009年（3）

• 2009年09月（2）
• 2009年05月（1）

2008年（12）

• 2008年06月（1）
• 2008年04月（9）
• 2008年03月（1）
• 2008年01月（1）

2007年（44）

• 2007年11月（2）
• 2007年10月（1）
• 2007年09月（1）
• 2007年07月（1）
• 2007年06月（11）
• 2007年05月（4）
• 2007年04月（5）
• 2007年03月（13）
• 2007年01月（6）

2006年（156）

• 2006年11月（3）
• 2006年10月（8）
• 2006年09月（1）
• 2006年08月（8）
• 2006年06月（12）
• 2006年05月（12）
• 2006年04月（4）
• 2006年03月（25）
• 2006年02月（24）
• 2006年01月（59）

2005年（419）

• 2005年12月（55）
• 2005年11月（20）
• 2005年10月（79）
• 2005年09月（11）
• 2005年08月（22）
• 2005年07月（44）
• 2005年06月（81）
• 2005年05月（48）
• 2005年04月（11）
• 2005年03月（48）

2004年（1）

• 2004年12月（1）

我的朋友

• 

  一鸣雨

• 

  叶绍琛

• 

  大鬼不动

• 

  myeer

• 

  chbljy12

• 

  flashfir

• 

  techim

• 

  非洲乌龟

• 

  wangzhan

最近访客

• 

  beyand81

• 

  lyg111

• 

  khls27

• 

  gaokeke1

• 

  5sky

• 

  suixiaof

• 

  djx2020

• 

  cynthia

• 

  浪花小雨

推荐博文

• ·ORACLE SQL overlap时间段重...
• ·Rust入门到精通(三）—— 不...
• ·Oracle 1582-10-07问题
• ·1：Python开发：初识Python...
• ·ORACLE物理结构

相关博文

• ·通过内置FTP服务共享本地文件...
• ·Jtti：教你如何远程管理Linux...
• ·Linux中如何删除文件和目录？...
• ·百度搜索：蓝易云 - k8s部署n...
• ·百度搜索：蓝易云 - DNS部署...
• ·SQL数据库的错误处理机制是怎...
• ·Ubuntu linux 命令总结
• ·内网穿透详解：从传统方式到P...
• ·CentOS设置单用户模式快速修...
• ·FMEA在网络安全中的应用实践...

PHP cannot connect to mysql server (FC3 SELinux)

分类： LINUX

2006-02-26 08:48:42

---

[][]   [][]   [] [] []

Re: PHP cannot connect to mysql server

---

• From: Daniel J Walsh
• To: "Fedora SELinux support list for users & developers."
• Subject: Re: PHP cannot connect to mysql server
• Date: Wed, 10 Nov 2004 10:52:22 -0500

---

dragoran wrote:

I am running FC3 with selinux on targeted policy. When PHP tryies to connect to the mysql server i get this messages in dmesg:
sbin/httpd name=mysql.sock dev=hda3 ino=309535 scontext=user_u:system_r:httpd_t tcontext=user_u:object_r:var_lib_t tclass=sock_file
Disabling SELinux for Apache fix this, but I want to run httpd with selinux.
So how can i fix this?

--
fedora-selinux-list mailing list
fedora-selinux-list redhat com

A couple of things to try.

I am thinking of adding mysqld.te file to targeted policy. (attached)

You can try to use it by doing the following

   * Install selinux-policy-targeted-sources.
   * yum install selinux-policy-targeted-sources
   * cd /etc/selinux/targeted/src/policy
   * cp MYSQLD.te domains/program/
   * make load
   * rpm -q -l mysql | restorecon -R -f -
   * service mysql restart

Or you can just add the ability to write to sock_files in var lib.

   * Install selinux-policy-targeted-sources.
   * yum install selinux-policy-targeted-sources
   * cd /etc/selinux/targeted/src/policy
   * echo "allow httpd_t var_lib_t:sock_file rw_socket_perms;" >
     domains/program/httpd_socket.te
   * make load

#DESC Mysqld - Database server
#
# Author:  Russell Coker 
# X-Debian-Packages: mysql-server
#

#################################
#
# Rules for the mysqld_t domain.
#
# mysqld_exec_t is the type of the mysqld executable.
#
daemon_domain(mysqld)

type mysqld_port_t, port_type;
allow mysqld_t mysqld_port_t:tcp_socket name_bind;

allow mysqld_t mysqld_var_run_t:sock_file create_file_perms;

etcdir_domain(mysqld)
typealias mysqld_etc_t alias etc_mysqld_t;
type mysqld_db_t, file_type, sysadmfile;

log_domain(mysqld)

# for temporary tables
tmp_domain(mysqld)

allow mysqld_t usr_t:file { getattr read };

allow mysqld_t self:fifo_file { read write };
allow mysqld_t self:unix_stream_socket create_stream_socket_perms;
allow initrc_t mysqld_t:unix_stream_socket connectto;
allow initrc_t mysqld_var_run_t:sock_file write;

allow initrc_t mysqld_log_t:file { write append setattr ioctl };

allow mysqld_t self:capability { dac_override setgid setuid };
allow mysqld_t self:process getsched;

allow mysqld_t proc_t:file { getattr read };

# Allow access to the mysqld databases
create_dir_file(mysqld_t, mysqld_db_t)
allow mysqld_t var_lib_t:dir { getattr search };

can_network(mysqld_t)
can_ypbind(mysqld_t)

# read config files
r_dir_file(initrc_t, mysqld_etc_t)
allow mysqld_t { etc_t etc_runtime_t }:{ file lnk_file } { read getattr };

allow mysqld_t etc_t:dir search;

allow mysqld_t sysctl_kernel_t:dir search;
allow mysqld_t sysctl_kernel_t:file read;

can_unix_connect(sysadm_t, mysqld_t)

# for /root/.my.cnf - should not be needed
allow mysqld_t sysadm_home_dir_t:dir search;
allow mysqld_t sysadm_home_t:file { read getattr };

ifdef(`logrotate.te', `
r_dir_file(logrotate_t, mysqld_etc_t)
allow logrotate_t mysqld_db_t:dir search;
allow logrotate_t mysqld_var_run_t:dir search;
allow logrotate_t mysqld_var_run_t:sock_file write;
can_unix_connect(logrotate_t, mysqld_t)
')

ifdef(`user_db_connect', `
allow userdomain mysqld_var_run_t:dir search;
allow userdomain mysqld_var_run_t:sock_file write;
')

ifdef(`daemontools.te', `
domain_auto_trans( svc_run_t, mysqld_exec_t, mysqld_t)
allow svc_start_t mysqld_t:process signal;
svc_ipc_domain(mysqld_t)
')dnl end ifdef daemontools

ifdef(`distro_redhat', `
allow initrc_t mysqld_db_t:dir create_dir_perms;

# because Fedora has the sock_file in the database directory
file_type_auto_trans(mysqld_t, mysqld_db_t, mysqld_var_run_t, sock_file)
')

---

• Follow-Ups:
  • • From: dragoran

• References:
  • • From: dragoran

[][]   [][]   [] [] []

Chinaunix首页 | 论坛 | 博客

博文 博主

ELM's Blogwenzk.blog.chinaunix.net

• 4月28日14:30-20:30机房服务器迁移，暂停博客使用
• 9/30日 14:00 -10/4日 08:00暂时无法发布内容！
• 9/30日 14:00 -10/4日 08:00暂时无法发布内容！

首页　| 　博文目录　| 　关于我

wenzk

• 博客访问： 7683592
• 博文数量： 637
• 博客积分： 10265
• 博客等级： 上将
• 技术积分： 6165
• 用 户 组： 普通用户
• 注册时间： 2004-12-12 22:00

文章分类

全部博文（637）

• 程序设计（9）
• Solaris系统（22）
• 数码相机（8）
• IT新技术（11）
• DNS相关（16）
• Office相关（13）
• OpenVPN（2）
• 供电系统（9）
• 工作相关（79）
• BSD杂谈（46）
• 数据库相关（35）
• 乱七八糟（31）
• Linux系统相关（224）
• 自娱自乐（19）
• 邮件系统相关（39）
• 计算机网络（73）
• 未分配的博文（1）

文章存档

2011年（1）

• 2011年07月（1）

2010年（1）

• 2010年02月（1）

2009年（3）

• 2009年09月（2）
• 2009年05月（1）

2008年（12）

• 2008年06月（1）
• 2008年04月（9）
• 2008年03月（1）
• 2008年01月（1）

2007年（44）

• 2007年11月（2）
• 2007年10月（1）
• 2007年09月（1）
• 2007年07月（1）
• 2007年06月（11）
• 2007年05月（4）
• 2007年04月（5）
• 2007年03月（13）
• 2007年01月（6）

2006年（156）

• 2006年11月（3）
• 2006年10月（8）
• 2006年09月（1）
• 2006年08月（8）
• 2006年06月（12）
• 2006年05月（12）
• 2006年04月（4）
• 2006年03月（25）
• 2006年02月（24）
• 2006年01月（59）

2005年（419）

• 2005年12月（55）
• 2005年11月（20）
• 2005年10月（79）
• 2005年09月（11）
• 2005年08月（22）
• 2005年07月（44）
• 2005年06月（81）
• 2005年05月（48）
• 2005年04月（11）
• 2005年03月（48）

2004年（1）

• 2004年12月（1）

我的朋友

• 

  一鸣雨

• 

  叶绍琛

• 

  大鬼不动

• 

  myeer

• 

  chbljy12

• 

  flashfir

• 

  techim

• 

  非洲乌龟

• 

  wangzhan

最近访客

• 

  beyand81

• 

  lyg111

• 

  khls27

• 

  gaokeke1

• 

  5sky

• 

  suixiaof

• 

  djx2020

• 

  cynthia

• 

  浪花小雨

推荐博文

• ·ORACLE SQL overlap时间段重...
• ·Rust入门到精通(三）—— 不...
• ·Oracle 1582-10-07问题
• ·1：Python开发：初识Python...
• ·ORACLE物理结构

相关博文

• ·通过内置FTP服务共享本地文件...
• ·Jtti：教你如何远程管理Linux...
• ·Linux中如何删除文件和目录？...
• ·百度搜索：蓝易云 - k8s部署n...
• ·百度搜索：蓝易云 - DNS部署...
• ·SQL数据库的错误处理机制是怎...
• ·Ubuntu linux 命令总结
• ·内网穿透详解：从传统方式到P...
• ·CentOS设置单用户模式快速修...
• ·FMEA在网络安全中的应用实践...

PHP cannot connect to mysql server (FC3 SELinux)

分类： LINUX

2006-02-26 08:48:42

---

[][]   [][]   [] [] []

Re: PHP cannot connect to mysql server

---

• From: Daniel J Walsh
• To: "Fedora SELinux support list for users & developers."
• Subject: Re: PHP cannot connect to mysql server
• Date: Wed, 10 Nov 2004 10:52:22 -0500

---

dragoran wrote:

I am running FC3 with selinux on targeted policy. When PHP tryies to connect to the mysql server i get this messages in dmesg:
sbin/httpd name=mysql.sock dev=hda3 ino=309535 scontext=user_u:system_r:httpd_t tcontext=user_u:object_r:var_lib_t tclass=sock_file
Disabling SELinux for Apache fix this, but I want to run httpd with selinux.
So how can i fix this?

--
fedora-selinux-list mailing list
fedora-selinux-list redhat com

A couple of things to try.

I am thinking of adding mysqld.te file to targeted policy. (attached)

You can try to use it by doing the following

   * Install selinux-policy-targeted-sources.
   * yum install selinux-policy-targeted-sources
   * cd /etc/selinux/targeted/src/policy
   * cp MYSQLD.te domains/program/
   * make load
   * rpm -q -l mysql | restorecon -R -f -
   * service mysql restart

Or you can just add the ability to write to sock_files in var lib.

   * Install selinux-policy-targeted-sources.
   * yum install selinux-policy-targeted-sources
   * cd /etc/selinux/targeted/src/policy
   * echo "allow httpd_t var_lib_t:sock_file rw_socket_perms;" >
     domains/program/httpd_socket.te
   * make load

#DESC Mysqld - Database server
#
# Author:  Russell Coker 
# X-Debian-Packages: mysql-server
#

#################################
#
# Rules for the mysqld_t domain.
#
# mysqld_exec_t is the type of the mysqld executable.
#
daemon_domain(mysqld)

type mysqld_port_t, port_type;
allow mysqld_t mysqld_port_t:tcp_socket name_bind;

allow mysqld_t mysqld_var_run_t:sock_file create_file_perms;

etcdir_domain(mysqld)
typealias mysqld_etc_t alias etc_mysqld_t;
type mysqld_db_t, file_type, sysadmfile;

log_domain(mysqld)

# for temporary tables
tmp_domain(mysqld)

allow mysqld_t usr_t:file { getattr read };

allow mysqld_t self:fifo_file { read write };
allow mysqld_t self:unix_stream_socket create_stream_socket_perms;
allow initrc_t mysqld_t:unix_stream_socket connectto;
allow initrc_t mysqld_var_run_t:sock_file write;

allow initrc_t mysqld_log_t:file { write append setattr ioctl };

allow mysqld_t self:capability { dac_override setgid setuid };
allow mysqld_t self:process getsched;

allow mysqld_t proc_t:file { getattr read };

# Allow access to the mysqld databases
create_dir_file(mysqld_t, mysqld_db_t)
allow mysqld_t var_lib_t:dir { getattr search };

can_network(mysqld_t)
can_ypbind(mysqld_t)

# read config files
r_dir_file(initrc_t, mysqld_etc_t)
allow mysqld_t { etc_t etc_runtime_t }:{ file lnk_file } { read getattr };

allow mysqld_t etc_t:dir search;

allow mysqld_t sysctl_kernel_t:dir search;
allow mysqld_t sysctl_kernel_t:file read;

can_unix_connect(sysadm_t, mysqld_t)

# for /root/.my.cnf - should not be needed
allow mysqld_t sysadm_home_dir_t:dir search;
allow mysqld_t sysadm_home_t:file { read getattr };

ifdef(`logrotate.te', `
r_dir_file(logrotate_t, mysqld_etc_t)
allow logrotate_t mysqld_db_t:dir search;
allow logrotate_t mysqld_var_run_t:dir search;
allow logrotate_t mysqld_var_run_t:sock_file write;
can_unix_connect(logrotate_t, mysqld_t)
')

ifdef(`user_db_connect', `
allow userdomain mysqld_var_run_t:dir search;
allow userdomain mysqld_var_run_t:sock_file write;
')

ifdef(`daemontools.te', `
domain_auto_trans( svc_run_t, mysqld_exec_t, mysqld_t)
allow svc_start_t mysqld_t:process signal;
svc_ipc_domain(mysqld_t)
')dnl end ifdef daemontools

ifdef(`distro_redhat', `
allow initrc_t mysqld_db_t:dir create_dir_perms;

# because Fedora has the sock_file in the database directory
file_type_auto_trans(mysqld_t, mysqld_db_t, mysqld_var_run_t, sock_file)
')

---

• Follow-Ups:
  • • From: dragoran

• References:
  • • From: dragoran

[][]   [][]   [] [] []

Chinaunix首页 | 论坛 | 博客

博文 博主

ELM's Blogwenzk.blog.chinaunix.net

• 4月28日14:30-20:30机房服务器迁移，暂停博客使用
• 9/30日 14:00 -10/4日 08:00暂时无法发布内容！
• 9/30日 14:00 -10/4日 08:00暂时无法发布内容！

首页　| 　博文目录　| 　关于我

wenzk

• 博客访问： 7683593
• 博文数量： 637
• 博客积分： 10265
• 博客等级： 上将
• 技术积分： 6165
• 用 户 组： 普通用户
• 注册时间： 2004-12-12 22:00

文章分类

全部博文（637）

• 程序设计（9）
• Solaris系统（22）
• 数码相机（8）
• IT新技术（11）
• DNS相关（16）
• Office相关（13）
• OpenVPN（2）
• 供电系统（9）
• 工作相关（79）
• BSD杂谈（46）
• 数据库相关（35）
• 乱七八糟（31）
• Linux系统相关（224）
• 自娱自乐（19）
• 邮件系统相关（39）
• 计算机网络（73）
• 未分配的博文（1）

文章存档

2011年（1）

• 2011年07月（1）

2010年（1）

• 2010年02月（1）

2009年（3）

• 2009年09月（2）
• 2009年05月（1）

2008年（12）

• 2008年06月（1）
• 2008年04月（9）
• 2008年03月（1）
• 2008年01月（1）

2007年（44）

• 2007年11月（2）
• 2007年10月（1）
• 2007年09月（1）
• 2007年07月（1）
• 2007年06月（11）
• 2007年05月（4）
• 2007年04月（5）
• 2007年03月（13）
• 2007年01月（6）

2006年（156）

• 2006年11月（3）
• 2006年10月（8）
• 2006年09月（1）
• 2006年08月（8）
• 2006年06月（12）
• 2006年05月（12）
• 2006年04月（4）
• 2006年03月（25）
• 2006年02月（24）
• 2006年01月（59）

2005年（419）

• 2005年12月（55）
• 2005年11月（20）
• 2005年10月（79）
• 2005年09月（11）
• 2005年08月（22）
• 2005年07月（44）
• 2005年06月（81）
• 2005年05月（48）
• 2005年04月（11）
• 2005年03月（48）

2004年（1）

• 2004年12月（1）

我的朋友

• 

  一鸣雨

• 

  叶绍琛

• 

  大鬼不动

• 

  myeer

• 

  chbljy12

• 

  flashfir

• 

  techim

• 

  非洲乌龟

• 

  wangzhan

最近访客

• 

  beyand81

• 

  lyg111

• 

  khls27

• 

  gaokeke1

• 

  5sky

• 

  suixiaof

• 

  djx2020

• 

  cynthia

• 

  浪花小雨

推荐博文

• ·ORACLE SQL overlap时间段重...
• ·Rust入门到精通(三）—— 不...
• ·Oracle 1582-10-07问题
• ·1：Python开发：初识Python...
• ·ORACLE物理结构

相关博文

• ·通过内置FTP服务共享本地文件...
• ·Jtti：教你如何远程管理Linux...
• ·Linux中如何删除文件和目录？...
• ·百度搜索：蓝易云 - k8s部署n...
• ·百度搜索：蓝易云 - DNS部署...
• ·SQL数据库的错误处理机制是怎...
• ·Ubuntu linux 命令总结
• ·内网穿透详解：从传统方式到P...
• ·CentOS设置单用户模式快速修...
• ·FMEA在网络安全中的应用实践...

PHP cannot connect to mysql server (FC3 SELinux)

分类： LINUX

2006-02-26 08:48:42

---

[][]   [][]   [] [] []

Re: PHP cannot connect to mysql server

---

• From: Daniel J Walsh
• To: "Fedora SELinux support list for users & developers."
• Subject: Re: PHP cannot connect to mysql server
• Date: Wed, 10 Nov 2004 10:52:22 -0500

---

dragoran wrote:

I am running FC3 with selinux on targeted policy. When PHP tryies to connect to the mysql server i get this messages in dmesg:
sbin/httpd name=mysql.sock dev=hda3 ino=309535 scontext=user_u:system_r:httpd_t tcontext=user_u:object_r:var_lib_t tclass=sock_file
Disabling SELinux for Apache fix this, but I want to run httpd with selinux.
So how can i fix this?

--
fedora-selinux-list mailing list
fedora-selinux-list redhat com

A couple of things to try.

I am thinking of adding mysqld.te file to targeted policy. (attached)

You can try to use it by doing the following

   * Install selinux-policy-targeted-sources.
   * yum install selinux-policy-targeted-sources
   * cd /etc/selinux/targeted/src/policy
   * cp MYSQLD.te domains/program/
   * make load
   * rpm -q -l mysql | restorecon -R -f -
   * service mysql restart

Or you can just add the ability to write to sock_files in var lib.

   * Install selinux-policy-targeted-sources.
   * yum install selinux-policy-targeted-sources
   * cd /etc/selinux/targeted/src/policy
   * echo "allow httpd_t var_lib_t:sock_file rw_socket_perms;" >
     domains/program/httpd_socket.te
   * make load

#DESC Mysqld - Database server
#
# Author:  Russell Coker 
# X-Debian-Packages: mysql-server
#

#################################
#
# Rules for the mysqld_t domain.
#
# mysqld_exec_t is the type of the mysqld executable.
#
daemon_domain(mysqld)

type mysqld_port_t, port_type;
allow mysqld_t mysqld_port_t:tcp_socket name_bind;

allow mysqld_t mysqld_var_run_t:sock_file create_file_perms;

etcdir_domain(mysqld)
typealias mysqld_etc_t alias etc_mysqld_t;
type mysqld_db_t, file_type, sysadmfile;

log_domain(mysqld)

# for temporary tables
tmp_domain(mysqld)

allow mysqld_t usr_t:file { getattr read };

allow mysqld_t self:fifo_file { read write };
allow mysqld_t self:unix_stream_socket create_stream_socket_perms;
allow initrc_t mysqld_t:unix_stream_socket connectto;
allow initrc_t mysqld_var_run_t:sock_file write;

allow initrc_t mysqld_log_t:file { write append setattr ioctl };

allow mysqld_t self:capability { dac_override setgid setuid };
allow mysqld_t self:process getsched;

allow mysqld_t proc_t:file { getattr read };

# Allow access to the mysqld databases
create_dir_file(mysqld_t, mysqld_db_t)
allow mysqld_t var_lib_t:dir { getattr search };

can_network(mysqld_t)
can_ypbind(mysqld_t)

# read config files
r_dir_file(initrc_t, mysqld_etc_t)
allow mysqld_t { etc_t etc_runtime_t }:{ file lnk_file } { read getattr };

allow mysqld_t etc_t:dir search;

allow mysqld_t sysctl_kernel_t:dir search;
allow mysqld_t sysctl_kernel_t:file read;

can_unix_connect(sysadm_t, mysqld_t)

# for /root/.my.cnf - should not be needed
allow mysqld_t sysadm_home_dir_t:dir search;
allow mysqld_t sysadm_home_t:file { read getattr };

ifdef(`logrotate.te', `
r_dir_file(logrotate_t, mysqld_etc_t)
allow logrotate_t mysqld_db_t:dir search;
allow logrotate_t mysqld_var_run_t:dir search;
allow logrotate_t mysqld_var_run_t:sock_file write;
can_unix_connect(logrotate_t, mysqld_t)
')

ifdef(`user_db_connect', `
allow userdomain mysqld_var_run_t:dir search;
allow userdomain mysqld_var_run_t:sock_file write;
')

ifdef(`daemontools.te', `
domain_auto_trans( svc_run_t, mysqld_exec_t, mysqld_t)
allow svc_start_t mysqld_t:process signal;
svc_ipc_domain(mysqld_t)
')dnl end ifdef daemontools

ifdef(`distro_redhat', `
allow initrc_t mysqld_db_t:dir create_dir_perms;

# because Fedora has the sock_file in the database directory
file_type_auto_trans(mysqld_t, mysqld_db_t, mysqld_var_run_t, sock_file)
')

---

• Follow-Ups:
  • • From: dragoran

• References:
  • • From: dragoran

[][]   [][]   [] [] []

Chinaunix首页 | 论坛 | 博客

博文 博主

ELM's Blogwenzk.blog.chinaunix.net

• 4月28日14:30-20:30机房服务器迁移，暂停博客使用
• 9/30日 14:00 -10/4日 08:00暂时无法发布内容！
• 9/30日 14:00 -10/4日 08:00暂时无法发布内容！

首页　| 　博文目录　| 　关于我

wenzk

• 博客访问： 7683594
• 博文数量： 637
• 博客积分： 10265
• 博客等级： 上将
• 技术积分： 6165
• 用 户 组： 普通用户
• 注册时间： 2004-12-12 22:00

文章分类

全部博文（637）

• 程序设计（9）
• Solaris系统（22）
• 数码相机（8）
• IT新技术（11）
• DNS相关（16）
• Office相关（13）
• OpenVPN（2）
• 供电系统（9）
• 工作相关（79）
• BSD杂谈（46）
• 数据库相关（35）
• 乱七八糟（31）
• Linux系统相关（224）
• 自娱自乐（19）
• 邮件系统相关（39）
• 计算机网络（73）
• 未分配的博文（1）

文章存档

2011年（1）

• 2011年07月（1）

2010年（1）

• 2010年02月（1）

2009年（3）

• 2009年09月（2）
• 2009年05月（1）

2008年（12）

• 2008年06月（1）
• 2008年04月（9）
• 2008年03月（1）
• 2008年01月（1）

2007年（44）

• 2007年11月（2）
• 2007年10月（1）
• 2007年09月（1）
• 2007年07月（1）
• 2007年06月（11）
• 2007年05月（4）
• 2007年04月（5）
• 2007年03月（13）
• 2007年01月（6）

2006年（156）

• 2006年11月（3）
• 2006年10月（8）
• 2006年09月（1）
• 2006年08月（8）
• 2006年06月（12）
• 2006年05月（12）
• 2006年04月（4）
• 2006年03月（25）
• 2006年02月（24）
• 2006年01月（59）

2005年（419）

• 2005年12月（55）
• 2005年11月（20）
• 2005年10月（79）
• 2005年09月（11）
• 2005年08月（22）
• 2005年07月（44）
• 2005年06月（81）
• 2005年05月（48）
• 2005年04月（11）
• 2005年03月（48）

2004年（1）

• 2004年12月（1）

我的朋友

• 

  一鸣雨

• 

  叶绍琛

• 

  大鬼不动

• 

  myeer

• 

  chbljy12

• 

  flashfir

• 

  techim

• 

  非洲乌龟

• 

  wangzhan

最近访客

• 

  beyand81

• 

  lyg111

• 

  khls27

• 

  gaokeke1

• 

  5sky

• 

  suixiaof

• 

  djx2020

• 

  cynthia

• 

  浪花小雨

推荐博文

• ·ORACLE SQL overlap时间段重...
• ·Rust入门到精通(三）—— 不...
• ·Oracle 1582-10-07问题
• ·1：Python开发：初识Python...
• ·ORACLE物理结构

相关博文

• ·通过内置FTP服务共享本地文件...
• ·Jtti：教你如何远程管理Linux...
• ·Linux中如何删除文件和目录？...
• ·百度搜索：蓝易云 - k8s部署n...
• ·百度搜索：蓝易云 - DNS部署...
• ·SQL数据库的错误处理机制是怎...
• ·Ubuntu linux 命令总结
• ·内网穿透详解：从传统方式到P...
• ·CentOS设置单用户模式快速修...
• ·FMEA在网络安全中的应用实践...

PHP cannot connect to mysql server (FC3 SELinux)

分类： LINUX

2006-02-26 08:48:42

---

[][]   [][]   [] [] []

Re: PHP cannot connect to mysql server

---

• From: Daniel J Walsh
• To: "Fedora SELinux support list for users & developers."
• Subject: Re: PHP cannot connect to mysql server
• Date: Wed, 10 Nov 2004 10:52:22 -0500

---

dragoran wrote:

I am running FC3 with selinux on targeted policy. When PHP tryies to connect to the mysql server i get this messages in dmesg:
sbin/httpd name=mysql.sock dev=hda3 ino=309535 scontext=user_u:system_r:httpd_t tcontext=user_u:object_r:var_lib_t tclass=sock_file
Disabling SELinux for Apache fix this, but I want to run httpd with selinux.
So how can i fix this?

--
fedora-selinux-list mailing list
fedora-selinux-list redhat com

A couple of things to try.

I am thinking of adding mysqld.te file to targeted policy. (attached)

You can try to use it by doing the following

   * Install selinux-policy-targeted-sources.
   * yum install selinux-policy-targeted-sources
   * cd /etc/selinux/targeted/src/policy
   * cp MYSQLD.te domains/program/
   * make load
   * rpm -q -l mysql | restorecon -R -f -
   * service mysql restart

Or you can just add the ability to write to sock_files in var lib.

   * Install selinux-policy-targeted-sources.
   * yum install selinux-policy-targeted-sources
   * cd /etc/selinux/targeted/src/policy
   * echo "allow httpd_t var_lib_t:sock_file rw_socket_perms;" >
     domains/program/httpd_socket.te
   * make load

#DESC Mysqld - Database server
#
# Author:  Russell Coker 
# X-Debian-Packages: mysql-server
#

#################################
#
# Rules for the mysqld_t domain.
#
# mysqld_exec_t is the type of the mysqld executable.
#
daemon_domain(mysqld)

type mysqld_port_t, port_type;
allow mysqld_t mysqld_port_t:tcp_socket name_bind;

allow mysqld_t mysqld_var_run_t:sock_file create_file_perms;

etcdir_domain(mysqld)
typealias mysqld_etc_t alias etc_mysqld_t;
type mysqld_db_t, file_type, sysadmfile;

log_domain(mysqld)

# for temporary tables
tmp_domain(mysqld)

allow mysqld_t usr_t:file { getattr read };

allow mysqld_t self:fifo_file { read write };
allow mysqld_t self:unix_stream_socket create_stream_socket_perms;
allow initrc_t mysqld_t:unix_stream_socket connectto;
allow initrc_t mysqld_var_run_t:sock_file write;

allow initrc_t mysqld_log_t:file { write append setattr ioctl };

allow mysqld_t self:capability { dac_override setgid setuid };
allow mysqld_t self:process getsched;

allow mysqld_t proc_t:file { getattr read };

# Allow access to the mysqld databases
create_dir_file(mysqld_t, mysqld_db_t)
allow mysqld_t var_lib_t:dir { getattr search };

can_network(mysqld_t)
can_ypbind(mysqld_t)

# read config files
r_dir_file(initrc_t, mysqld_etc_t)
allow mysqld_t { etc_t etc_runtime_t }:{ file lnk_file } { read getattr };

allow mysqld_t etc_t:dir search;

allow mysqld_t sysctl_kernel_t:dir search;
allow mysqld_t sysctl_kernel_t:file read;

can_unix_connect(sysadm_t, mysqld_t)

# for /root/.my.cnf - should not be needed
allow mysqld_t sysadm_home_dir_t:dir search;
allow mysqld_t sysadm_home_t:file { read getattr };

ifdef(`logrotate.te', `
r_dir_file(logrotate_t, mysqld_etc_t)
allow logrotate_t mysqld_db_t:dir search;
allow logrotate_t mysqld_var_run_t:dir search;
allow logrotate_t mysqld_var_run_t:sock_file write;
can_unix_connect(logrotate_t, mysqld_t)
')

ifdef(`user_db_connect', `
allow userdomain mysqld_var_run_t:dir search;
allow userdomain mysqld_var_run_t:sock_file write;
')

ifdef(`daemontools.te', `
domain_auto_trans( svc_run_t, mysqld_exec_t, mysqld_t)
allow svc_start_t mysqld_t:process signal;
svc_ipc_domain(mysqld_t)
')dnl end ifdef daemontools

ifdef(`distro_redhat', `
allow initrc_t mysqld_db_t:dir create_dir_perms;

# because Fedora has the sock_file in the database directory
file_type_auto_trans(mysqld_t, mysqld_db_t, mysqld_var_run_t, sock_file)
')

---

• Follow-Ups:
  • • From: dragoran

• References:
  • • From: dragoran

[][]   [][]   [] [] []

Chinaunix首页 | 论坛 | 博客

博文 博主

ELM's Blogwenzk.blog.chinaunix.net

• 4月28日14:30-20:30机房服务器迁移，暂停博客使用
• 9/30日 14:00 -10/4日 08:00暂时无法发布内容！
• 9/30日 14:00 -10/4日 08:00暂时无法发布内容！

首页　| 　博文目录　| 　关于我

wenzk

• 博客访问： 7683595
• 博文数量： 637
• 博客积分： 10265
• 博客等级： 上将
• 技术积分： 6165
• 用 户 组： 普通用户
• 注册时间： 2004-12-12 22:00

文章分类

全部博文（637）

• 程序设计（9）
• Solaris系统（22）
• 数码相机（8）
• IT新技术（11）
• DNS相关（16）
• Office相关（13）
• OpenVPN（2）
• 供电系统（9）
• 工作相关（79）
• BSD杂谈（46）
• 数据库相关（35）
• 乱七八糟（31）
• Linux系统相关（224）
• 自娱自乐（19）
• 邮件系统相关（39）
• 计算机网络（73）
• 未分配的博文（1）

文章存档

2011年（1）

• 2011年07月（1）

2010年（1）

• 2010年02月（1）

2009年（3）

• 2009年09月（2）
• 2009年05月（1）

2008年（12）

• 2008年06月（1）
• 2008年04月（9）
• 2008年03月（1）
• 2008年01月（1）

2007年（44）

• 2007年11月（2）
• 2007年10月（1）
• 2007年09月（1）
• 2007年07月（1）
• 2007年06月（11）
• 2007年05月（4）
• 2007年04月（5）
• 2007年03月（13）
• 2007年01月（6）

2006年（156）

• 2006年11月（3）
• 2006年10月（8）
• 2006年09月（1）
• 2006年08月（8）
• 2006年06月（12）
• 2006年05月（12）
• 2006年04月（4）
• 2006年03月（25）
• 2006年02月（24）
• 2006年01月（59）

2005年（419）

• 2005年12月（55）
• 2005年11月（20）
• 2005年10月（79）
• 2005年09月（11）
• 2005年08月（22）
• 2005年07月（44）
• 2005年06月（81）
• 2005年05月（48）
• 2005年04月（11）
• 2005年03月（48）

2004年（1）

• 2004年12月（1）

我的朋友

• 

  一鸣雨

• 

  叶绍琛

• 

  大鬼不动

• 

  myeer

• 

  chbljy12

• 

  flashfir

• 

  techim

• 

  非洲乌龟

• 

  wangzhan

最近访客

• 

  beyand81

• 

  lyg111

• 

  khls27

• 

  gaokeke1

• 

  5sky

• 

  suixiaof

• 

  djx2020

• 

  cynthia

• 

  浪花小雨

推荐博文

• ·ORACLE SQL overlap时间段重...
• ·Rust入门到精通(三）—— 不...
• ·Oracle 1582-10-07问题
• ·1：Python开发：初识Python...
• ·ORACLE物理结构

相关博文

• ·通过内置FTP服务共享本地文件...
• ·Jtti：教你如何远程管理Linux...
• ·Linux中如何删除文件和目录？...
• ·百度搜索：蓝易云 - k8s部署n...
• ·百度搜索：蓝易云 - DNS部署...
• ·SQL数据库的错误处理机制是怎...
• ·Ubuntu linux 命令总结
• ·内网穿透详解：从传统方式到P...
• ·CentOS设置单用户模式快速修...
• ·FMEA在网络安全中的应用实践...

PHP cannot connect to mysql server (FC3 SELinux)

分类： LINUX

2006-02-26 08:48:42

---

[][]   [][]   [] [] []

Re: PHP cannot connect to mysql server

---

• From: Daniel J Walsh
• To: "Fedora SELinux support list for users & developers."
• Subject: Re: PHP cannot connect to mysql server
• Date: Wed, 10 Nov 2004 10:52:22 -0500

---

dragoran wrote:

I am running FC3 with selinux on targeted policy. When PHP tryies to connect to the mysql server i get this messages in dmesg:
sbin/httpd name=mysql.sock dev=hda3 ino=309535 scontext=user_u:system_r:httpd_t tcontext=user_u:object_r:var_lib_t tclass=sock_file
Disabling SELinux for Apache fix this, but I want to run httpd with selinux.
So how can i fix this?

--
fedora-selinux-list mailing list
fedora-selinux-list redhat com

A couple of things to try.

I am thinking of adding mysqld.te file to targeted policy. (attached)

You can try to use it by doing the following

   * Install selinux-policy-targeted-sources.
   * yum install selinux-policy-targeted-sources
   * cd /etc/selinux/targeted/src/policy
   * cp MYSQLD.te domains/program/
   * make load
   * rpm -q -l mysql | restorecon -R -f -
   * service mysql restart

Or you can just add the ability to write to sock_files in var lib.

   * Install selinux-policy-targeted-sources.
   * yum install selinux-policy-targeted-sources
   * cd /etc/selinux/targeted/src/policy
   * echo "allow httpd_t var_lib_t:sock_file rw_socket_perms;" >
     domains/program/httpd_socket.te
   * make load

#DESC Mysqld - Database server
#
# Author:  Russell Coker 
# X-Debian-Packages: mysql-server
#

#################################
#
# Rules for the mysqld_t domain.
#
# mysqld_exec_t is the type of the mysqld executable.
#
daemon_domain(mysqld)

type mysqld_port_t, port_type;
allow mysqld_t mysqld_port_t:tcp_socket name_bind;

allow mysqld_t mysqld_var_run_t:sock_file create_file_perms;

etcdir_domain(mysqld)
typealias mysqld_etc_t alias etc_mysqld_t;
type mysqld_db_t, file_type, sysadmfile;

log_domain(mysqld)

# for temporary tables
tmp_domain(mysqld)

allow mysqld_t usr_t:file { getattr read };

allow mysqld_t self:fifo_file { read write };
allow mysqld_t self:unix_stream_socket create_stream_socket_perms;
allow initrc_t mysqld_t:unix_stream_socket connectto;
allow initrc_t mysqld_var_run_t:sock_file write;

allow initrc_t mysqld_log_t:file { write append setattr ioctl };

allow mysqld_t self:capability { dac_override setgid setuid };
allow mysqld_t self:process getsched;

allow mysqld_t proc_t:file { getattr read };

# Allow access to the mysqld databases
create_dir_file(mysqld_t, mysqld_db_t)
allow mysqld_t var_lib_t:dir { getattr search };

can_network(mysqld_t)
can_ypbind(mysqld_t)

# read config files
r_dir_file(initrc_t, mysqld_etc_t)
allow mysqld_t { etc_t etc_runtime_t }:{ file lnk_file } { read getattr };

allow mysqld_t etc_t:dir search;

allow mysqld_t sysctl_kernel_t:dir search;
allow mysqld_t sysctl_kernel_t:file read;

can_unix_connect(sysadm_t, mysqld_t)

# for /root/.my.cnf - should not be needed
allow mysqld_t sysadm_home_dir_t:dir search;
allow mysqld_t sysadm_home_t:file { read getattr };

ifdef(`logrotate.te', `
r_dir_file(logrotate_t, mysqld_etc_t)
allow logrotate_t mysqld_db_t:dir search;
allow logrotate_t mysqld_var_run_t:dir search;
allow logrotate_t mysqld_var_run_t:sock_file write;
can_unix_connect(logrotate_t, mysqld_t)
')

ifdef(`user_db_connect', `
allow userdomain mysqld_var_run_t:dir search;
allow userdomain mysqld_var_run_t:sock_file write;
')

ifdef(`daemontools.te', `
domain_auto_trans( svc_run_t, mysqld_exec_t, mysqld_t)
allow svc_start_t mysqld_t:process signal;
svc_ipc_domain(mysqld_t)
')dnl end ifdef daemontools

ifdef(`distro_redhat', `
allow initrc_t mysqld_db_t:dir create_dir_perms;

# because Fedora has the sock_file in the database directory
file_type_auto_trans(mysqld_t, mysqld_db_t, mysqld_var_run_t, sock_file)
')

---

• Follow-Ups:
  • • From: dragoran

• References:
  • • From: dragoran

[][]   [][]   [] [] []

Chinaunix首页 | 论坛 | 博客

博文 博主

ELM's Blogwenzk.blog.chinaunix.net

• 4月28日14:30-20:30机房服务器迁移，暂停博客使用
• 9/30日 14:00 -10/4日 08:00暂时无法发布内容！
• 9/30日 14:00 -10/4日 08:00暂时无法发布内容！

首页　| 　博文目录　| 　关于我

wenzk

• 博客访问： 7683596
• 博文数量： 637
• 博客积分： 10265
• 博客等级： 上将
• 技术积分： 6165
• 用 户 组： 普通用户
• 注册时间： 2004-12-12 22:00

文章分类

全部博文（637）

• 程序设计（9）
• Solaris系统（22）
• 数码相机（8）
• IT新技术（11）
• DNS相关（16）
• Office相关（13）
• OpenVPN（2）
• 供电系统（9）
• 工作相关（79）
• BSD杂谈（46）
• 数据库相关（35）
• 乱七八糟（31）
• Linux系统相关（224）
• 自娱自乐（19）
• 邮件系统相关（39）
• 计算机网络（73）
• 未分配的博文（1）

文章存档

2011年（1）

• 2011年07月（1）

2010年（1）

• 2010年02月（1）

2009年（3）

• 2009年09月（2）
• 2009年05月（1）

2008年（12）

• 2008年06月（1）
• 2008年04月（9）
• 2008年03月（1）
• 2008年01月（1）

2007年（44）

• 2007年11月（2）
• 2007年10月（1）
• 2007年09月（1）
• 2007年07月（1）
• 2007年06月（11）
• 2007年05月（4）
• 2007年04月（5）
• 2007年03月（13）
• 2007年01月（6）

2006年（156）

• 2006年11月（3）
• 2006年10月（8）
• 2006年09月（1）
• 2006年08月（8）
• 2006年06月（12）
• 2006年05月（12）
• 2006年04月（4）
• 2006年03月（25）
• 2006年02月（24）
• 2006年01月（59）

2005年（419）

• 2005年12月（55）
• 2005年11月（20）
• 2005年10月（79）
• 2005年09月（11）
• 2005年08月（22）
• 2005年07月（44）
• 2005年06月（81）
• 2005年05月（48）
• 2005年04月（11）
• 2005年03月（48）

2004年（1）

• 2004年12月（1）

我的朋友

• 

  一鸣雨

• 

  叶绍琛

• 

  大鬼不动

• 

  myeer

• 

  chbljy12

• 

  flashfir

• 

  techim

• 

  非洲乌龟

• 

  wangzhan

最近访客

• 

  beyand81

• 

  lyg111

• 

  khls27

• 

  gaokeke1

• 

  5sky

• 

  suixiaof

• 

  djx2020

• 

  cynthia

• 

  浪花小雨

推荐博文

• ·ORACLE SQL overlap时间段重...
• ·Rust入门到精通(三）—— 不...
• ·Oracle 1582-10-07问题
• ·1：Python开发：初识Python...
• ·ORACLE物理结构

相关博文

• ·通过内置FTP服务共享本地文件...
• ·Jtti：教你如何远程管理Linux...
• ·Linux中如何删除文件和目录？...
• ·百度搜索：蓝易云 - k8s部署n...
• ·百度搜索：蓝易云 - DNS部署...
• ·SQL数据库的错误处理机制是怎...
• ·Ubuntu linux 命令总结
• ·内网穿透详解：从传统方式到P...
• ·CentOS设置单用户模式快速修...
• ·FMEA在网络安全中的应用实践...

PHP cannot connect to mysql server (FC3 SELinux)

分类： LINUX

2006-02-26 08:48:42

---

[][]   [][]   [] [] []

Re: PHP cannot connect to mysql server

---

• From: Daniel J Walsh
• To: "Fedora SELinux support list for users & developers."
• Subject: Re: PHP cannot connect to mysql server
• Date: Wed, 10 Nov 2004 10:52:22 -0500

---

dragoran wrote:

I am running FC3 with selinux on targeted policy. When PHP tryies to connect to the mysql server i get this messages in dmesg:
sbin/httpd name=mysql.sock dev=hda3 ino=309535 scontext=user_u:system_r:httpd_t tcontext=user_u:object_r:var_lib_t tclass=sock_file
Disabling SELinux for Apache fix this, but I want to run httpd with selinux.
So how can i fix this?

--
fedora-selinux-list mailing list
fedora-selinux-list redhat com

A couple of things to try.

I am thinking of adding mysqld.te file to targeted policy. (attached)

You can try to use it by doing the following

   * Install selinux-policy-targeted-sources.
   * yum install selinux-policy-targeted-sources
   * cd /etc/selinux/targeted/src/policy
   * cp MYSQLD.te domains/program/
   * make load
   * rpm -q -l mysql | restorecon -R -f -
   * service mysql restart

Or you can just add the ability to write to sock_files in var lib.

   * Install selinux-policy-targeted-sources.
   * yum install selinux-policy-targeted-sources
   * cd /etc/selinux/targeted/src/policy
   * echo "allow httpd_t var_lib_t:sock_file rw_socket_perms;" >
     domains/program/httpd_socket.te
   * make load

#DESC Mysqld - Database server
#
# Author:  Russell Coker 
# X-Debian-Packages: mysql-server
#

#################################
#
# Rules for the mysqld_t domain.
#
# mysqld_exec_t is the type of the mysqld executable.
#
daemon_domain(mysqld)

type mysqld_port_t, port_type;
allow mysqld_t mysqld_port_t:tcp_socket name_bind;

allow mysqld_t mysqld_var_run_t:sock_file create_file_perms;

etcdir_domain(mysqld)
typealias mysqld_etc_t alias etc_mysqld_t;
type mysqld_db_t, file_type, sysadmfile;

log_domain(mysqld)

# for temporary tables
tmp_domain(mysqld)

allow mysqld_t usr_t:file { getattr read };

allow mysqld_t self:fifo_file { read write };
allow mysqld_t self:unix_stream_socket create_stream_socket_perms;
allow initrc_t mysqld_t:unix_stream_socket connectto;
allow initrc_t mysqld_var_run_t:sock_file write;

allow initrc_t mysqld_log_t:file { write append setattr ioctl };

allow mysqld_t self:capability { dac_override setgid setuid };
allow mysqld_t self:process getsched;

allow mysqld_t proc_t:file { getattr read };

# Allow access to the mysqld databases
create_dir_file(mysqld_t, mysqld_db_t)
allow mysqld_t var_lib_t:dir { getattr search };

can_network(mysqld_t)
can_ypbind(mysqld_t)

# read config files
r_dir_file(initrc_t, mysqld_etc_t)
allow mysqld_t { etc_t etc_runtime_t }:{ file lnk_file } { read getattr };

allow mysqld_t etc_t:dir search;

allow mysqld_t sysctl_kernel_t:dir search;
allow mysqld_t sysctl_kernel_t:file read;

can_unix_connect(sysadm_t, mysqld_t)

# for /root/.my.cnf - should not be needed
allow mysqld_t sysadm_home_dir_t:dir search;
allow mysqld_t sysadm_home_t:file { read getattr };

ifdef(`logrotate.te', `
r_dir_file(logrotate_t, mysqld_etc_t)
allow logrotate_t mysqld_db_t:dir search;
allow logrotate_t mysqld_var_run_t:dir search;
allow logrotate_t mysqld_var_run_t:sock_file write;
can_unix_connect(logrotate_t, mysqld_t)
')

ifdef(`user_db_connect', `
allow userdomain mysqld_var_run_t:dir search;
allow userdomain mysqld_var_run_t:sock_file write;
')

ifdef(`daemontools.te', `
domain_auto_trans( svc_run_t, mysqld_exec_t, mysqld_t)
allow svc_start_t mysqld_t:process signal;
svc_ipc_domain(mysqld_t)
')dnl end ifdef daemontools

ifdef(`distro_redhat', `
allow initrc_t mysqld_db_t:dir create_dir_perms;

# because Fedora has the sock_file in the database directory
file_type_auto_trans(mysqld_t, mysqld_db_t, mysqld_var_run_t, sock_file)
')

---

• Follow-Ups:
  • • From: dragoran

• References:
  • • From: dragoran

[][]   [][]   [] [] []

Chinaunix首页 | 论坛 | 博客

博文 博主

ELM's Blogwenzk.blog.chinaunix.net

• 4月28日14:30-20:30机房服务器迁移，暂停博客使用
• 9/30日 14:00 -10/4日 08:00暂时无法发布内容！
• 9/30日 14:00 -10/4日 08:00暂时无法发布内容！

首页　| 　博文目录　| 　关于我

wenzk

• 博客访问： 7683597
• 博文数量： 637
• 博客积分： 10265
• 博客等级： 上将
• 技术积分： 6165
• 用 户 组： 普通用户
• 注册时间： 2004-12-12 22:00

文章分类

全部博文（637）

• 程序设计（9）
• Solaris系统（22）
• 数码相机（8）
• IT新技术（11）
• DNS相关（16）
• Office相关（13）
• OpenVPN（2）
• 供电系统（9）
• 工作相关（79）
• BSD杂谈（46）
• 数据库相关（35）
• 乱七八糟（31）
• Linux系统相关（224）
• 自娱自乐（19）
• 邮件系统相关（39）
• 计算机网络（73）
• 未分配的博文（1）

文章存档

2011年（1）

• 2011年07月（1）

2010年（1）

• 2010年02月（1）

2009年（3）

• 2009年09月（2）
• 2009年05月（1）

2008年（12）

• 2008年06月（1）
• 2008年04月（9）
• 2008年03月（1）
• 2008年01月（1）

2007年（44）

• 2007年11月（2）
• 2007年10月（1）
• 2007年09月（1）
• 2007年07月（1）
• 2007年06月（11）
• 2007年05月（4）
• 2007年04月（5）
• 2007年03月（13）
• 2007年01月（6）

2006年（156）

• 2006年11月（3）
• 2006年10月（8）
• 2006年09月（1）
• 2006年08月（8）
• 2006年06月（12）
• 2006年05月（12）
• 2006年04月（4）
• 2006年03月（25）
• 2006年02月（24）
• 2006年01月（59）

2005年（419）

• 2005年12月（55）
• 2005年11月（20）
• 2005年10月（79）
• 2005年09月（11）
• 2005年08月（22）
• 2005年07月（44）
• 2005年06月（81）
• 2005年05月（48）
• 2005年04月（11）
• 2005年03月（48）

2004年（1）

• 2004年12月（1）

我的朋友

• 

  一鸣雨

• 

  叶绍琛

• 

  大鬼不动

• 

  myeer

• 

  chbljy12

• 

  flashfir

• 

  techim

• 

  非洲乌龟

• 

  wangzhan

最近访客

• 

  beyand81

• 

  lyg111

• 

  khls27

• 

  gaokeke1

• 

  5sky

• 

  suixiaof

• 

  djx2020

• 

  cynthia

• 

  浪花小雨

推荐博文

• ·ORACLE SQL overlap时间段重...
• ·Rust入门到精通(三）—— 不...
• ·Oracle 1582-10-07问题
• ·1：Python开发：初识Python...
• ·ORACLE物理结构

相关博文

• ·通过内置FTP服务共享本地文件...
• ·Jtti：教你如何远程管理Linux...
• ·Linux中如何删除文件和目录？...
• ·百度搜索：蓝易云 - k8s部署n...
• ·百度搜索：蓝易云 - DNS部署...
• ·SQL数据库的错误处理机制是怎...
• ·Ubuntu linux 命令总结
• ·内网穿透详解：从传统方式到P...
• ·CentOS设置单用户模式快速修...
• ·FMEA在网络安全中的应用实践...

PHP cannot connect to mysql server (FC3 SELinux)

分类： LINUX

2006-02-26 08:48:42

---

[][]   [][]   [] [] []

Re: PHP cannot connect to mysql server

---

• From: Daniel J Walsh
• To: "Fedora SELinux support list for users & developers."
• Subject: Re: PHP cannot connect to mysql server
• Date: Wed, 10 Nov 2004 10:52:22 -0500

---

dragoran wrote:

I am running FC3 with selinux on targeted policy. When PHP tryies to connect to the mysql server i get this messages in dmesg:
sbin/httpd name=mysql.sock dev=hda3 ino=309535 scontext=user_u:system_r:httpd_t tcontext=user_u:object_r:var_lib_t tclass=sock_file
Disabling SELinux for Apache fix this, but I want to run httpd with selinux.
So how can i fix this?

--
fedora-selinux-list mailing list
fedora-selinux-list redhat com

A couple of things to try.

I am thinking of adding mysqld.te file to targeted policy. (attached)

You can try to use it by doing the following

   * Install selinux-policy-targeted-sources.
   * yum install selinux-policy-targeted-sources
   * cd /etc/selinux/targeted/src/policy
   * cp MYSQLD.te domains/program/
   * make load
   * rpm -q -l mysql | restorecon -R -f -
   * service mysql restart

Or you can just add the ability to write to sock_files in var lib.

   * Install selinux-policy-targeted-sources.
   * yum install selinux-policy-targeted-sources
   * cd /etc/selinux/targeted/src/policy
   * echo "allow httpd_t var_lib_t:sock_file rw_socket_perms;" >
     domains/program/httpd_socket.te
   * make load

#DESC Mysqld - Database server
#
# Author:  Russell Coker 
# X-Debian-Packages: mysql-server
#

#################################
#
# Rules for the mysqld_t domain.
#
# mysqld_exec_t is the type of the mysqld executable.
#
daemon_domain(mysqld)

type mysqld_port_t, port_type;
allow mysqld_t mysqld_port_t:tcp_socket name_bind;

allow mysqld_t mysqld_var_run_t:sock_file create_file_perms;

etcdir_domain(mysqld)
typealias mysqld_etc_t alias etc_mysqld_t;
type mysqld_db_t, file_type, sysadmfile;

log_domain(mysqld)

# for temporary tables
tmp_domain(mysqld)

allow mysqld_t usr_t:file { getattr read };

allow mysqld_t self:fifo_file { read write };
allow mysqld_t self:unix_stream_socket create_stream_socket_perms;
allow initrc_t mysqld_t:unix_stream_socket connectto;
allow initrc_t mysqld_var_run_t:sock_file write;

allow initrc_t mysqld_log_t:file { write append setattr ioctl };

allow mysqld_t self:capability { dac_override setgid setuid };
allow mysqld_t self:process getsched;

allow mysqld_t proc_t:file { getattr read };

# Allow access to the mysqld databases
create_dir_file(mysqld_t, mysqld_db_t)
allow mysqld_t var_lib_t:dir { getattr search };

can_network(mysqld_t)
can_ypbind(mysqld_t)

# read config files
r_dir_file(initrc_t, mysqld_etc_t)
allow mysqld_t { etc_t etc_runtime_t }:{ file lnk_file } { read getattr };

allow mysqld_t etc_t:dir search;

allow mysqld_t sysctl_kernel_t:dir search;
allow mysqld_t sysctl_kernel_t:file read;

can_unix_connect(sysadm_t, mysqld_t)

# for /root/.my.cnf - should not be needed
allow mysqld_t sysadm_home_dir_t:dir search;
allow mysqld_t sysadm_home_t:file { read getattr };

ifdef(`logrotate.te', `
r_dir_file(logrotate_t, mysqld_etc_t)
allow logrotate_t mysqld_db_t:dir search;
allow logrotate_t mysqld_var_run_t:dir search;
allow logrotate_t mysqld_var_run_t:sock_file write;
can_unix_connect(logrotate_t, mysqld_t)
')

ifdef(`user_db_connect', `
allow userdomain mysqld_var_run_t:dir search;
allow userdomain mysqld_var_run_t:sock_file write;
')

ifdef(`daemontools.te', `
domain_auto_trans( svc_run_t, mysqld_exec_t, mysqld_t)
allow svc_start_t mysqld_t:process signal;
svc_ipc_domain(mysqld_t)
')dnl end ifdef daemontools

ifdef(`distro_redhat', `
allow initrc_t mysqld_db_t:dir create_dir_perms;

# because Fedora has the sock_file in the database directory
file_type_auto_trans(mysqld_t, mysqld_db_t, mysqld_var_run_t, sock_file)
')

---

• Follow-Ups:
  • • From: dragoran

• References:
  • • From: dragoran

[][]   [][]   [] [] []

Chinaunix首页 | 论坛 | 博客

博文 博主

ELM's Blogwenzk.blog.chinaunix.net

• 4月28日14:30-20:30机房服务器迁移，暂停博客使用
• 9/30日 14:00 -10/4日 08:00暂时无法发布内容！
• 9/30日 14:00 -10/4日 08:00暂时无法发布内容！

首页　| 　博文目录　| 　关于我

wenzk

• 博客访问： 7683598
• 博文数量： 637
• 博客积分： 10265
• 博客等级： 上将
• 技术积分： 6165
• 用 户 组： 普通用户
• 注册时间： 2004-12-12 22:00

文章分类

全部博文（637）

• 程序设计（9）
• Solaris系统（22）
• 数码相机（8）
• IT新技术（11）
• DNS相关（16）
• Office相关（13）
• OpenVPN（2）
• 供电系统（9）
• 工作相关（79）
• BSD杂谈（46）
• 数据库相关（35）
• 乱七八糟（31）
• Linux系统相关（224）
• 自娱自乐（19）
• 邮件系统相关（39）
• 计算机网络（73）
• 未分配的博文（1）

文章存档

2011年（1）

• 2011年07月（1）

2010年（1）

• 2010年02月（1）

2009年（3）

• 2009年09月（2）
• 2009年05月（1）

2008年（12）

• 2008年06月（1）
• 2008年04月（9）
• 2008年03月（1）
• 2008年01月（1）

2007年（44）

• 2007年11月（2）
• 2007年10月（1）
• 2007年09月（1）
• 2007年07月（1）
• 2007年06月（11）
• 2007年05月（4）
• 2007年04月（5）
• 2007年03月（13）
• 2007年01月（6）

2006年（156）

• 2006年11月（3）
• 2006年10月（8）
• 2006年09月（1）
• 2006年08月（8）
• 2006年06月（12）
• 2006年05月（12）
• 2006年04月（4）
• 2006年03月（25）
• 2006年02月（24）
• 2006年01月（59）

2005年（419）

• 2005年12月（55）
• 2005年11月（20）
• 2005年10月（79）
• 2005年09月（11）
• 2005年08月（22）
• 2005年07月（44）
• 2005年06月（81）
• 2005年05月（48）
• 2005年04月（11）
• 2005年03月（48）

2004年（1）

• 2004年12月（1）

我的朋友

• 

  一鸣雨

• 

  叶绍琛

• 

  大鬼不动

• 

  myeer

• 

  chbljy12

• 

  flashfir

• 

  techim

• 

  非洲乌龟

• 

  wangzhan

最近访客

• 

  beyand81

• 

  lyg111

• 

  khls27

• 

  gaokeke1

• 

  5sky

• 

  suixiaof

• 

  djx2020

• 

  cynthia

• 

  浪花小雨

推荐博文

• ·ORACLE SQL overlap时间段重...
• ·Rust入门到精通(三）—— 不...
• ·Oracle 1582-10-07问题
• ·1：Python开发：初识Python...
• ·ORACLE物理结构

相关博文

• ·通过内置FTP服务共享本地文件...
• ·Jtti：教你如何远程管理Linux...
• ·Linux中如何删除文件和目录？...
• ·百度搜索：蓝易云 - k8s部署n...
• ·百度搜索：蓝易云 - DNS部署...
• ·SQL数据库的错误处理机制是怎...
• ·Ubuntu linux 命令总结
• ·内网穿透详解：从传统方式到P...
• ·CentOS设置单用户模式快速修...
• ·FMEA在网络安全中的应用实践...

PHP cannot connect to mysql server (FC3 SELinux)

分类： LINUX

2006-02-26 08:48:42

---

[][]   [][]   [] [] []

Re: PHP cannot connect to mysql server

---

• From: Daniel J Walsh
• To: "Fedora SELinux support list for users & developers."
• Subject: Re: PHP cannot connect to mysql server
• Date: Wed, 10 Nov 2004 10:52:22 -0500

---

dragoran wrote:

I am running FC3 with selinux on targeted policy. When PHP tryies to connect to the mysql server i get this messages in dmesg:
sbin/httpd name=mysql.sock dev=hda3 ino=309535 scontext=user_u:system_r:httpd_t tcontext=user_u:object_r:var_lib_t tclass=sock_file
Disabling SELinux for Apache fix this, but I want to run httpd with selinux.
So how can i fix this?

--
fedora-selinux-list mailing list
fedora-selinux-list redhat com

A couple of things to try.

I am thinking of adding mysqld.te file to targeted policy. (attached)

You can try to use it by doing the following

   * Install selinux-policy-targeted-sources.
   * yum install selinux-policy-targeted-sources
   * cd /etc/selinux/targeted/src/policy
   * cp MYSQLD.te domains/program/
   * make load
   * rpm -q -l mysql | restorecon -R -f -
   * service mysql restart

Or you can just add the ability to write to sock_files in var lib.

   * Install selinux-policy-targeted-sources.
   * yum install selinux-policy-targeted-sources
   * cd /etc/selinux/targeted/src/policy
   * echo "allow httpd_t var_lib_t:sock_file rw_socket_perms;" >
     domains/program/httpd_socket.te
   * make load

#DESC Mysqld - Database server
#
# Author:  Russell Coker 
# X-Debian-Packages: mysql-server
#

#################################
#
# Rules for the mysqld_t domain.
#
# mysqld_exec_t is the type of the mysqld executable.
#
daemon_domain(mysqld)

type mysqld_port_t, port_type;
allow mysqld_t mysqld_port_t:tcp_socket name_bind;

allow mysqld_t mysqld_var_run_t:sock_file create_file_perms;

etcdir_domain(mysqld)
typealias mysqld_etc_t alias etc_mysqld_t;
type mysqld_db_t, file_type, sysadmfile;

log_domain(mysqld)

# for temporary tables
tmp_domain(mysqld)

allow mysqld_t usr_t:file { getattr read };

allow mysqld_t self:fifo_file { read write };
allow mysqld_t self:unix_stream_socket create_stream_socket_perms;
allow initrc_t mysqld_t:unix_stream_socket connectto;
allow initrc_t mysqld_var_run_t:sock_file write;

allow initrc_t mysqld_log_t:file { write append setattr ioctl };

allow mysqld_t self:capability { dac_override setgid setuid };
allow mysqld_t self:process getsched;

allow mysqld_t proc_t:file { getattr read };

# Allow access to the mysqld databases
create_dir_file(mysqld_t, mysqld_db_t)
allow mysqld_t var_lib_t:dir { getattr search };

can_network(mysqld_t)
can_ypbind(mysqld_t)

# read config files
r_dir_file(initrc_t, mysqld_etc_t)
allow mysqld_t { etc_t etc_runtime_t }:{ file lnk_file } { read getattr };

allow mysqld_t etc_t:dir search;

allow mysqld_t sysctl_kernel_t:dir search;
allow mysqld_t sysctl_kernel_t:file read;

can_unix_connect(sysadm_t, mysqld_t)

# for /root/.my.cnf - should not be needed
allow mysqld_t sysadm_home_dir_t:dir search;
allow mysqld_t sysadm_home_t:file { read getattr };

ifdef(`logrotate.te', `
r_dir_file(logrotate_t, mysqld_etc_t)
allow logrotate_t mysqld_db_t:dir search;
allow logrotate_t mysqld_var_run_t:dir search;
allow logrotate_t mysqld_var_run_t:sock_file write;
can_unix_connect(logrotate_t, mysqld_t)
')

ifdef(`user_db_connect', `
allow userdomain mysqld_var_run_t:dir search;
allow userdomain mysqld_var_run_t:sock_file write;
')

ifdef(`daemontools.te', `
domain_auto_trans( svc_run_t, mysqld_exec_t, mysqld_t)
allow svc_start_t mysqld_t:process signal;
svc_ipc_domain(mysqld_t)
')dnl end ifdef daemontools

ifdef(`distro_redhat', `
allow initrc_t mysqld_db_t:dir create_dir_perms;

# because Fedora has the sock_file in the database directory
file_type_auto_trans(mysqld_t, mysqld_db_t, mysqld_var_run_t, sock_file)
')

---

• Follow-Ups:
  • • From: dragoran

• References:
  • • From: dragoran

[][]   [][]   [] [] []

Chinaunix首页 | 论坛 | 博客

博文 博主

ELM's Blogwenzk.blog.chinaunix.net

• 4月28日14:30-20:30机房服务器迁移，暂停博客使用
• 9/30日 14:00 -10/4日 08:00暂时无法发布内容！
• 9/30日 14:00 -10/4日 08:00暂时无法发布内容！

首页　| 　博文目录　| 　关于我

wenzk

• 博客访问： 7683599
• 博文数量： 637
• 博客积分： 10265
• 博客等级： 上将
• 技术积分： 6165
• 用 户 组： 普通用户
• 注册时间： 2004-12-12 22:00

文章分类

全部博文（637）

• 程序设计（9）
• Solaris系统（22）
• 数码相机（8）
• IT新技术（11）
• DNS相关（16）
• Office相关（13）
• OpenVPN（2）
• 供电系统（9）
• 工作相关（79）
• BSD杂谈（46）
• 数据库相关（35）
• 乱七八糟（31）
• Linux系统相关（224）
• 自娱自乐（19）
• 邮件系统相关（39）
• 计算机网络（73）
• 未分配的博文（1）

文章存档

2011年（1）

• 2011年07月（1）

2010年（1）

• 2010年02月（1）

2009年（3）

• 2009年09月（2）
• 2009年05月（1）

2008年（12）

• 2008年06月（1）
• 2008年04月（9）
• 2008年03月（1）
• 2008年01月（1）

2007年（44）

• 2007年11月（2）
• 2007年10月（1）
• 2007年09月（1）
• 2007年07月（1）
• 2007年06月（11）
• 2007年05月（4）
• 2007年04月（5）
• 2007年03月（13）
• 2007年01月（6）

2006年（156）

• 2006年11月（3）
• 2006年10月（8）
• 2006年09月（1）
• 2006年08月（8）
• 2006年06月（12）
• 2006年05月（12）
• 2006年04月（4）
• 2006年03月（25）
• 2006年02月（24）
• 2006年01月（59）

2005年（419）

• 2005年12月（55）
• 2005年11月（20）
• 2005年10月（79）
• 2005年09月（11）
• 2005年08月（22）
• 2005年07月（44）
• 2005年06月（81）
• 2005年05月（48）
• 2005年04月（11）
• 2005年03月（48）

2004年（1）

• 2004年12月（1）

我的朋友

• 

  一鸣雨

• 

  叶绍琛

• 

  大鬼不动

• 

  myeer

• 

  chbljy12

• 

  flashfir

• 

  techim

• 

  非洲乌龟

• 

  wangzhan

最近访客

• 

  beyand81

• 

  lyg111

• 

  khls27

• 

  gaokeke1

• 

  5sky

• 

  suixiaof

• 

  djx2020

• 

  cynthia

• 

  浪花小雨

推荐博文

• ·ORACLE SQL overlap时间段重...
• ·Rust入门到精通(三）—— 不...
• ·Oracle 1582-10-07问题
• ·1：Python开发：初识Python...
• ·ORACLE物理结构

相关博文

• ·通过内置FTP服务共享本地文件...
• ·Jtti：教你如何远程管理Linux...
• ·Linux中如何删除文件和目录？...
• ·百度搜索：蓝易云 - k8s部署n...
• ·百度搜索：蓝易云 - DNS部署...
• ·SQL数据库的错误处理机制是怎...
• ·Ubuntu linux 命令总结
• ·内网穿透详解：从传统方式到P...
• ·CentOS设置单用户模式快速修...
• ·FMEA在网络安全中的应用实践...

PHP cannot connect to mysql server (FC3 SELinux)

分类： LINUX

2006-02-26 08:48:42

---

[][]   [][]   [] [] []

Re: PHP cannot connect to mysql server

---

• From: Daniel J Walsh
• To: "Fedora SELinux support list for users & developers."
• Subject: Re: PHP cannot connect to mysql server
• Date: Wed, 10 Nov 2004 10:52:22 -0500

---

dragoran wrote:

I am running FC3 with selinux on targeted policy. When PHP tryies to connect to the mysql server i get this messages in dmesg:
sbin/httpd name=mysql.sock dev=hda3 ino=309535 scontext=user_u:system_r:httpd_t tcontext=user_u:object_r:var_lib_t tclass=sock_file
Disabling SELinux for Apache fix this, but I want to run httpd with selinux.
So how can i fix this?

--
fedora-selinux-list mailing list
fedora-selinux-list redhat com

A couple of things to try.

I am thinking of adding mysqld.te file to targeted policy. (attached)

You can try to use it by doing the following

   * Install selinux-policy-targeted-sources.
   * yum install selinux-policy-targeted-sources
   * cd /etc/selinux/targeted/src/policy
   * cp MYSQLD.te domains/program/
   * make load
   * rpm -q -l mysql | restorecon -R -f -
   * service mysql restart

Or you can just add the ability to write to sock_files in var lib.

   * Install selinux-policy-targeted-sources.
   * yum install selinux-policy-targeted-sources
   * cd /etc/selinux/targeted/src/policy
   * echo "allow httpd_t var_lib_t:sock_file rw_socket_perms;" >
     domains/program/httpd_socket.te
   * make load

#DESC Mysqld - Database server
#
# Author:  Russell Coker 
# X-Debian-Packages: mysql-server
#

#################################
#
# Rules for the mysqld_t domain.
#
# mysqld_exec_t is the type of the mysqld executable.
#
daemon_domain(mysqld)

type mysqld_port_t, port_type;
allow mysqld_t mysqld_port_t:tcp_socket name_bind;

allow mysqld_t mysqld_var_run_t:sock_file create_file_perms;

etcdir_domain(mysqld)
typealias mysqld_etc_t alias etc_mysqld_t;
type mysqld_db_t, file_type, sysadmfile;

log_domain(mysqld)

# for temporary tables
tmp_domain(mysqld)

allow mysqld_t usr_t:file { getattr read };

allow mysqld_t self:fifo_file { read write };
allow mysqld_t self:unix_stream_socket create_stream_socket_perms;
allow initrc_t mysqld_t:unix_stream_socket connectto;
allow initrc_t mysqld_var_run_t:sock_file write;

allow initrc_t mysqld_log_t:file { write append setattr ioctl };

allow mysqld_t self:capability { dac_override setgid setuid };
allow mysqld_t self:process getsched;

allow mysqld_t proc_t:file { getattr read };

# Allow access to the mysqld databases
create_dir_file(mysqld_t, mysqld_db_t)
allow mysqld_t var_lib_t:dir { getattr search };

can_network(mysqld_t)
can_ypbind(mysqld_t)

# read config files
r_dir_file(initrc_t, mysqld_etc_t)
allow mysqld_t { etc_t etc_runtime_t }:{ file lnk_file } { read getattr };

allow mysqld_t etc_t:dir search;

allow mysqld_t sysctl_kernel_t:dir search;
allow mysqld_t sysctl_kernel_t:file read;

can_unix_connect(sysadm_t, mysqld_t)

# for /root/.my.cnf - should not be needed
allow mysqld_t sysadm_home_dir_t:dir search;
allow mysqld_t sysadm_home_t:file { read getattr };

ifdef(`logrotate.te', `
r_dir_file(logrotate_t, mysqld_etc_t)
allow logrotate_t mysqld_db_t:dir search;
allow logrotate_t mysqld_var_run_t:dir search;
allow logrotate_t mysqld_var_run_t:sock_file write;
can_unix_connect(logrotate_t, mysqld_t)
')

ifdef(`user_db_connect', `
allow userdomain mysqld_var_run_t:dir search;
allow userdomain mysqld_var_run_t:sock_file write;
')

ifdef(`daemontools.te', `
domain_auto_trans( svc_run_t, mysqld_exec_t, mysqld_t)
allow svc_start_t mysqld_t:process signal;
svc_ipc_domain(mysqld_t)
')dnl end ifdef daemontools

ifdef(`distro_redhat', `
allow initrc_t mysqld_db_t:dir create_dir_perms;

# because Fedora has the sock_file in the database directory
file_type_auto_trans(mysqld_t, mysqld_db_t, mysqld_var_run_t, sock_file)
')

---

• Follow-Ups:
  • • From: dragoran

• References:
  • • From: dragoran

[][]   [][]   [] [] []

Chinaunix首页 | 论坛 | 博客

博文 博主

ELM's Blogwenzk.blog.chinaunix.net

• 4月28日14:30-20:30机房服务器迁移，暂停博客使用
• 9/30日 14:00 -10/4日 08:00暂时无法发布内容！
• 9/30日 14:00 -10/4日 08:00暂时无法发布内容！

首页　| 　博文目录　| 　关于我

wenzk

• 博客访问： 7683600
• 博文数量： 637
• 博客积分： 10265
• 博客等级： 上将
• 技术积分： 6165
• 用 户 组： 普通用户
• 注册时间： 2004-12-12 22:00

文章分类

全部博文（637）

• 程序设计（9）
• Solaris系统（22）
• 数码相机（8）
• IT新技术（11）
• DNS相关（16）
• Office相关（13）
• OpenVPN（2）
• 供电系统（9）
• 工作相关（79）
• BSD杂谈（46）
• 数据库相关（35）
• 乱七八糟（31）
• Linux系统相关（224）
• 自娱自乐（19）
• 邮件系统相关（39）
• 计算机网络（73）
• 未分配的博文（1）

文章存档

2011年（1）

• 2011年07月（1）

2010年（1）

• 2010年02月（1）

2009年（3）

• 2009年09月（2）
• 2009年05月（1）

2008年（12）

• 2008年06月（1）
• 2008年04月（9）
• 2008年03月（1）
• 2008年01月（1）

2007年（44）

• 2007年11月（2）
• 2007年10月（1）
• 2007年09月（1）
• 2007年07月（1）
• 2007年06月（11）
• 2007年05月（4）
• 2007年04月（5）
• 2007年03月（13）
• 2007年01月（6）

2006年（156）

• 2006年11月（3）
• 2006年10月（8）
• 2006年09月（1）
• 2006年08月（8）
• 2006年06月（12）
• 2006年05月（12）
• 2006年04月（4）
• 2006年03月（25）
• 2006年02月（24）
• 2006年01月（59）

2005年（419）

• 2005年12月（55）
• 2005年11月（20）
• 2005年10月（79）
• 2005年09月（11）
• 2005年08月（22）
• 2005年07月（44）
• 2005年06月（81）
• 2005年05月（48）
• 2005年04月（11）
• 2005年03月（48）

2004年（1）

• 2004年12月（1）

我的朋友

• 

  一鸣雨

• 

  叶绍琛

• 

  大鬼不动

• 

  myeer

• 

  chbljy12

• 

  flashfir

• 

  techim

• 

  非洲乌龟

• 

  wangzhan

最近访客

• 

  beyand81

• 

  lyg111

• 

  khls27

• 

  gaokeke1

• 

  5sky

• 

  suixiaof

• 

  djx2020

• 

  cynthia

• 

  浪花小雨

推荐博文

• ·ORACLE SQL overlap时间段重...
• ·Rust入门到精通(三）—— 不...
• ·Oracle 1582-10-07问题
• ·1：Python开发：初识Python...
• ·ORACLE物理结构

相关博文

• ·通过内置FTP服务共享本地文件...
• ·Jtti：教你如何远程管理Linux...
• ·Linux中如何删除文件和目录？...
• ·百度搜索：蓝易云 - k8s部署n...
• ·百度搜索：蓝易云 - DNS部署...
• ·SQL数据库的错误处理机制是怎...
• ·Ubuntu linux 命令总结
• ·内网穿透详解：从传统方式到P...
• ·CentOS设置单用户模式快速修...
• ·FMEA在网络安全中的应用实践...

PHP cannot connect to mysql server (FC3 SELinux)

分类： LINUX

2006-02-26 08:48:42

---

[][]   [][]   [] [] []

Re: PHP cannot connect to mysql server

---

• From: Daniel J Walsh
• To: "Fedora SELinux support list for users & developers."
• Subject: Re: PHP cannot connect to mysql server
• Date: Wed, 10 Nov 2004 10:52:22 -0500

---

dragoran wrote:

I am running FC3 with selinux on targeted policy. When PHP tryies to connect to the mysql server i get this messages in dmesg:
sbin/httpd name=mysql.sock dev=hda3 ino=309535 scontext=user_u:system_r:httpd_t tcontext=user_u:object_r:var_lib_t tclass=sock_file
Disabling SELinux for Apache fix this, but I want to run httpd with selinux.
So how can i fix this?

--
fedora-selinux-list mailing list
fedora-selinux-list redhat com

A couple of things to try.

I am thinking of adding mysqld.te file to targeted policy. (attached)

You can try to use it by doing the following

   * Install selinux-policy-targeted-sources.
   * yum install selinux-policy-targeted-sources
   * cd /etc/selinux/targeted/src/policy
   * cp MYSQLD.te domains/program/
   * make load
   * rpm -q -l mysql | restorecon -R -f -
   * service mysql restart

Or you can just add the ability to write to sock_files in var lib.

   * Install selinux-policy-targeted-sources.
   * yum install selinux-policy-targeted-sources
   * cd /etc/selinux/targeted/src/policy
   * echo "allow httpd_t var_lib_t:sock_file rw_socket_perms;" >
     domains/program/httpd_socket.te
   * make load

#DESC Mysqld - Database server
#
# Author:  Russell Coker 
# X-Debian-Packages: mysql-server
#

#################################
#
# Rules for the mysqld_t domain.
#
# mysqld_exec_t is the type of the mysqld executable.
#
daemon_domain(mysqld)

type mysqld_port_t, port_type;
allow mysqld_t mysqld_port_t:tcp_socket name_bind;

allow mysqld_t mysqld_var_run_t:sock_file create_file_perms;

etcdir_domain(mysqld)
typealias mysqld_etc_t alias etc_mysqld_t;
type mysqld_db_t, file_type, sysadmfile;

log_domain(mysqld)

# for temporary tables
tmp_domain(mysqld)

allow mysqld_t usr_t:file { getattr read };

allow mysqld_t self:fifo_file { read write };
allow mysqld_t self:unix_stream_socket create_stream_socket_perms;
allow initrc_t mysqld_t:unix_stream_socket connectto;
allow initrc_t mysqld_var_run_t:sock_file write;

allow initrc_t mysqld_log_t:file { write append setattr ioctl };

allow mysqld_t self:capability { dac_override setgid setuid };
allow mysqld_t self:process getsched;

allow mysqld_t proc_t:file { getattr read };

# Allow access to the mysqld databases
create_dir_file(mysqld_t, mysqld_db_t)
allow mysqld_t var_lib_t:dir { getattr search };

can_network(mysqld_t)
can_ypbind(mysqld_t)

# read config files
r_dir_file(initrc_t, mysqld_etc_t)
allow mysqld_t { etc_t etc_runtime_t }:{ file lnk_file } { read getattr };

allow mysqld_t etc_t:dir search;

allow mysqld_t sysctl_kernel_t:dir search;
allow mysqld_t sysctl_kernel_t:file read;

can_unix_connect(sysadm_t, mysqld_t)

# for /root/.my.cnf - should not be needed
allow mysqld_t sysadm_home_dir_t:dir search;
allow mysqld_t sysadm_home_t:file { read getattr };

ifdef(`logrotate.te', `
r_dir_file(logrotate_t, mysqld_etc_t)
allow logrotate_t mysqld_db_t:dir search;
allow logrotate_t mysqld_var_run_t:dir search;
allow logrotate_t mysqld_var_run_t:sock_file write;
can_unix_connect(logrotate_t, mysqld_t)
')

ifdef(`user_db_connect', `
allow userdomain mysqld_var_run_t:dir search;
allow userdomain mysqld_var_run_t:sock_file write;
')

ifdef(`daemontools.te', `
domain_auto_trans( svc_run_t, mysqld_exec_t, mysqld_t)
allow svc_start_t mysqld_t:process signal;
svc_ipc_domain(mysqld_t)
')dnl end ifdef daemontools

ifdef(`distro_redhat', `
allow initrc_t mysqld_db_t:dir create_dir_perms;

# because Fedora has the sock_file in the database directory
file_type_auto_trans(mysqld_t, mysqld_db_t, mysqld_var_run_t, sock_file)
')

---

• Follow-Ups:
  • • From: dragoran

• References:
  • • From: dragoran

[][]   [][]   [] [] []

Chinaunix首页 | 论坛 | 博客

博文 博主

ELM's Blogwenzk.blog.chinaunix.net

• 4月28日14:30-20:30机房服务器迁移，暂停博客使用
• 9/30日 14:00 -10/4日 08:00暂时无法发布内容！
• 9/30日 14:00 -10/4日 08:00暂时无法发布内容！

首页　| 　博文目录　| 　关于我

wenzk

• 博客访问： 7683591
• 博文数量： 637
• 博客积分： 10265
• 博客等级： 上将
• 技术积分： 6165
• 用 户 组： 普通用户
• 注册时间： 2004-12-12 22:00

文章分类

全部博文（637）

• 程序设计（9）
• Solaris系统（22）
• 数码相机（8）
• IT新技术（11）
• DNS相关（16）
• Office相关（13）
• OpenVPN（2）
• 供电系统（9）
• 工作相关（79）
• BSD杂谈（46）
• 数据库相关（35）
• 乱七八糟（31）
• Linux系统相关（224）
• 自娱自乐（19）
• 邮件系统相关（39）
• 计算机网络（73）
• 未分配的博文（1）

文章存档

2011年（1）

• 2011年07月（1）

2010年（1）

• 2010年02月（1）

2009年（3）

• 2009年09月（2）
• 2009年05月（1）

2008年（12）

• 2008年06月（1）
• 2008年04月（9）
• 2008年03月（1）
• 2008年01月（1）

2007年（44）

• 2007年11月（2）
• 2007年10月（1）
• 2007年09月（1）
• 2007年07月（1）
• 2007年06月（11）
• 2007年05月（4）
• 2007年04月（5）
• 2007年03月（13）
• 2007年01月（6）

2006年（156）

• 2006年11月（3）
• 2006年10月（8）
• 2006年09月（1）
• 2006年08月（8）
• 2006年06月（12）
• 2006年05月（12）
• 2006年04月（4）
• 2006年03月（25）
• 2006年02月（24）
• 2006年01月（59）

2005年（419）

• 2005年12月（55）
• 2005年11月（20）
• 2005年10月（79）
• 2005年09月（11）
• 2005年08月（22）
• 2005年07月（44）
• 2005年06月（81）
• 2005年05月（48）
• 2005年04月（11）
• 2005年03月（48）

2004年（1）

• 2004年12月（1）

我的朋友

• 

  一鸣雨

• 

  叶绍琛

• 

  大鬼不动

• 

  myeer

• 

  chbljy12

• 

  flashfir

• 

  techim

• 

  非洲乌龟

• 

  wangzhan

最近访客

• 

  beyand81

• 

  lyg111

• 

  khls27

• 

  gaokeke1

• 

  5sky

• 

  suixiaof

• 

  djx2020

• 

  cynthia

• 

  浪花小雨

推荐博文

• ·ORACLE SQL overlap时间段重...
• ·Rust入门到精通(三）—— 不...
• ·Oracle 1582-10-07问题
• ·1：Python开发：初识Python...
• ·ORACLE物理结构

相关博文

• ·通过内置FTP服务共享本地文件...
• ·Jtti：教你如何远程管理Linux...
• ·Linux中如何删除文件和目录？...
• ·百度搜索：蓝易云 - k8s部署n...
• ·百度搜索：蓝易云 - DNS部署...
• ·SQL数据库的错误处理机制是怎...
• ·Ubuntu linux 命令总结
• ·内网穿透详解：从传统方式到P...
• ·CentOS设置单用户模式快速修...
• ·FMEA在网络安全中的应用实践...

PHP cannot connect to mysql server (FC3 SELinux)

分类： LINUX

2006-02-26 08:48:42

---

[][]   [][]   [] [] []

Re: PHP cannot connect to mysql server

---

• From: Daniel J Walsh
• To: "Fedora SELinux support list for users & developers."
• Subject: Re: PHP cannot connect to mysql server
• Date: Wed, 10 Nov 2004 10:52:22 -0500

---

dragoran wrote:

I am running FC3 with selinux on targeted policy. When PHP tryies to connect to the mysql server i get this messages in dmesg:
sbin/httpd name=mysql.sock dev=hda3 ino=309535 scontext=user_u:system_r:httpd_t tcontext=user_u:object_r:var_lib_t tclass=sock_file
Disabling SELinux for Apache fix this, but I want to run httpd with selinux.
So how can i fix this?

--
fedora-selinux-list mailing list
fedora-selinux-list redhat com

A couple of things to try.

I am thinking of adding mysqld.te file to targeted policy. (attached)

You can try to use it by doing the following

   * Install selinux-policy-targeted-sources.
   * yum install selinux-policy-targeted-sources
   * cd /etc/selinux/targeted/src/policy
   * cp MYSQLD.te domains/program/
   * make load
   * rpm -q -l mysql | restorecon -R -f -
   * service mysql restart

Or you can just add the ability to write to sock_files in var lib.

   * Install selinux-policy-targeted-sources.
   * yum install selinux-policy-targeted-sources
   * cd /etc/selinux/targeted/src/policy
   * echo "allow httpd_t var_lib_t:sock_file rw_socket_perms;" >
     domains/program/httpd_socket.te
   * make load

#DESC Mysqld - Database server
#
# Author:  Russell Coker 
# X-Debian-Packages: mysql-server
#

#################################
#
# Rules for the mysqld_t domain.
#
# mysqld_exec_t is the type of the mysqld executable.
#
daemon_domain(mysqld)

type mysqld_port_t, port_type;
allow mysqld_t mysqld_port_t:tcp_socket name_bind;

allow mysqld_t mysqld_var_run_t:sock_file create_file_perms;

etcdir_domain(mysqld)
typealias mysqld_etc_t alias etc_mysqld_t;
type mysqld_db_t, file_type, sysadmfile;

log_domain(mysqld)

# for temporary tables
tmp_domain(mysqld)

allow mysqld_t usr_t:file { getattr read };

allow mysqld_t self:fifo_file { read write };
allow mysqld_t self:unix_stream_socket create_stream_socket_perms;
allow initrc_t mysqld_t:unix_stream_socket connectto;
allow initrc_t mysqld_var_run_t:sock_file write;

allow initrc_t mysqld_log_t:file { write append setattr ioctl };

allow mysqld_t self:capability { dac_override setgid setuid };
allow mysqld_t self:process getsched;

allow mysqld_t proc_t:file { getattr read };

# Allow access to the mysqld databases
create_dir_file(mysqld_t, mysqld_db_t)
allow mysqld_t var_lib_t:dir { getattr search };

can_network(mysqld_t)
can_ypbind(mysqld_t)

# read config files
r_dir_file(initrc_t, mysqld_etc_t)
allow mysqld_t { etc_t etc_runtime_t }:{ file lnk_file } { read getattr };

allow mysqld_t etc_t:dir search;

allow mysqld_t sysctl_kernel_t:dir search;
allow mysqld_t sysctl_kernel_t:file read;

can_unix_connect(sysadm_t, mysqld_t)

# for /root/.my.cnf - should not be needed
allow mysqld_t sysadm_home_dir_t:dir search;
allow mysqld_t sysadm_home_t:file { read getattr };

ifdef(`logrotate.te', `
r_dir_file(logrotate_t, mysqld_etc_t)
allow logrotate_t mysqld_db_t:dir search;
allow logrotate_t mysqld_var_run_t:dir search;
allow logrotate_t mysqld_var_run_t:sock_file write;
can_unix_connect(logrotate_t, mysqld_t)
')

ifdef(`user_db_connect', `
allow userdomain mysqld_var_run_t:dir search;
allow userdomain mysqld_var_run_t:sock_file write;
')

ifdef(`daemontools.te', `
domain_auto_trans( svc_run_t, mysqld_exec_t, mysqld_t)
allow svc_start_t mysqld_t:process signal;
svc_ipc_domain(mysqld_t)
')dnl end ifdef daemontools

ifdef(`distro_redhat', `
allow initrc_t mysqld_db_t:dir create_dir_perms;

# because Fedora has the sock_file in the database directory
file_type_auto_trans(mysqld_t, mysqld_db_t, mysqld_var_run_t, sock_file)
')

---

• Follow-Ups:
  • • From: dragoran

• References:
  • • From: dragoran

[][]   [][]   [] [] []

Chinaunix首页 | 论坛 | 博客

博文 博主

ELM's Blogwenzk.blog.chinaunix.net

• 4月28日14:30-20:30机房服务器迁移，暂停博客使用
• 9/30日 14:00 -10/4日 08:00暂时无法发布内容！
• 9/30日 14:00 -10/4日 08:00暂时无法发布内容！

首页　| 　博文目录　| 　关于我

wenzk

• 博客访问： 7683602
• 博文数量： 637
• 博客积分： 10265
• 博客等级： 上将
• 技术积分： 6165
• 用 户 组： 普通用户
• 注册时间： 2004-12-12 22:00

文章分类

全部博文（637）

• 程序设计（9）
• Solaris系统（22）
• 数码相机（8）
• IT新技术（11）
• DNS相关（16）
• Office相关（13）
• OpenVPN（2）
• 供电系统（9）
• 工作相关（79）
• BSD杂谈（46）
• 数据库相关（35）
• 乱七八糟（31）
• Linux系统相关（224）
• 自娱自乐（19）
• 邮件系统相关（39）
• 计算机网络（73）
• 未分配的博文（1）

文章存档

2011年（1）

• 2011年07月（1）

2010年（1）

• 2010年02月（1）

2009年（3）

• 2009年09月（2）
• 2009年05月（1）

2008年（12）

• 2008年06月（1）
• 2008年04月（9）
• 2008年03月（1）
• 2008年01月（1）

2007年（44）

• 2007年11月（2）
• 2007年10月（1）
• 2007年09月（1）
• 2007年07月（1）
• 2007年06月（11）
• 2007年05月（4）
• 2007年04月（5）
• 2007年03月（13）
• 2007年01月（6）

2006年（156）

• 2006年11月（3）
• 2006年10月（8）
• 2006年09月（1）
• 2006年08月（8）
• 2006年06月（12）
• 2006年05月（12）
• 2006年04月（4）
• 2006年03月（25）
• 2006年02月（24）
• 2006年01月（59）

2005年（419）

• 2005年12月（55）
• 2005年11月（20）
• 2005年10月（79）
• 2005年09月（11）
• 2005年08月（22）
• 2005年07月（44）
• 2005年06月（81）
• 2005年05月（48）
• 2005年04月（11）
• 2005年03月（48）

2004年（1）

• 2004年12月（1）

我的朋友

• 

  一鸣雨

• 

  叶绍琛

• 

  大鬼不动

• 

  myeer

• 

  chbljy12

• 

  flashfir

• 

  techim

• 

  非洲乌龟

• 

  wangzhan

最近访客

• 

  beyand81

• 

  lyg111

• 

  khls27

• 

  gaokeke1

• 

  5sky

• 

  suixiaof

• 

  djx2020

• 

  cynthia

• 

  浪花小雨

推荐博文

• ·ORACLE SQL overlap时间段重...
• ·Rust入门到精通(三）—— 不...
• ·Oracle 1582-10-07问题
• ·1：Python开发：初识Python...
• ·ORACLE物理结构

相关博文

• ·通过内置FTP服务共享本地文件...
• ·Jtti：教你如何远程管理Linux...
• ·Linux中如何删除文件和目录？...
• ·百度搜索：蓝易云 - k8s部署n...
• ·百度搜索：蓝易云 - DNS部署...
• ·SQL数据库的错误处理机制是怎...
• ·Ubuntu linux 命令总结
• ·内网穿透详解：从传统方式到P...
• ·CentOS设置单用户模式快速修...
• ·FMEA在网络安全中的应用实践...

PHP cannot connect to mysql server (FC3 SELinux)

分类： LINUX

2006-02-26 08:48:42

---

[][]   [][]   [] [] []

Re: PHP cannot connect to mysql server

---

• From: Daniel J Walsh
• To: "Fedora SELinux support list for users & developers."
• Subject: Re: PHP cannot connect to mysql server
• Date: Wed, 10 Nov 2004 10:52:22 -0500

---

dragoran wrote:

I am running FC3 with selinux on targeted policy. When PHP tryies to connect to the mysql server i get this messages in dmesg:
sbin/httpd name=mysql.sock dev=hda3 ino=309535 scontext=user_u:system_r:httpd_t tcontext=user_u:object_r:var_lib_t tclass=sock_file
Disabling SELinux for Apache fix this, but I want to run httpd with selinux.
So how can i fix this?

--
fedora-selinux-list mailing list
fedora-selinux-list redhat com

A couple of things to try.

I am thinking of adding mysqld.te file to targeted policy. (attached)

You can try to use it by doing the following

   * Install selinux-policy-targeted-sources.
   * yum install selinux-policy-targeted-sources
   * cd /etc/selinux/targeted/src/policy
   * cp MYSQLD.te domains/program/
   * make load
   * rpm -q -l mysql | restorecon -R -f -
   * service mysql restart

Or you can just add the ability to write to sock_files in var lib.

   * Install selinux-policy-targeted-sources.
   * yum install selinux-policy-targeted-sources
   * cd /etc/selinux/targeted/src/policy
   * echo "allow httpd_t var_lib_t:sock_file rw_socket_perms;" >
     domains/program/httpd_socket.te
   * make load

#DESC Mysqld - Database server
#
# Author:  Russell Coker 
# X-Debian-Packages: mysql-server
#

#################################
#
# Rules for the mysqld_t domain.
#
# mysqld_exec_t is the type of the mysqld executable.
#
daemon_domain(mysqld)

type mysqld_port_t, port_type;
allow mysqld_t mysqld_port_t:tcp_socket name_bind;

allow mysqld_t mysqld_var_run_t:sock_file create_file_perms;

etcdir_domain(mysqld)
typealias mysqld_etc_t alias etc_mysqld_t;
type mysqld_db_t, file_type, sysadmfile;

log_domain(mysqld)

# for temporary tables
tmp_domain(mysqld)

allow mysqld_t usr_t:file { getattr read };

allow mysqld_t self:fifo_file { read write };
allow mysqld_t self:unix_stream_socket create_stream_socket_perms;
allow initrc_t mysqld_t:unix_stream_socket connectto;
allow initrc_t mysqld_var_run_t:sock_file write;

allow initrc_t mysqld_log_t:file { write append setattr ioctl };

allow mysqld_t self:capability { dac_override setgid setuid };
allow mysqld_t self:process getsched;

allow mysqld_t proc_t:file { getattr read };

# Allow access to the mysqld databases
create_dir_file(mysqld_t, mysqld_db_t)
allow mysqld_t var_lib_t:dir { getattr search };

can_network(mysqld_t)
can_ypbind(mysqld_t)

# read config files
r_dir_file(initrc_t, mysqld_etc_t)
allow mysqld_t { etc_t etc_runtime_t }:{ file lnk_file } { read getattr };

allow mysqld_t etc_t:dir search;

allow mysqld_t sysctl_kernel_t:dir search;
allow mysqld_t sysctl_kernel_t:file read;

can_unix_connect(sysadm_t, mysqld_t)

# for /root/.my.cnf - should not be needed
allow mysqld_t sysadm_home_dir_t:dir search;
allow mysqld_t sysadm_home_t:file { read getattr };

ifdef(`logrotate.te', `
r_dir_file(logrotate_t, mysqld_etc_t)
allow logrotate_t mysqld_db_t:dir search;
allow logrotate_t mysqld_var_run_t:dir search;
allow logrotate_t mysqld_var_run_t:sock_file write;
can_unix_connect(logrotate_t, mysqld_t)
')

ifdef(`user_db_connect', `
allow userdomain mysqld_var_run_t:dir search;
allow userdomain mysqld_var_run_t:sock_file write;
')

ifdef(`daemontools.te', `
domain_auto_trans( svc_run_t, mysqld_exec_t, mysqld_t)
allow svc_start_t mysqld_t:process signal;
svc_ipc_domain(mysqld_t)
')dnl end ifdef daemontools

ifdef(`distro_redhat', `
allow initrc_t mysqld_db_t:dir create_dir_perms;

# because Fedora has the sock_file in the database directory
file_type_auto_trans(mysqld_t, mysqld_db_t, mysqld_var_run_t, sock_file)
')

---

• Follow-Ups:
  • • From: dragoran

• References:
  • • From: dragoran

[][]   [][]   [] [] []

Chinaunix首页 | 论坛 | 博客

博文 博主

ELM's Blogwenzk.blog.chinaunix.net

• 4月28日14:30-20:30机房服务器迁移，暂停博客使用
• 9/30日 14:00 -10/4日 08:00暂时无法发布内容！
• 9/30日 14:00 -10/4日 08:00暂时无法发布内容！

首页　| 　博文目录　| 　关于我

wenzk

• 博客访问： 7683603
• 博文数量： 637
• 博客积分： 10265
• 博客等级： 上将
• 技术积分： 6165
• 用 户 组： 普通用户
• 注册时间： 2004-12-12 22:00

文章分类

全部博文（637）

• 程序设计（9）
• Solaris系统（22）
• 数码相机（8）
• IT新技术（11）
• DNS相关（16）
• Office相关（13）
• OpenVPN（2）
• 供电系统（9）
• 工作相关（79）
• BSD杂谈（46）
• 数据库相关（35）
• 乱七八糟（31）
• Linux系统相关（224）
• 自娱自乐（19）
• 邮件系统相关（39）
• 计算机网络（73）
• 未分配的博文（1）

文章存档

2011年（1）

• 2011年07月（1）

2010年（1）

• 2010年02月（1）

2009年（3）

• 2009年09月（2）
• 2009年05月（1）

2008年（12）

• 2008年06月（1）
• 2008年04月（9）
• 2008年03月（1）
• 2008年01月（1）

2007年（44）

• 2007年11月（2）
• 2007年10月（1）
• 2007年09月（1）
• 2007年07月（1）
• 2007年06月（11）
• 2007年05月（4）
• 2007年04月（5）
• 2007年03月（13）
• 2007年01月（6）

2006年（156）

• 2006年11月（3）
• 2006年10月（8）
• 2006年09月（1）
• 2006年08月（8）
• 2006年06月（12）
• 2006年05月（12）
• 2006年04月（4）
• 2006年03月（25）
• 2006年02月（24）
• 2006年01月（59）

2005年（419）

• 2005年12月（55）
• 2005年11月（20）
• 2005年10月（79）
• 2005年09月（11）
• 2005年08月（22）
• 2005年07月（44）
• 2005年06月（81）
• 2005年05月（48）
• 2005年04月（11）
• 2005年03月（48）

2004年（1）

• 2004年12月（1）

我的朋友

• 

  一鸣雨

• 

  叶绍琛

• 

  大鬼不动

• 

  myeer

• 

  chbljy12

• 

  flashfir

• 

  techim

• 

  非洲乌龟

• 

  wangzhan

最近访客

• 

  beyand81

• 

  lyg111

• 

  khls27

• 

  gaokeke1

• 

  5sky

• 

  suixiaof

• 

  djx2020

• 

  cynthia

• 

  浪花小雨

推荐博文

• ·ORACLE SQL overlap时间段重...
• ·Rust入门到精通(三）—— 不...
• ·Oracle 1582-10-07问题
• ·1：Python开发：初识Python...
• ·ORACLE物理结构

相关博文

• ·通过内置FTP服务共享本地文件...
• ·Jtti：教你如何远程管理Linux...
• ·Linux中如何删除文件和目录？...
• ·百度搜索：蓝易云 - k8s部署n...
• ·百度搜索：蓝易云 - DNS部署...
• ·SQL数据库的错误处理机制是怎...
• ·Ubuntu linux 命令总结
• ·内网穿透详解：从传统方式到P...
• ·CentOS设置单用户模式快速修...
• ·FMEA在网络安全中的应用实践...

PHP cannot connect to mysql server (FC3 SELinux)

分类： LINUX

2006-02-26 08:48:42

---

[][]   [][]   [] [] []

Re: PHP cannot connect to mysql server

---

• From: Daniel J Walsh
• To: "Fedora SELinux support list for users & developers."
• Subject: Re: PHP cannot connect to mysql server
• Date: Wed, 10 Nov 2004 10:52:22 -0500

---

dragoran wrote:

I am running FC3 with selinux on targeted policy. When PHP tryies to connect to the mysql server i get this messages in dmesg:
sbin/httpd name=mysql.sock dev=hda3 ino=309535 scontext=user_u:system_r:httpd_t tcontext=user_u:object_r:var_lib_t tclass=sock_file
Disabling SELinux for Apache fix this, but I want to run httpd with selinux.
So how can i fix this?

--
fedora-selinux-list mailing list
fedora-selinux-list redhat com

A couple of things to try.

I am thinking of adding mysqld.te file to targeted policy. (attached)

You can try to use it by doing the following

   * Install selinux-policy-targeted-sources.
   * yum install selinux-policy-targeted-sources
   * cd /etc/selinux/targeted/src/policy
   * cp MYSQLD.te domains/program/
   * make load
   * rpm -q -l mysql | restorecon -R -f -
   * service mysql restart

Or you can just add the ability to write to sock_files in var lib.

   * Install selinux-policy-targeted-sources.
   * yum install selinux-policy-targeted-sources
   * cd /etc/selinux/targeted/src/policy
   * echo "allow httpd_t var_lib_t:sock_file rw_socket_perms;" >
     domains/program/httpd_socket.te
   * make load

#DESC Mysqld - Database server
#
# Author:  Russell Coker 
# X-Debian-Packages: mysql-server
#

#################################
#
# Rules for the mysqld_t domain.
#
# mysqld_exec_t is the type of the mysqld executable.
#
daemon_domain(mysqld)

type mysqld_port_t, port_type;
allow mysqld_t mysqld_port_t:tcp_socket name_bind;

allow mysqld_t mysqld_var_run_t:sock_file create_file_perms;

etcdir_domain(mysqld)
typealias mysqld_etc_t alias etc_mysqld_t;
type mysqld_db_t, file_type, sysadmfile;

log_domain(mysqld)

# for temporary tables
tmp_domain(mysqld)

allow mysqld_t usr_t:file { getattr read };

allow mysqld_t self:fifo_file { read write };
allow mysqld_t self:unix_stream_socket create_stream_socket_perms;
allow initrc_t mysqld_t:unix_stream_socket connectto;
allow initrc_t mysqld_var_run_t:sock_file write;

allow initrc_t mysqld_log_t:file { write append setattr ioctl };

allow mysqld_t self:capability { dac_override setgid setuid };
allow mysqld_t self:process getsched;

allow mysqld_t proc_t:file { getattr read };

# Allow access to the mysqld databases
create_dir_file(mysqld_t, mysqld_db_t)
allow mysqld_t var_lib_t:dir { getattr search };

can_network(mysqld_t)
can_ypbind(mysqld_t)

# read config files
r_dir_file(initrc_t, mysqld_etc_t)
allow mysqld_t { etc_t etc_runtime_t }:{ file lnk_file } { read getattr };

allow mysqld_t etc_t:dir search;

allow mysqld_t sysctl_kernel_t:dir search;
allow mysqld_t sysctl_kernel_t:file read;

can_unix_connect(sysadm_t, mysqld_t)

# for /root/.my.cnf - should not be needed
allow mysqld_t sysadm_home_dir_t:dir search;
allow mysqld_t sysadm_home_t:file { read getattr };

ifdef(`logrotate.te', `
r_dir_file(logrotate_t, mysqld_etc_t)
allow logrotate_t mysqld_db_t:dir search;
allow logrotate_t mysqld_var_run_t:dir search;
allow logrotate_t mysqld_var_run_t:sock_file write;
can_unix_connect(logrotate_t, mysqld_t)
')

ifdef(`user_db_connect', `
allow userdomain mysqld_var_run_t:dir search;
allow userdomain mysqld_var_run_t:sock_file write;
')

ifdef(`daemontools.te', `
domain_auto_trans( svc_run_t, mysqld_exec_t, mysqld_t)
allow svc_start_t mysqld_t:process signal;
svc_ipc_domain(mysqld_t)
')dnl end ifdef daemontools

ifdef(`distro_redhat', `
allow initrc_t mysqld_db_t:dir create_dir_perms;

# because Fedora has the sock_file in the database directory
file_type_auto_trans(mysqld_t, mysqld_db_t, mysqld_var_run_t, sock_file)
')

---

• Follow-Ups:
  • • From: dragoran

• References:
  • • From: dragoran

[][]   [][]   [] [] []

Chinaunix首页 | 论坛 | 博客

博文 博主

ELM's Blogwenzk.blog.chinaunix.net

• 4月28日14:30-20:30机房服务器迁移，暂停博客使用
• 9/30日 14:00 -10/4日 08:00暂时无法发布内容！
• 9/30日 14:00 -10/4日 08:00暂时无法发布内容！

首页　| 　博文目录　| 　关于我

wenzk

• 博客访问： 7683604
• 博文数量： 637
• 博客积分： 10265
• 博客等级： 上将
• 技术积分： 6165
• 用 户 组： 普通用户
• 注册时间： 2004-12-12 22:00

文章分类

全部博文（637）

• 程序设计（9）
• Solaris系统（22）
• 数码相机（8）
• IT新技术（11）
• DNS相关（16）
• Office相关（13）
• OpenVPN（2）
• 供电系统（9）
• 工作相关（79）
• BSD杂谈（46）
• 数据库相关（35）
• 乱七八糟（31）
• Linux系统相关（224）
• 自娱自乐（19）
• 邮件系统相关（39）
• 计算机网络（73）
• 未分配的博文（1）

文章存档

2011年（1）

• 2011年07月（1）

2010年（1）

• 2010年02月（1）

2009年（3）

• 2009年09月（2）
• 2009年05月（1）

2008年（12）

• 2008年06月（1）
• 2008年04月（9）
• 2008年03月（1）
• 2008年01月（1）

2007年（44）

• 2007年11月（2）
• 2007年10月（1）
• 2007年09月（1）
• 2007年07月（1）
• 2007年06月（11）
• 2007年05月（4）
• 2007年04月（5）
• 2007年03月（13）
• 2007年01月（6）

2006年（156）

• 2006年11月（3）
• 2006年10月（8）
• 2006年09月（1）
• 2006年08月（8）
• 2006年06月（12）
• 2006年05月（12）
• 2006年04月（4）
• 2006年03月（25）
• 2006年02月（24）
• 2006年01月（59）

2005年（419）

• 2005年12月（55）
• 2005年11月（20）
• 2005年10月（79）
• 2005年09月（11）
• 2005年08月（22）
• 2005年07月（44）
• 2005年06月（81）
• 2005年05月（48）
• 2005年04月（11）
• 2005年03月（48）

2004年（1）

• 2004年12月（1）

我的朋友

• 

  一鸣雨

• 

  叶绍琛

• 

  大鬼不动

• 

  myeer

• 

  chbljy12

• 

  flashfir

• 

  techim

• 

  非洲乌龟

• 

  wangzhan

最近访客

• 

  beyand81

• 

  lyg111

• 

  khls27

• 

  gaokeke1

• 

  5sky

• 

  suixiaof

• 

  djx2020

• 

  cynthia

• 

  浪花小雨

推荐博文

• ·ORACLE SQL overlap时间段重...
• ·Rust入门到精通(三）—— 不...
• ·Oracle 1582-10-07问题
• ·1：Python开发：初识Python...
• ·ORACLE物理结构

相关博文

• ·通过内置FTP服务共享本地文件...
• ·Jtti：教你如何远程管理Linux...
• ·Linux中如何删除文件和目录？...
• ·百度搜索：蓝易云 - k8s部署n...
• ·百度搜索：蓝易云 - DNS部署...
• ·SQL数据库的错误处理机制是怎...
• ·Ubuntu linux 命令总结
• ·内网穿透详解：从传统方式到P...
• ·CentOS设置单用户模式快速修...
• ·FMEA在网络安全中的应用实践...

PHP cannot connect to mysql server (FC3 SELinux)

分类： LINUX

2006-02-26 08:48:42

---

[][]   [][]   [] [] []

Re: PHP cannot connect to mysql server

---

• From: Daniel J Walsh
• To: "Fedora SELinux support list for users & developers."
• Subject: Re: PHP cannot connect to mysql server
• Date: Wed, 10 Nov 2004 10:52:22 -0500

---

dragoran wrote:

I am running FC3 with selinux on targeted policy. When PHP tryies to connect to the mysql server i get this messages in dmesg:
sbin/httpd name=mysql.sock dev=hda3 ino=309535 scontext=user_u:system_r:httpd_t tcontext=user_u:object_r:var_lib_t tclass=sock_file
Disabling SELinux for Apache fix this, but I want to run httpd with selinux.
So how can i fix this?

--
fedora-selinux-list mailing list
fedora-selinux-list redhat com

A couple of things to try.

I am thinking of adding mysqld.te file to targeted policy. (attached)

You can try to use it by doing the following

   * Install selinux-policy-targeted-sources.
   * yum install selinux-policy-targeted-sources
   * cd /etc/selinux/targeted/src/policy
   * cp MYSQLD.te domains/program/
   * make load
   * rpm -q -l mysql | restorecon -R -f -
   * service mysql restart

Or you can just add the ability to write to sock_files in var lib.

   * Install selinux-policy-targeted-sources.
   * yum install selinux-policy-targeted-sources
   * cd /etc/selinux/targeted/src/policy
   * echo "allow httpd_t var_lib_t:sock_file rw_socket_perms;" >
     domains/program/httpd_socket.te
   * make load

#DESC Mysqld - Database server
#
# Author:  Russell Coker 
# X-Debian-Packages: mysql-server
#

#################################
#
# Rules for the mysqld_t domain.
#
# mysqld_exec_t is the type of the mysqld executable.
#
daemon_domain(mysqld)

type mysqld_port_t, port_type;
allow mysqld_t mysqld_port_t:tcp_socket name_bind;

allow mysqld_t mysqld_var_run_t:sock_file create_file_perms;

etcdir_domain(mysqld)
typealias mysqld_etc_t alias etc_mysqld_t;
type mysqld_db_t, file_type, sysadmfile;

log_domain(mysqld)

# for temporary tables
tmp_domain(mysqld)

allow mysqld_t usr_t:file { getattr read };

allow mysqld_t self:fifo_file { read write };
allow mysqld_t self:unix_stream_socket create_stream_socket_perms;
allow initrc_t mysqld_t:unix_stream_socket connectto;
allow initrc_t mysqld_var_run_t:sock_file write;

allow initrc_t mysqld_log_t:file { write append setattr ioctl };

allow mysqld_t self:capability { dac_override setgid setuid };
allow mysqld_t self:process getsched;

allow mysqld_t proc_t:file { getattr read };

# Allow access to the mysqld databases
create_dir_file(mysqld_t, mysqld_db_t)
allow mysqld_t var_lib_t:dir { getattr search };

can_network(mysqld_t)
can_ypbind(mysqld_t)

# read config files
r_dir_file(initrc_t, mysqld_etc_t)
allow mysqld_t { etc_t etc_runtime_t }:{ file lnk_file } { read getattr };

allow mysqld_t etc_t:dir search;

allow mysqld_t sysctl_kernel_t:dir search;
allow mysqld_t sysctl_kernel_t:file read;

can_unix_connect(sysadm_t, mysqld_t)

# for /root/.my.cnf - should not be needed
allow mysqld_t sysadm_home_dir_t:dir search;
allow mysqld_t sysadm_home_t:file { read getattr };

ifdef(`logrotate.te', `
r_dir_file(logrotate_t, mysqld_etc_t)
allow logrotate_t mysqld_db_t:dir search;
allow logrotate_t mysqld_var_run_t:dir search;
allow logrotate_t mysqld_var_run_t:sock_file write;
can_unix_connect(logrotate_t, mysqld_t)
')

ifdef(`user_db_connect', `
allow userdomain mysqld_var_run_t:dir search;
allow userdomain mysqld_var_run_t:sock_file write;
')

ifdef(`daemontools.te', `
domain_auto_trans( svc_run_t, mysqld_exec_t, mysqld_t)
allow svc_start_t mysqld_t:process signal;
svc_ipc_domain(mysqld_t)
')dnl end ifdef daemontools

ifdef(`distro_redhat', `
allow initrc_t mysqld_db_t:dir create_dir_perms;

# because Fedora has the sock_file in the database directory
file_type_auto_trans(mysqld_t, mysqld_db_t, mysqld_var_run_t, sock_file)
')

---

• Follow-Ups:
  • • From: dragoran

• References:
  • • From: dragoran

[][]   [][]   [] [] []

Chinaunix首页 | 论坛 | 博客

博文 博主

ELM's Blogwenzk.blog.chinaunix.net

• 4月28日14:30-20:30机房服务器迁移，暂停博客使用
• 9/30日 14:00 -10/4日 08:00暂时无法发布内容！
• 9/30日 14:00 -10/4日 08:00暂时无法发布内容！

首页　| 　博文目录　| 　关于我

wenzk

• 博客访问： 7683605
• 博文数量： 637
• 博客积分： 10265
• 博客等级： 上将
• 技术积分： 6165
• 用 户 组： 普通用户
• 注册时间： 2004-12-12 22:00

文章分类

全部博文（637）

• 程序设计（9）
• Solaris系统（22）
• 数码相机（8）
• IT新技术（11）
• DNS相关（16）
• Office相关（13）
• OpenVPN（2）
• 供电系统（9）
• 工作相关（79）
• BSD杂谈（46）
• 数据库相关（35）
• 乱七八糟（31）
• Linux系统相关（224）
• 自娱自乐（19）
• 邮件系统相关（39）
• 计算机网络（73）
• 未分配的博文（1）

文章存档

2011年（1）

• 2011年07月（1）

2010年（1）

• 2010年02月（1）

2009年（3）

• 2009年09月（2）
• 2009年05月（1）

2008年（12）

• 2008年06月（1）
• 2008年04月（9）
• 2008年03月（1）
• 2008年01月（1）

2007年（44）

• 2007年11月（2）
• 2007年10月（1）
• 2007年09月（1）
• 2007年07月（1）
• 2007年06月（11）
• 2007年05月（4）
• 2007年04月（5）
• 2007年03月（13）
• 2007年01月（6）

2006年（156）

• 2006年11月（3）
• 2006年10月（8）
• 2006年09月（1）
• 2006年08月（8）
• 2006年06月（12）
• 2006年05月（12）
• 2006年04月（4）
• 2006年03月（25）
• 2006年02月（24）
• 2006年01月（59）

2005年（419）

• 2005年12月（55）
• 2005年11月（20）
• 2005年10月（79）
• 2005年09月（11）
• 2005年08月（22）
• 2005年07月（44）
• 2005年06月（81）
• 2005年05月（48）
• 2005年04月（11）
• 2005年03月（48）

2004年（1）

• 2004年12月（1）

我的朋友

• 

  一鸣雨

• 

  叶绍琛

• 

  大鬼不动

• 

  myeer

• 

  chbljy12

• 

  flashfir

• 

  techim

• 

  非洲乌龟

• 

  wangzhan

最近访客

• 

  beyand81

• 

  lyg111

• 

  khls27

• 

  gaokeke1

• 

  5sky

• 

  suixiaof

• 

  djx2020

• 

  cynthia

• 

  浪花小雨

推荐博文

• ·ORACLE SQL overlap时间段重...
• ·Rust入门到精通(三）—— 不...
• ·Oracle 1582-10-07问题
• ·1：Python开发：初识Python...
• ·ORACLE物理结构

相关博文

• ·通过内置FTP服务共享本地文件...
• ·Jtti：教你如何远程管理Linux...
• ·Linux中如何删除文件和目录？...
• ·百度搜索：蓝易云 - k8s部署n...
• ·百度搜索：蓝易云 - DNS部署...
• ·SQL数据库的错误处理机制是怎...
• ·Ubuntu linux 命令总结
• ·内网穿透详解：从传统方式到P...
• ·CentOS设置单用户模式快速修...
• ·FMEA在网络安全中的应用实践...

PHP cannot connect to mysql server (FC3 SELinux)

分类： LINUX

2006-02-26 08:48:42

---

[][]   [][]   [] [] []

Re: PHP cannot connect to mysql server

---

• From: Daniel J Walsh
• To: "Fedora SELinux support list for users & developers."
• Subject: Re: PHP cannot connect to mysql server
• Date: Wed, 10 Nov 2004 10:52:22 -0500

---

dragoran wrote:

I am running FC3 with selinux on targeted policy. When PHP tryies to connect to the mysql server i get this messages in dmesg:
sbin/httpd name=mysql.sock dev=hda3 ino=309535 scontext=user_u:system_r:httpd_t tcontext=user_u:object_r:var_lib_t tclass=sock_file
Disabling SELinux for Apache fix this, but I want to run httpd with selinux.
So how can i fix this?

--
fedora-selinux-list mailing list
fedora-selinux-list redhat com

A couple of things to try.

I am thinking of adding mysqld.te file to targeted policy. (attached)

You can try to use it by doing the following

   * Install selinux-policy-targeted-sources.
   * yum install selinux-policy-targeted-sources
   * cd /etc/selinux/targeted/src/policy
   * cp MYSQLD.te domains/program/
   * make load
   * rpm -q -l mysql | restorecon -R -f -
   * service mysql restart

Or you can just add the ability to write to sock_files in var lib.

   * Install selinux-policy-targeted-sources.
   * yum install selinux-policy-targeted-sources
   * cd /etc/selinux/targeted/src/policy
   * echo "allow httpd_t var_lib_t:sock_file rw_socket_perms;" >
     domains/program/httpd_socket.te
   * make load

#DESC Mysqld - Database server
#
# Author:  Russell Coker 
# X-Debian-Packages: mysql-server
#

#################################
#
# Rules for the mysqld_t domain.
#
# mysqld_exec_t is the type of the mysqld executable.
#
daemon_domain(mysqld)

type mysqld_port_t, port_type;
allow mysqld_t mysqld_port_t:tcp_socket name_bind;

allow mysqld_t mysqld_var_run_t:sock_file create_file_perms;

etcdir_domain(mysqld)
typealias mysqld_etc_t alias etc_mysqld_t;
type mysqld_db_t, file_type, sysadmfile;

log_domain(mysqld)

# for temporary tables
tmp_domain(mysqld)

allow mysqld_t usr_t:file { getattr read };

allow mysqld_t self:fifo_file { read write };
allow mysqld_t self:unix_stream_socket create_stream_socket_perms;
allow initrc_t mysqld_t:unix_stream_socket connectto;
allow initrc_t mysqld_var_run_t:sock_file write;

allow initrc_t mysqld_log_t:file { write append setattr ioctl };

allow mysqld_t self:capability { dac_override setgid setuid };
allow mysqld_t self:process getsched;

allow mysqld_t proc_t:file { getattr read };

# Allow access to the mysqld databases
create_dir_file(mysqld_t, mysqld_db_t)
allow mysqld_t var_lib_t:dir { getattr search };

can_network(mysqld_t)
can_ypbind(mysqld_t)

# read config files
r_dir_file(initrc_t, mysqld_etc_t)
allow mysqld_t { etc_t etc_runtime_t }:{ file lnk_file } { read getattr };

allow mysqld_t etc_t:dir search;

allow mysqld_t sysctl_kernel_t:dir search;
allow mysqld_t sysctl_kernel_t:file read;

can_unix_connect(sysadm_t, mysqld_t)

# for /root/.my.cnf - should not be needed
allow mysqld_t sysadm_home_dir_t:dir search;
allow mysqld_t sysadm_home_t:file { read getattr };

ifdef(`logrotate.te', `
r_dir_file(logrotate_t, mysqld_etc_t)
allow logrotate_t mysqld_db_t:dir search;
allow logrotate_t mysqld_var_run_t:dir search;
allow logrotate_t mysqld_var_run_t:sock_file write;
can_unix_connect(logrotate_t, mysqld_t)
')

ifdef(`user_db_connect', `
allow userdomain mysqld_var_run_t:dir search;
allow userdomain mysqld_var_run_t:sock_file write;
')

ifdef(`daemontools.te', `
domain_auto_trans( svc_run_t, mysqld_exec_t, mysqld_t)
allow svc_start_t mysqld_t:process signal;
svc_ipc_domain(mysqld_t)
')dnl end ifdef daemontools

ifdef(`distro_redhat', `
allow initrc_t mysqld_db_t:dir create_dir_perms;

# because Fedora has the sock_file in the database directory
file_type_auto_trans(mysqld_t, mysqld_db_t, mysqld_var_run_t, sock_file)
')

---

• Follow-Ups:
  • • From: dragoran

• References:
  • • From: dragoran

[][]   [][]   [] [] []

Chinaunix首页 | 论坛 | 博客

博文 博主

ELM's Blogwenzk.blog.chinaunix.net

• 4月28日14:30-20:30机房服务器迁移，暂停博客使用
• 9/30日 14:00 -10/4日 08:00暂时无法发布内容！
• 9/30日 14:00 -10/4日 08:00暂时无法发布内容！

首页　| 　博文目录　| 　关于我

wenzk

• 博客访问： 7683606
• 博文数量： 637
• 博客积分： 10265
• 博客等级： 上将
• 技术积分： 6165
• 用 户 组： 普通用户
• 注册时间： 2004-12-12 22:00

文章分类

全部博文（637）

• 程序设计（9）
• Solaris系统（22）
• 数码相机（8）
• IT新技术（11）
• DNS相关（16）
• Office相关（13）
• OpenVPN（2）
• 供电系统（9）
• 工作相关（79）
• BSD杂谈（46）
• 数据库相关（35）
• 乱七八糟（31）
• Linux系统相关（224）
• 自娱自乐（19）
• 邮件系统相关（39）
• 计算机网络（73）
• 未分配的博文（1）

文章存档

2011年（1）

• 2011年07月（1）

2010年（1）

• 2010年02月（1）

2009年（3）

• 2009年09月（2）
• 2009年05月（1）

2008年（12）

• 2008年06月（1）
• 2008年04月（9）
• 2008年03月（1）
• 2008年01月（1）

2007年（44）

• 2007年11月（2）
• 2007年10月（1）
• 2007年09月（1）
• 2007年07月（1）
• 2007年06月（11）
• 2007年05月（4）
• 2007年04月（5）
• 2007年03月（13）
• 2007年01月（6）

2006年（156）

• 2006年11月（3）
• 2006年10月（8）
• 2006年09月（1）
• 2006年08月（8）
• 2006年06月（12）
• 2006年05月（12）
• 2006年04月（4）
• 2006年03月（25）
• 2006年02月（24）
• 2006年01月（59）

2005年（419）

• 2005年12月（55）
• 2005年11月（20）
• 2005年10月（79）
• 2005年09月（11）
• 2005年08月（22）
• 2005年07月（44）
• 2005年06月（81）
• 2005年05月（48）
• 2005年04月（11）
• 2005年03月（48）

2004年（1）

• 2004年12月（1）

我的朋友

• 

  一鸣雨

• 

  叶绍琛

• 

  大鬼不动

• 

  myeer

• 

  chbljy12

• 

  flashfir

• 

  techim

• 

  非洲乌龟

• 

  wangzhan

最近访客

• 

  beyand81

• 

  lyg111

• 

  khls27

• 

  gaokeke1

• 

  5sky

• 

  suixiaof

• 

  djx2020

• 

  cynthia

• 

  浪花小雨

推荐博文

• ·ORACLE SQL overlap时间段重...
• ·Rust入门到精通(三）—— 不...
• ·Oracle 1582-10-07问题
• ·1：Python开发：初识Python...
• ·ORACLE物理结构

相关博文

• ·通过内置FTP服务共享本地文件...
• ·Jtti：教你如何远程管理Linux...
• ·Linux中如何删除文件和目录？...
• ·百度搜索：蓝易云 - k8s部署n...
• ·百度搜索：蓝易云 - DNS部署...
• ·SQL数据库的错误处理机制是怎...
• ·Ubuntu linux 命令总结
• ·内网穿透详解：从传统方式到P...
• ·CentOS设置单用户模式快速修...
• ·FMEA在网络安全中的应用实践...

PHP cannot connect to mysql server (FC3 SELinux)

分类： LINUX

2006-02-26 08:48:42

---

[][]   [][]   [] [] []

Re: PHP cannot connect to mysql server

---

• From: Daniel J Walsh
• To: "Fedora SELinux support list for users & developers."
• Subject: Re: PHP cannot connect to mysql server
• Date: Wed, 10 Nov 2004 10:52:22 -0500

---

dragoran wrote:

I am running FC3 with selinux on targeted policy. When PHP tryies to connect to the mysql server i get this messages in dmesg:
sbin/httpd name=mysql.sock dev=hda3 ino=309535 scontext=user_u:system_r:httpd_t tcontext=user_u:object_r:var_lib_t tclass=sock_file
Disabling SELinux for Apache fix this, but I want to run httpd with selinux.
So how can i fix this?

--
fedora-selinux-list mailing list
fedora-selinux-list redhat com

A couple of things to try.

I am thinking of adding mysqld.te file to targeted policy. (attached)

You can try to use it by doing the following

   * Install selinux-policy-targeted-sources.
   * yum install selinux-policy-targeted-sources
   * cd /etc/selinux/targeted/src/policy
   * cp MYSQLD.te domains/program/
   * make load
   * rpm -q -l mysql | restorecon -R -f -
   * service mysql restart

Or you can just add the ability to write to sock_files in var lib.

   * Install selinux-policy-targeted-sources.
   * yum install selinux-policy-targeted-sources
   * cd /etc/selinux/targeted/src/policy
   * echo "allow httpd_t var_lib_t:sock_file rw_socket_perms;" >
     domains/program/httpd_socket.te
   * make load

#DESC Mysqld - Database server
#
# Author:  Russell Coker 
# X-Debian-Packages: mysql-server
#

#################################
#
# Rules for the mysqld_t domain.
#
# mysqld_exec_t is the type of the mysqld executable.
#
daemon_domain(mysqld)

type mysqld_port_t, port_type;
allow mysqld_t mysqld_port_t:tcp_socket name_bind;

allow mysqld_t mysqld_var_run_t:sock_file create_file_perms;

etcdir_domain(mysqld)
typealias mysqld_etc_t alias etc_mysqld_t;
type mysqld_db_t, file_type, sysadmfile;

log_domain(mysqld)

# for temporary tables
tmp_domain(mysqld)

allow mysqld_t usr_t:file { getattr read };

allow mysqld_t self:fifo_file { read write };
allow mysqld_t self:unix_stream_socket create_stream_socket_perms;
allow initrc_t mysqld_t:unix_stream_socket connectto;
allow initrc_t mysqld_var_run_t:sock_file write;

allow initrc_t mysqld_log_t:file { write append setattr ioctl };

allow mysqld_t self:capability { dac_override setgid setuid };
allow mysqld_t self:process getsched;

allow mysqld_t proc_t:file { getattr read };

# Allow access to the mysqld databases
create_dir_file(mysqld_t, mysqld_db_t)
allow mysqld_t var_lib_t:dir { getattr search };

can_network(mysqld_t)
can_ypbind(mysqld_t)

# read config files
r_dir_file(initrc_t, mysqld_etc_t)
allow mysqld_t { etc_t etc_runtime_t }:{ file lnk_file } { read getattr };

allow mysqld_t etc_t:dir search;

allow mysqld_t sysctl_kernel_t:dir search;
allow mysqld_t sysctl_kernel_t:file read;

can_unix_connect(sysadm_t, mysqld_t)

# for /root/.my.cnf - should not be needed
allow mysqld_t sysadm_home_dir_t:dir search;
allow mysqld_t sysadm_home_t:file { read getattr };

ifdef(`logrotate.te', `
r_dir_file(logrotate_t, mysqld_etc_t)
allow logrotate_t mysqld_db_t:dir search;
allow logrotate_t mysqld_var_run_t:dir search;
allow logrotate_t mysqld_var_run_t:sock_file write;
can_unix_connect(logrotate_t, mysqld_t)
')

ifdef(`user_db_connect', `
allow userdomain mysqld_var_run_t:dir search;
allow userdomain mysqld_var_run_t:sock_file write;
')

ifdef(`daemontools.te', `
domain_auto_trans( svc_run_t, mysqld_exec_t, mysqld_t)
allow svc_start_t mysqld_t:process signal;
svc_ipc_domain(mysqld_t)
')dnl end ifdef daemontools

ifdef(`distro_redhat', `
allow initrc_t mysqld_db_t:dir create_dir_perms;

# because Fedora has the sock_file in the database directory
file_type_auto_trans(mysqld_t, mysqld_db_t, mysqld_var_run_t, sock_file)
')

---

• Follow-Ups:
  • • From: dragoran

• References:
  • • From: dragoran

[][]   [][]   [] [] []

Chinaunix首页 | 论坛 | 博客

博文 博主

ELM's Blogwenzk.blog.chinaunix.net

• 4月28日14:30-20:30机房服务器迁移，暂停博客使用
• 9/30日 14:00 -10/4日 08:00暂时无法发布内容！
• 9/30日 14:00 -10/4日 08:00暂时无法发布内容！

首页　| 　博文目录　| 　关于我

wenzk

• 博客访问： 7683607
• 博文数量： 637
• 博客积分： 10265
• 博客等级： 上将
• 技术积分： 6165
• 用 户 组： 普通用户
• 注册时间： 2004-12-12 22:00

文章分类

全部博文（637）

• 程序设计（9）
• Solaris系统（22）
• 数码相机（8）
• IT新技术（11）
• DNS相关（16）
• Office相关（13）
• OpenVPN（2）
• 供电系统（9）
• 工作相关（79）
• BSD杂谈（46）
• 数据库相关（35）
• 乱七八糟（31）
• Linux系统相关（224）
• 自娱自乐（19）
• 邮件系统相关（39）
• 计算机网络（73）
• 未分配的博文（1）

文章存档

2011年（1）

• 2011年07月（1）

2010年（1）

• 2010年02月（1）

2009年（3）

• 2009年09月（2）
• 2009年05月（1）

2008年（12）

• 2008年06月（1）
• 2008年04月（9）
• 2008年03月（1）
• 2008年01月（1）

2007年（44）

• 2007年11月（2）
• 2007年10月（1）
• 2007年09月（1）
• 2007年07月（1）
• 2007年06月（11）
• 2007年05月（4）
• 2007年04月（5）
• 2007年03月（13）
• 2007年01月（6）

2006年（156）

• 2006年11月（3）
• 2006年10月（8）
• 2006年09月（1）
• 2006年08月（8）
• 2006年06月（12）
• 2006年05月（12）
• 2006年04月（4）
• 2006年03月（25）
• 2006年02月（24）
• 2006年01月（59）

2005年（419）

• 2005年12月（55）
• 2005年11月（20）
• 2005年10月（79）
• 2005年09月（11）
• 2005年08月（22）
• 2005年07月（44）
• 2005年06月（81）
• 2005年05月（48）
• 2005年04月（11）
• 2005年03月（48）

2004年（1）

• 2004年12月（1）

我的朋友

• 

  一鸣雨

• 

  叶绍琛

• 

  大鬼不动

• 

  myeer

• 

  chbljy12

• 

  flashfir

• 

  techim

• 

  非洲乌龟

• 

  wangzhan

最近访客

• 

  beyand81

• 

  lyg111

• 

  khls27

• 

  gaokeke1

• 

  5sky

• 

  suixiaof

• 

  djx2020

• 

  cynthia

• 

  浪花小雨

推荐博文

• ·ORACLE SQL overlap时间段重...
• ·Rust入门到精通(三）—— 不...
• ·Oracle 1582-10-07问题
• ·1：Python开发：初识Python...
• ·ORACLE物理结构

相关博文

• ·通过内置FTP服务共享本地文件...
• ·Jtti：教你如何远程管理Linux...
• ·Linux中如何删除文件和目录？...
• ·百度搜索：蓝易云 - k8s部署n...
• ·百度搜索：蓝易云 - DNS部署...
• ·SQL数据库的错误处理机制是怎...
• ·Ubuntu linux 命令总结
• ·内网穿透详解：从传统方式到P...
• ·CentOS设置单用户模式快速修...
• ·FMEA在网络安全中的应用实践...

PHP cannot connect to mysql server (FC3 SELinux)

分类： LINUX

2006-02-26 08:48:42

---

[][]   [][]   [] [] []

Re: PHP cannot connect to mysql server

---

• From: Daniel J Walsh
• To: "Fedora SELinux support list for users & developers."
• Subject: Re: PHP cannot connect to mysql server
• Date: Wed, 10 Nov 2004 10:52:22 -0500

---

dragoran wrote:

I am running FC3 with selinux on targeted policy. When PHP tryies to connect to the mysql server i get this messages in dmesg:
sbin/httpd name=mysql.sock dev=hda3 ino=309535 scontext=user_u:system_r:httpd_t tcontext=user_u:object_r:var_lib_t tclass=sock_file
Disabling SELinux for Apache fix this, but I want to run httpd with selinux.
So how can i fix this?

--
fedora-selinux-list mailing list
fedora-selinux-list redhat com

A couple of things to try.

I am thinking of adding mysqld.te file to targeted policy. (attached)

You can try to use it by doing the following

   * Install selinux-policy-targeted-sources.
   * yum install selinux-policy-targeted-sources
   * cd /etc/selinux/targeted/src/policy
   * cp MYSQLD.te domains/program/
   * make load
   * rpm -q -l mysql | restorecon -R -f -
   * service mysql restart

Or you can just add the ability to write to sock_files in var lib.

   * Install selinux-policy-targeted-sources.
   * yum install selinux-policy-targeted-sources
   * cd /etc/selinux/targeted/src/policy
   * echo "allow httpd_t var_lib_t:sock_file rw_socket_perms;" >
     domains/program/httpd_socket.te
   * make load

#DESC Mysqld - Database server
#
# Author:  Russell Coker 
# X-Debian-Packages: mysql-server
#

#################################
#
# Rules for the mysqld_t domain.
#
# mysqld_exec_t is the type of the mysqld executable.
#
daemon_domain(mysqld)

type mysqld_port_t, port_type;
allow mysqld_t mysqld_port_t:tcp_socket name_bind;

allow mysqld_t mysqld_var_run_t:sock_file create_file_perms;

etcdir_domain(mysqld)
typealias mysqld_etc_t alias etc_mysqld_t;
type mysqld_db_t, file_type, sysadmfile;

log_domain(mysqld)

# for temporary tables
tmp_domain(mysqld)

allow mysqld_t usr_t:file { getattr read };

allow mysqld_t self:fifo_file { read write };
allow mysqld_t self:unix_stream_socket create_stream_socket_perms;
allow initrc_t mysqld_t:unix_stream_socket connectto;
allow initrc_t mysqld_var_run_t:sock_file write;

allow initrc_t mysqld_log_t:file { write append setattr ioctl };

allow mysqld_t self:capability { dac_override setgid setuid };
allow mysqld_t self:process getsched;

allow mysqld_t proc_t:file { getattr read };

# Allow access to the mysqld databases
create_dir_file(mysqld_t, mysqld_db_t)
allow mysqld_t var_lib_t:dir { getattr search };

can_network(mysqld_t)
can_ypbind(mysqld_t)

# read config files
r_dir_file(initrc_t, mysqld_etc_t)
allow mysqld_t { etc_t etc_runtime_t }:{ file lnk_file } { read getattr };

allow mysqld_t etc_t:dir search;

allow mysqld_t sysctl_kernel_t:dir search;
allow mysqld_t sysctl_kernel_t:file read;

can_unix_connect(sysadm_t, mysqld_t)

# for /root/.my.cnf - should not be needed
allow mysqld_t sysadm_home_dir_t:dir search;
allow mysqld_t sysadm_home_t:file { read getattr };

ifdef(`logrotate.te', `
r_dir_file(logrotate_t, mysqld_etc_t)
allow logrotate_t mysqld_db_t:dir search;
allow logrotate_t mysqld_var_run_t:dir search;
allow logrotate_t mysqld_var_run_t:sock_file write;
can_unix_connect(logrotate_t, mysqld_t)
')

ifdef(`user_db_connect', `
allow userdomain mysqld_var_run_t:dir search;
allow userdomain mysqld_var_run_t:sock_file write;
')

ifdef(`daemontools.te', `
domain_auto_trans( svc_run_t, mysqld_exec_t, mysqld_t)
allow svc_start_t mysqld_t:process signal;
svc_ipc_domain(mysqld_t)
')dnl end ifdef daemontools

ifdef(`distro_redhat', `
allow initrc_t mysqld_db_t:dir create_dir_perms;

# because Fedora has the sock_file in the database directory
file_type_auto_trans(mysqld_t, mysqld_db_t, mysqld_var_run_t, sock_file)
')

---

• Follow-Ups:
  • • From: dragoran

• References:
  • • From: dragoran

[][]   [][]   [] [] []

Chinaunix首页 | 论坛 | 博客

博文 博主

ELM's Blogwenzk.blog.chinaunix.net

• 4月28日14:30-20:30机房服务器迁移，暂停博客使用
• 9/30日 14:00 -10/4日 08:00暂时无法发布内容！
• 9/30日 14:00 -10/4日 08:00暂时无法发布内容！

首页　| 　博文目录　| 　关于我

wenzk

• 博客访问： 7683608
• 博文数量： 637
• 博客积分： 10265
• 博客等级： 上将
• 技术积分： 6165
• 用 户 组： 普通用户
• 注册时间： 2004-12-12 22:00

文章分类

全部博文（637）

• 程序设计（9）
• Solaris系统（22）
• 数码相机（8）
• IT新技术（11）
• DNS相关（16）
• Office相关（13）
• OpenVPN（2）
• 供电系统（9）
• 工作相关（79）
• BSD杂谈（46）
• 数据库相关（35）
• 乱七八糟（31）
• Linux系统相关（224）
• 自娱自乐（19）
• 邮件系统相关（39）
• 计算机网络（73）
• 未分配的博文（1）

文章存档

2011年（1）

• 2011年07月（1）

2010年（1）

• 2010年02月（1）

2009年（3）

• 2009年09月（2）
• 2009年05月（1）

2008年（12）

• 2008年06月（1）
• 2008年04月（9）
• 2008年03月（1）
• 2008年01月（1）

2007年（44）

• 2007年11月（2）
• 2007年10月（1）
• 2007年09月（1）
• 2007年07月（1）
• 2007年06月（11）
• 2007年05月（4）
• 2007年04月（5）
• 2007年03月（13）
• 2007年01月（6）

2006年（156）

• 2006年11月（3）
• 2006年10月（8）
• 2006年09月（1）
• 2006年08月（8）
• 2006年06月（12）
• 2006年05月（12）
• 2006年04月（4）
• 2006年03月（25）
• 2006年02月（24）
• 2006年01月（59）

2005年（419）

• 2005年12月（55）
• 2005年11月（20）
• 2005年10月（79）
• 2005年09月（11）
• 2005年08月（22）
• 2005年07月（44）
• 2005年06月（81）
• 2005年05月（48）
• 2005年04月（11）
• 2005年03月（48）

2004年（1）

• 2004年12月（1）

我的朋友

• 

  一鸣雨

• 

  叶绍琛

• 

  大鬼不动

• 

  myeer

• 

  chbljy12

• 

  flashfir

• 

  techim

• 

  非洲乌龟

• 

  wangzhan

最近访客

• 

  beyand81

• 

  lyg111

• 

  khls27

• 

  gaokeke1

• 

  5sky

• 

  suixiaof

• 

  djx2020

• 

  cynthia

• 

  浪花小雨

推荐博文

• ·ORACLE SQL overlap时间段重...
• ·Rust入门到精通(三）—— 不...
• ·Oracle 1582-10-07问题
• ·1：Python开发：初识Python...
• ·ORACLE物理结构

相关博文

• ·通过内置FTP服务共享本地文件...
• ·Jtti：教你如何远程管理Linux...
• ·Linux中如何删除文件和目录？...
• ·百度搜索：蓝易云 - k8s部署n...
• ·百度搜索：蓝易云 - DNS部署...
• ·SQL数据库的错误处理机制是怎...
• ·Ubuntu linux 命令总结
• ·内网穿透详解：从传统方式到P...
• ·CentOS设置单用户模式快速修...
• ·FMEA在网络安全中的应用实践...

PHP cannot connect to mysql server (FC3 SELinux)

分类： LINUX

2006-02-26 08:48:42

---

[][]   [][]   [] [] []

Re: PHP cannot connect to mysql server

---

• From: Daniel J Walsh
• To: "Fedora SELinux support list for users & developers."
• Subject: Re: PHP cannot connect to mysql server
• Date: Wed, 10 Nov 2004 10:52:22 -0500

---

dragoran wrote:

I am running FC3 with selinux on targeted policy. When PHP tryies to connect to the mysql server i get this messages in dmesg:
sbin/httpd name=mysql.sock dev=hda3 ino=309535 scontext=user_u:system_r:httpd_t tcontext=user_u:object_r:var_lib_t tclass=sock_file
Disabling SELinux for Apache fix this, but I want to run httpd with selinux.
So how can i fix this?

--
fedora-selinux-list mailing list
fedora-selinux-list redhat com

A couple of things to try.

I am thinking of adding mysqld.te file to targeted policy. (attached)

You can try to use it by doing the following

   * Install selinux-policy-targeted-sources.
   * yum install selinux-policy-targeted-sources
   * cd /etc/selinux/targeted/src/policy
   * cp MYSQLD.te domains/program/
   * make load
   * rpm -q -l mysql | restorecon -R -f -
   * service mysql restart

Or you can just add the ability to write to sock_files in var lib.

   * Install selinux-policy-targeted-sources.
   * yum install selinux-policy-targeted-sources
   * cd /etc/selinux/targeted/src/policy
   * echo "allow httpd_t var_lib_t:sock_file rw_socket_perms;" >
     domains/program/httpd_socket.te
   * make load

#DESC Mysqld - Database server
#
# Author:  Russell Coker 
# X-Debian-Packages: mysql-server
#

#################################
#
# Rules for the mysqld_t domain.
#
# mysqld_exec_t is the type of the mysqld executable.
#
daemon_domain(mysqld)

type mysqld_port_t, port_type;
allow mysqld_t mysqld_port_t:tcp_socket name_bind;

allow mysqld_t mysqld_var_run_t:sock_file create_file_perms;

etcdir_domain(mysqld)
typealias mysqld_etc_t alias etc_mysqld_t;
type mysqld_db_t, file_type, sysadmfile;

log_domain(mysqld)

# for temporary tables
tmp_domain(mysqld)

allow mysqld_t usr_t:file { getattr read };

allow mysqld_t self:fifo_file { read write };
allow mysqld_t self:unix_stream_socket create_stream_socket_perms;
allow initrc_t mysqld_t:unix_stream_socket connectto;
allow initrc_t mysqld_var_run_t:sock_file write;

allow initrc_t mysqld_log_t:file { write append setattr ioctl };

allow mysqld_t self:capability { dac_override setgid setuid };
allow mysqld_t self:process getsched;

allow mysqld_t proc_t:file { getattr read };

# Allow access to the mysqld databases
create_dir_file(mysqld_t, mysqld_db_t)
allow mysqld_t var_lib_t:dir { getattr search };

can_network(mysqld_t)
can_ypbind(mysqld_t)

# read config files
r_dir_file(initrc_t, mysqld_etc_t)
allow mysqld_t { etc_t etc_runtime_t }:{ file lnk_file } { read getattr };

allow mysqld_t etc_t:dir search;

allow mysqld_t sysctl_kernel_t:dir search;
allow mysqld_t sysctl_kernel_t:file read;

can_unix_connect(sysadm_t, mysqld_t)

# for /root/.my.cnf - should not be needed
allow mysqld_t sysadm_home_dir_t:dir search;
allow mysqld_t sysadm_home_t:file { read getattr };

ifdef(`logrotate.te', `
r_dir_file(logrotate_t, mysqld_etc_t)
allow logrotate_t mysqld_db_t:dir search;
allow logrotate_t mysqld_var_run_t:dir search;
allow logrotate_t mysqld_var_run_t:sock_file write;
can_unix_connect(logrotate_t, mysqld_t)
')

ifdef(`user_db_connect', `
allow userdomain mysqld_var_run_t:dir search;
allow userdomain mysqld_var_run_t:sock_file write;
')

ifdef(`daemontools.te', `
domain_auto_trans( svc_run_t, mysqld_exec_t, mysqld_t)
allow svc_start_t mysqld_t:process signal;
svc_ipc_domain(mysqld_t)
')dnl end ifdef daemontools

ifdef(`distro_redhat', `
allow initrc_t mysqld_db_t:dir create_dir_perms;

# because Fedora has the sock_file in the database directory
file_type_auto_trans(mysqld_t, mysqld_db_t, mysqld_var_run_t, sock_file)
')

---

• Follow-Ups:
  • • From: dragoran

• References:
  • • From: dragoran

[][]   [][]   [] [] []

Chinaunix首页 | 论坛 | 博客

博文 博主

ELM's Blogwenzk.blog.chinaunix.net

• 4月28日14:30-20:30机房服务器迁移，暂停博客使用
• 9/30日 14:00 -10/4日 08:00暂时无法发布内容！
• 9/30日 14:00 -10/4日 08:00暂时无法发布内容！

首页　| 　博文目录　| 　关于我

wenzk

• 博客访问： 7683609
• 博文数量： 637
• 博客积分： 10265
• 博客等级： 上将
• 技术积分： 6165
• 用 户 组： 普通用户
• 注册时间： 2004-12-12 22:00

文章分类

全部博文（637）

• 程序设计（9）
• Solaris系统（22）
• 数码相机（8）
• IT新技术（11）
• DNS相关（16）
• Office相关（13）
• OpenVPN（2）
• 供电系统（9）
• 工作相关（79）
• BSD杂谈（46）
• 数据库相关（35）
• 乱七八糟（31）
• Linux系统相关（224）
• 自娱自乐（19）
• 邮件系统相关（39）
• 计算机网络（73）
• 未分配的博文（1）

文章存档

2011年（1）

• 2011年07月（1）

2010年（1）

• 2010年02月（1）

2009年（3）

• 2009年09月（2）
• 2009年05月（1）

2008年（12）

• 2008年06月（1）
• 2008年04月（9）
• 2008年03月（1）
• 2008年01月（1）

2007年（44）

• 2007年11月（2）
• 2007年10月（1）
• 2007年09月（1）
• 2007年07月（1）
• 2007年06月（11）
• 2007年05月（4）
• 2007年04月（5）
• 2007年03月（13）
• 2007年01月（6）

2006年（156）

• 2006年11月（3）
• 2006年10月（8）
• 2006年09月（1）
• 2006年08月（8）
• 2006年06月（12）
• 2006年05月（12）
• 2006年04月（4）
• 2006年03月（25）
• 2006年02月（24）
• 2006年01月（59）

2005年（419）

• 2005年12月（55）
• 2005年11月（20）
• 2005年10月（79）
• 2005年09月（11）
• 2005年08月（22）
• 2005年07月（44）
• 2005年06月（81）
• 2005年05月（48）
• 2005年04月（11）
• 2005年03月（48）

2004年（1）

• 2004年12月（1）

我的朋友

• 

  一鸣雨

• 

  叶绍琛

• 

  大鬼不动

• 

  myeer

• 

  chbljy12

• 

  flashfir

• 

  techim

• 

  非洲乌龟

• 

  wangzhan

最近访客

• 

  beyand81

• 

  lyg111

• 

  khls27

• 

  gaokeke1

• 

  5sky

• 

  suixiaof

• 

  djx2020

• 

  cynthia

• 

  浪花小雨

推荐博文

• ·ORACLE SQL overlap时间段重...
• ·Rust入门到精通(三）—— 不...
• ·Oracle 1582-10-07问题
• ·1：Python开发：初识Python...
• ·ORACLE物理结构

相关博文

• ·通过内置FTP服务共享本地文件...
• ·Jtti：教你如何远程管理Linux...
• ·Linux中如何删除文件和目录？...
• ·百度搜索：蓝易云 - k8s部署n...
• ·百度搜索：蓝易云 - DNS部署...
• ·SQL数据库的错误处理机制是怎...
• ·Ubuntu linux 命令总结
• ·内网穿透详解：从传统方式到P...
• ·CentOS设置单用户模式快速修...
• ·FMEA在网络安全中的应用实践...

PHP cannot connect to mysql server (FC3 SELinux)

分类： LINUX

2006-02-26 08:48:42

---

[][]   [][]   [] [] []

Re: PHP cannot connect to mysql server

---

• From: Daniel J Walsh
• To: "Fedora SELinux support list for users & developers."
• Subject: Re: PHP cannot connect to mysql server
• Date: Wed, 10 Nov 2004 10:52:22 -0500

---

dragoran wrote:

I am running FC3 with selinux on targeted policy. When PHP tryies to connect to the mysql server i get this messages in dmesg:
sbin/httpd name=mysql.sock dev=hda3 ino=309535 scontext=user_u:system_r:httpd_t tcontext=user_u:object_r:var_lib_t tclass=sock_file
Disabling SELinux for Apache fix this, but I want to run httpd with selinux.
So how can i fix this?

--
fedora-selinux-list mailing list
fedora-selinux-list redhat com

A couple of things to try.

I am thinking of adding mysqld.te file to targeted policy. (attached)

You can try to use it by doing the following

   * Install selinux-policy-targeted-sources.
   * yum install selinux-policy-targeted-sources
   * cd /etc/selinux/targeted/src/policy
   * cp MYSQLD.te domains/program/
   * make load
   * rpm -q -l mysql | restorecon -R -f -
   * service mysql restart

Or you can just add the ability to write to sock_files in var lib.

   * Install selinux-policy-targeted-sources.
   * yum install selinux-policy-targeted-sources
   * cd /etc/selinux/targeted/src/policy
   * echo "allow httpd_t var_lib_t:sock_file rw_socket_perms;" >
     domains/program/httpd_socket.te
   * make load

#DESC Mysqld - Database server
#
# Author:  Russell Coker 
# X-Debian-Packages: mysql-server
#

#################################
#
# Rules for the mysqld_t domain.
#
# mysqld_exec_t is the type of the mysqld executable.
#
daemon_domain(mysqld)

type mysqld_port_t, port_type;
allow mysqld_t mysqld_port_t:tcp_socket name_bind;

allow mysqld_t mysqld_var_run_t:sock_file create_file_perms;

etcdir_domain(mysqld)
typealias mysqld_etc_t alias etc_mysqld_t;
type mysqld_db_t, file_type, sysadmfile;

log_domain(mysqld)

# for temporary tables
tmp_domain(mysqld)

allow mysqld_t usr_t:file { getattr read };

allow mysqld_t self:fifo_file { read write };
allow mysqld_t self:unix_stream_socket create_stream_socket_perms;
allow initrc_t mysqld_t:unix_stream_socket connectto;
allow initrc_t mysqld_var_run_t:sock_file write;

allow initrc_t mysqld_log_t:file { write append setattr ioctl };

allow mysqld_t self:capability { dac_override setgid setuid };
allow mysqld_t self:process getsched;

allow mysqld_t proc_t:file { getattr read };

# Allow access to the mysqld databases
create_dir_file(mysqld_t, mysqld_db_t)
allow mysqld_t var_lib_t:dir { getattr search };

can_network(mysqld_t)
can_ypbind(mysqld_t)

# read config files
r_dir_file(initrc_t, mysqld_etc_t)
allow mysqld_t { etc_t etc_runtime_t }:{ file lnk_file } { read getattr };

allow mysqld_t etc_t:dir search;

allow mysqld_t sysctl_kernel_t:dir search;
allow mysqld_t sysctl_kernel_t:file read;

can_unix_connect(sysadm_t, mysqld_t)

# for /root/.my.cnf - should not be needed
allow mysqld_t sysadm_home_dir_t:dir search;
allow mysqld_t sysadm_home_t:file { read getattr };

ifdef(`logrotate.te', `
r_dir_file(logrotate_t, mysqld_etc_t)
allow logrotate_t mysqld_db_t:dir search;
allow logrotate_t mysqld_var_run_t:dir search;
allow logrotate_t mysqld_var_run_t:sock_file write;
can_unix_connect(logrotate_t, mysqld_t)
')

ifdef(`user_db_connect', `
allow userdomain mysqld_var_run_t:dir search;
allow userdomain mysqld_var_run_t:sock_file write;
')

ifdef(`daemontools.te', `
domain_auto_trans( svc_run_t, mysqld_exec_t, mysqld_t)
allow svc_start_t mysqld_t:process signal;
svc_ipc_domain(mysqld_t)
')dnl end ifdef daemontools

ifdef(`distro_redhat', `
allow initrc_t mysqld_db_t:dir create_dir_perms;

# because Fedora has the sock_file in the database directory
file_type_auto_trans(mysqld_t, mysqld_db_t, mysqld_var_run_t, sock_file)
')

---

• Follow-Ups:
  • • From: dragoran

• References:
  • • From: dragoran

[][]   [][]   [] [] []

Chinaunix首页 | 论坛 | 博客

博文 博主

ELM's Blogwenzk.blog.chinaunix.net

• 4月28日14:30-20:30机房服务器迁移，暂停博客使用
• 9/30日 14:00 -10/4日 08:00暂时无法发布内容！
• 9/30日 14:00 -10/4日 08:00暂时无法发布内容！

首页　| 　博文目录　| 　关于我

wenzk

• 博客访问： 7683610
• 博文数量： 637
• 博客积分： 10265
• 博客等级： 上将
• 技术积分： 6165
• 用 户 组： 普通用户
• 注册时间： 2004-12-12 22:00

文章分类

全部博文（637）

• 程序设计（9）
• Solaris系统（22）
• 数码相机（8）
• IT新技术（11）
• DNS相关（16）
• Office相关（13）
• OpenVPN（2）
• 供电系统（9）
• 工作相关（79）
• BSD杂谈（46）
• 数据库相关（35）
• 乱七八糟（31）
• Linux系统相关（224）
• 自娱自乐（19）
• 邮件系统相关（39）
• 计算机网络（73）
• 未分配的博文（1）

文章存档

2011年（1）

• 2011年07月（1）

2010年（1）

• 2010年02月（1）

2009年（3）

• 2009年09月（2）
• 2009年05月（1）

2008年（12）

• 2008年06月（1）
• 2008年04月（9）
• 2008年03月（1）
• 2008年01月（1）

2007年（44）

• 2007年11月（2）
• 2007年10月（1）
• 2007年09月（1）
• 2007年07月（1）
• 2007年06月（11）
• 2007年05月（4）
• 2007年04月（5）
• 2007年03月（13）
• 2007年01月（6）

2006年（156）

• 2006年11月（3）
• 2006年10月（8）
• 2006年09月（1）
• 2006年08月（8）
• 2006年06月（12）
• 2006年05月（12）
• 2006年04月（4）
• 2006年03月（25）
• 2006年02月（24）
• 2006年01月（59）

2005年（419）

• 2005年12月（55）
• 2005年11月（20）
• 2005年10月（79）
• 2005年09月（11）
• 2005年08月（22）
• 2005年07月（44）
• 2005年06月（81）
• 2005年05月（48）
• 2005年04月（11）
• 2005年03月（48）

2004年（1）

• 2004年12月（1）

我的朋友

• 

  一鸣雨

• 

  叶绍琛

• 

  大鬼不动

• 

  myeer

• 

  chbljy12

• 

  flashfir

• 

  techim

• 

  非洲乌龟

• 

  wangzhan

最近访客

• 

  beyand81

• 

  lyg111

• 

  khls27

• 

  gaokeke1

• 

  5sky

• 

  suixiaof

• 

  djx2020

• 

  cynthia

• 

  浪花小雨

推荐博文

• ·ORACLE SQL overlap时间段重...
• ·Rust入门到精通(三）—— 不...
• ·Oracle 1582-10-07问题
• ·1：Python开发：初识Python...
• ·ORACLE物理结构

相关博文

• ·通过内置FTP服务共享本地文件...
• ·Jtti：教你如何远程管理Linux...
• ·Linux中如何删除文件和目录？...
• ·百度搜索：蓝易云 - k8s部署n...
• ·百度搜索：蓝易云 - DNS部署...
• ·SQL数据库的错误处理机制是怎...
• ·Ubuntu linux 命令总结
• ·内网穿透详解：从传统方式到P...
• ·CentOS设置单用户模式快速修...
• ·FMEA在网络安全中的应用实践...

PHP cannot connect to mysql server (FC3 SELinux)

分类： LINUX

2006-02-26 08:48:42

---

[][]   [][]   [] [] []

Re: PHP cannot connect to mysql server

---

• From: Daniel J Walsh
• To: "Fedora SELinux support list for users & developers."
• Subject: Re: PHP cannot connect to mysql server
• Date: Wed, 10 Nov 2004 10:52:22 -0500

---

dragoran wrote:

I am running FC3 with selinux on targeted policy. When PHP tryies to connect to the mysql server i get this messages in dmesg:
sbin/httpd name=mysql.sock dev=hda3 ino=309535 scontext=user_u:system_r:httpd_t tcontext=user_u:object_r:var_lib_t tclass=sock_file
Disabling SELinux for Apache fix this, but I want to run httpd with selinux.
So how can i fix this?

--
fedora-selinux-list mailing list
fedora-selinux-list redhat com

A couple of things to try.

I am thinking of adding mysqld.te file to targeted policy. (attached)

You can try to use it by doing the following

   * Install selinux-policy-targeted-sources.
   * yum install selinux-policy-targeted-sources
   * cd /etc/selinux/targeted/src/policy
   * cp MYSQLD.te domains/program/
   * make load
   * rpm -q -l mysql | restorecon -R -f -
   * service mysql restart

Or you can just add the ability to write to sock_files in var lib.

   * Install selinux-policy-targeted-sources.
   * yum install selinux-policy-targeted-sources
   * cd /etc/selinux/targeted/src/policy
   * echo "allow httpd_t var_lib_t:sock_file rw_socket_perms;" >
     domains/program/httpd_socket.te
   * make load

#DESC Mysqld - Database server
#
# Author:  Russell Coker 
# X-Debian-Packages: mysql-server
#

#################################
#
# Rules for the mysqld_t domain.
#
# mysqld_exec_t is the type of the mysqld executable.
#
daemon_domain(mysqld)

type mysqld_port_t, port_type;
allow mysqld_t mysqld_port_t:tcp_socket name_bind;

allow mysqld_t mysqld_var_run_t:sock_file create_file_perms;

etcdir_domain(mysqld)
typealias mysqld_etc_t alias etc_mysqld_t;
type mysqld_db_t, file_type, sysadmfile;

log_domain(mysqld)

# for temporary tables
tmp_domain(mysqld)

allow mysqld_t usr_t:file { getattr read };

allow mysqld_t self:fifo_file { read write };
allow mysqld_t self:unix_stream_socket create_stream_socket_perms;
allow initrc_t mysqld_t:unix_stream_socket connectto;
allow initrc_t mysqld_var_run_t:sock_file write;

allow initrc_t mysqld_log_t:file { write append setattr ioctl };

allow mysqld_t self:capability { dac_override setgid setuid };
allow mysqld_t self:process getsched;

allow mysqld_t proc_t:file { getattr read };

# Allow access to the mysqld databases
create_dir_file(mysqld_t, mysqld_db_t)
allow mysqld_t var_lib_t:dir { getattr search };

can_network(mysqld_t)
can_ypbind(mysqld_t)

# read config files
r_dir_file(initrc_t, mysqld_etc_t)
allow mysqld_t { etc_t etc_runtime_t }:{ file lnk_file } { read getattr };

allow mysqld_t etc_t:dir search;

allow mysqld_t sysctl_kernel_t:dir search;
allow mysqld_t sysctl_kernel_t:file read;

can_unix_connect(sysadm_t, mysqld_t)

# for /root/.my.cnf - should not be needed
allow mysqld_t sysadm_home_dir_t:dir search;
allow mysqld_t sysadm_home_t:file { read getattr };

ifdef(`logrotate.te', `
r_dir_file(logrotate_t, mysqld_etc_t)
allow logrotate_t mysqld_db_t:dir search;
allow logrotate_t mysqld_var_run_t:dir search;
allow logrotate_t mysqld_var_run_t:sock_file write;
can_unix_connect(logrotate_t, mysqld_t)
')

ifdef(`user_db_connect', `
allow userdomain mysqld_var_run_t:dir search;
allow userdomain mysqld_var_run_t:sock_file write;
')

ifdef(`daemontools.te', `
domain_auto_trans( svc_run_t, mysqld_exec_t, mysqld_t)
allow svc_start_t mysqld_t:process signal;
svc_ipc_domain(mysqld_t)
')dnl end ifdef daemontools

ifdef(`distro_redhat', `
allow initrc_t mysqld_db_t:dir create_dir_perms;

# because Fedora has the sock_file in the database directory
file_type_auto_trans(mysqld_t, mysqld_db_t, mysqld_var_run_t, sock_file)
')

---

• Follow-Ups:
  • • From: dragoran

• References:
  • • From: dragoran

[][]   [][]   [] [] []

Chinaunix首页 | 论坛 | 博客

博文 博主

ELM's Blogwenzk.blog.chinaunix.net

• 4月28日14:30-20:30机房服务器迁移，暂停博客使用
• 9/30日 14:00 -10/4日 08:00暂时无法发布内容！
• 9/30日 14:00 -10/4日 08:00暂时无法发布内容！

首页　| 　博文目录　| 　关于我

wenzk

• 博客访问： 7683611
• 博文数量： 637
• 博客积分： 10265
• 博客等级： 上将
• 技术积分： 6165
• 用 户 组： 普通用户
• 注册时间： 2004-12-12 22:00

文章分类

全部博文（637）

• 程序设计（9）
• Solaris系统（22）
• 数码相机（8）
• IT新技术（11）
• DNS相关（16）
• Office相关（13）
• OpenVPN（2）
• 供电系统（9）
• 工作相关（79）
• BSD杂谈（46）
• 数据库相关（35）
• 乱七八糟（31）
• Linux系统相关（224）
• 自娱自乐（19）
• 邮件系统相关（39）
• 计算机网络（73）
• 未分配的博文（1）

文章存档

2011年（1）

• 2011年07月（1）

2010年（1）

• 2010年02月（1）

2009年（3）

• 2009年09月（2）
• 2009年05月（1）

2008年（12）

• 2008年06月（1）
• 2008年04月（9）
• 2008年03月（1）
• 2008年01月（1）

2007年（44）

• 2007年11月（2）
• 2007年10月（1）
• 2007年09月（1）
• 2007年07月（1）
• 2007年06月（11）
• 2007年05月（4）
• 2007年04月（5）
• 2007年03月（13）
• 2007年01月（6）

2006年（156）

• 2006年11月（3）
• 2006年10月（8）
• 2006年09月（1）
• 2006年08月（8）
• 2006年06月（12）
• 2006年05月（12）
• 2006年04月（4）
• 2006年03月（25）
• 2006年02月（24）
• 2006年01月（59）

2005年（419）

• 2005年12月（55）
• 2005年11月（20）
• 2005年10月（79）
• 2005年09月（11）
• 2005年08月（22）
• 2005年07月（44）
• 2005年06月（81）
• 2005年05月（48）
• 2005年04月（11）
• 2005年03月（48）

2004年（1）

• 2004年12月（1）

我的朋友

• 

  一鸣雨

• 

  叶绍琛

• 

  大鬼不动

• 

  myeer

• 

  chbljy12

• 

  flashfir

• 

  techim

• 

  非洲乌龟

• 

  wangzhan

最近访客

• 

  beyand81

• 

  lyg111

• 

  khls27

• 

  gaokeke1

• 

  5sky

• 

  suixiaof

• 

  djx2020

• 

  cynthia

• 

  浪花小雨

推荐博文

• ·ORACLE SQL overlap时间段重...
• ·Rust入门到精通(三）—— 不...
• ·Oracle 1582-10-07问题
• ·1：Python开发：初识Python...
• ·ORACLE物理结构

相关博文

• ·通过内置FTP服务共享本地文件...
• ·Jtti：教你如何远程管理Linux...
• ·Linux中如何删除文件和目录？...
• ·百度搜索：蓝易云 - k8s部署n...
• ·百度搜索：蓝易云 - DNS部署...
• ·SQL数据库的错误处理机制是怎...
• ·Ubuntu linux 命令总结
• ·内网穿透详解：从传统方式到P...
• ·CentOS设置单用户模式快速修...
• ·FMEA在网络安全中的应用实践...

PHP cannot connect to mysql server (FC3 SELinux)

分类： LINUX

2006-02-26 08:48:42

---

[][]   [][]   [] [] []

Re: PHP cannot connect to mysql server

---

• From: Daniel J Walsh
• To: "Fedora SELinux support list for users & developers."
• Subject: Re: PHP cannot connect to mysql server
• Date: Wed, 10 Nov 2004 10:52:22 -0500

---

dragoran wrote:

I am running FC3 with selinux on targeted policy. When PHP tryies to connect to the mysql server i get this messages in dmesg:
sbin/httpd name=mysql.sock dev=hda3 ino=309535 scontext=user_u:system_r:httpd_t tcontext=user_u:object_r:var_lib_t tclass=sock_file
Disabling SELinux for Apache fix this, but I want to run httpd with selinux.
So how can i fix this?

--
fedora-selinux-list mailing list
fedora-selinux-list redhat com

A couple of things to try.

I am thinking of adding mysqld.te file to targeted policy. (attached)

You can try to use it by doing the following

   * Install selinux-policy-targeted-sources.
   * yum install selinux-policy-targeted-sources
   * cd /etc/selinux/targeted/src/policy
   * cp MYSQLD.te domains/program/
   * make load
   * rpm -q -l mysql | restorecon -R -f -
   * service mysql restart

Or you can just add the ability to write to sock_files in var lib.

   * Install selinux-policy-targeted-sources.
   * yum install selinux-policy-targeted-sources
   * cd /etc/selinux/targeted/src/policy
   * echo "allow httpd_t var_lib_t:sock_file rw_socket_perms;" >
     domains/program/httpd_socket.te
   * make load

#DESC Mysqld - Database server
#
# Author:  Russell Coker 
# X-Debian-Packages: mysql-server
#

#################################
#
# Rules for the mysqld_t domain.
#
# mysqld_exec_t is the type of the mysqld executable.
#
daemon_domain(mysqld)

type mysqld_port_t, port_type;
allow mysqld_t mysqld_port_t:tcp_socket name_bind;

allow mysqld_t mysqld_var_run_t:sock_file create_file_perms;

etcdir_domain(mysqld)
typealias mysqld_etc_t alias etc_mysqld_t;
type mysqld_db_t, file_type, sysadmfile;

log_domain(mysqld)

# for temporary tables
tmp_domain(mysqld)

allow mysqld_t usr_t:file { getattr read };

allow mysqld_t self:fifo_file { read write };
allow mysqld_t self:unix_stream_socket create_stream_socket_perms;
allow initrc_t mysqld_t:unix_stream_socket connectto;
allow initrc_t mysqld_var_run_t:sock_file write;

allow initrc_t mysqld_log_t:file { write append setattr ioctl };

allow mysqld_t self:capability { dac_override setgid setuid };
allow mysqld_t self:process getsched;

allow mysqld_t proc_t:file { getattr read };

# Allow access to the mysqld databases
create_dir_file(mysqld_t, mysqld_db_t)
allow mysqld_t var_lib_t:dir { getattr search };

can_network(mysqld_t)
can_ypbind(mysqld_t)

# read config files
r_dir_file(initrc_t, mysqld_etc_t)
allow mysqld_t { etc_t etc_runtime_t }:{ file lnk_file } { read getattr };

allow mysqld_t etc_t:dir search;

allow mysqld_t sysctl_kernel_t:dir search;
allow mysqld_t sysctl_kernel_t:file read;

can_unix_connect(sysadm_t, mysqld_t)

# for /root/.my.cnf - should not be needed
allow mysqld_t sysadm_home_dir_t:dir search;
allow mysqld_t sysadm_home_t:file { read getattr };

ifdef(`logrotate.te', `
r_dir_file(logrotate_t, mysqld_etc_t)
allow logrotate_t mysqld_db_t:dir search;
allow logrotate_t mysqld_var_run_t:dir search;
allow logrotate_t mysqld_var_run_t:sock_file write;
can_unix_connect(logrotate_t, mysqld_t)
')

ifdef(`user_db_connect', `
allow userdomain mysqld_var_run_t:dir search;
allow userdomain mysqld_var_run_t:sock_file write;
')

ifdef(`daemontools.te', `
domain_auto_trans( svc_run_t, mysqld_exec_t, mysqld_t)
allow svc_start_t mysqld_t:process signal;
svc_ipc_domain(mysqld_t)
')dnl end ifdef daemontools

ifdef(`distro_redhat', `
allow initrc_t mysqld_db_t:dir create_dir_perms;

# because Fedora has the sock_file in the database directory
file_type_auto_trans(mysqld_t, mysqld_db_t, mysqld_var_run_t, sock_file)
')

---

• Follow-Ups:
  • • From: dragoran

• References:
  • • From: dragoran

[][]   [][]   [] [] []

Chinaunix首页 | 论坛 | 博客

博文 博主

ELM's Blogwenzk.blog.chinaunix.net

• 4月28日14:30-20:30机房服务器迁移，暂停博客使用
• 9/30日 14:00 -10/4日 08:00暂时无法发布内容！
• 9/30日 14:00 -10/4日 08:00暂时无法发布内容！

首页　| 　博文目录　| 　关于我

wenzk

• 博客访问： 7683612
• 博文数量： 637
• 博客积分： 10265
• 博客等级： 上将
• 技术积分： 6165
• 用 户 组： 普通用户
• 注册时间： 2004-12-12 22:00

文章分类

全部博文（637）

• 程序设计（9）
• Solaris系统（22）
• 数码相机（8）
• IT新技术（11）
• DNS相关（16）
• Office相关（13）
• OpenVPN（2）
• 供电系统（9）
• 工作相关（79）
• BSD杂谈（46）
• 数据库相关（35）
• 乱七八糟（31）
• Linux系统相关（224）
• 自娱自乐（19）
• 邮件系统相关（39）
• 计算机网络（73）
• 未分配的博文（1）

文章存档

2011年（1）

• 2011年07月（1）

2010年（1）

• 2010年02月（1）

2009年（3）

• 2009年09月（2）
• 2009年05月（1）

2008年（12）

• 2008年06月（1）
• 2008年04月（9）
• 2008年03月（1）
• 2008年01月（1）

2007年（44）

• 2007年11月（2）
• 2007年10月（1）
• 2007年09月（1）
• 2007年07月（1）
• 2007年06月（11）
• 2007年05月（4）
• 2007年04月（5）
• 2007年03月（13）
• 2007年01月（6）

2006年（156）

• 2006年11月（3）
• 2006年10月（8）
• 2006年09月（1）
• 2006年08月（8）
• 2006年06月（12）
• 2006年05月（12）
• 2006年04月（4）
• 2006年03月（25）
• 2006年02月（24）
• 2006年01月（59）

2005年（419）

• 2005年12月（55）
• 2005年11月（20）
• 2005年10月（79）
• 2005年09月（11）
• 2005年08月（22）
• 2005年07月（44）
• 2005年06月（81）
• 2005年05月（48）
• 2005年04月（11）
• 2005年03月（48）

2004年（1）

• 2004年12月（1）

我的朋友

• 

  一鸣雨

• 

  叶绍琛

• 

  大鬼不动

• 

  myeer

• 

  chbljy12

• 

  flashfir

• 

  techim

• 

  非洲乌龟

• 

  wangzhan

最近访客

• 

  beyand81

• 

  lyg111

• 

  khls27

• 

  gaokeke1

• 

  5sky

• 

  suixiaof

• 

  djx2020

• 

  cynthia

• 

  浪花小雨

推荐博文

• ·ORACLE SQL overlap时间段重...
• ·Rust入门到精通(三）—— 不...
• ·Oracle 1582-10-07问题
• ·1：Python开发：初识Python...
• ·ORACLE物理结构

相关博文

• ·通过内置FTP服务共享本地文件...
• ·Jtti：教你如何远程管理Linux...
• ·Linux中如何删除文件和目录？...
• ·百度搜索：蓝易云 - k8s部署n...
• ·百度搜索：蓝易云 - DNS部署...
• ·SQL数据库的错误处理机制是怎...
• ·Ubuntu linux 命令总结
• ·内网穿透详解：从传统方式到P...
• ·CentOS设置单用户模式快速修...
• ·FMEA在网络安全中的应用实践...

PHP cannot connect to mysql server (FC3 SELinux)

分类： LINUX

2006-02-26 08:48:42

---

[][]   [][]   [] [] []

Re: PHP cannot connect to mysql server

---

• From: Daniel J Walsh
• To: "Fedora SELinux support list for users & developers."
• Subject: Re: PHP cannot connect to mysql server
• Date: Wed, 10 Nov 2004 10:52:22 -0500

---

dragoran wrote:

I am running FC3 with selinux on targeted policy. When PHP tryies to connect to the mysql server i get this messages in dmesg:
sbin/httpd name=mysql.sock dev=hda3 ino=309535 scontext=user_u:system_r:httpd_t tcontext=user_u:object_r:var_lib_t tclass=sock_file
Disabling SELinux for Apache fix this, but I want to run httpd with selinux.
So how can i fix this?

--
fedora-selinux-list mailing list
fedora-selinux-list redhat com

A couple of things to try.

I am thinking of adding mysqld.te file to targeted policy. (attached)

You can try to use it by doing the following

   * Install selinux-policy-targeted-sources.
   * yum install selinux-policy-targeted-sources
   * cd /etc/selinux/targeted/src/policy
   * cp MYSQLD.te domains/program/
   * make load
   * rpm -q -l mysql | restorecon -R -f -
   * service mysql restart

Or you can just add the ability to write to sock_files in var lib.

   * Install selinux-policy-targeted-sources.
   * yum install selinux-policy-targeted-sources
   * cd /etc/selinux/targeted/src/policy
   * echo "allow httpd_t var_lib_t:sock_file rw_socket_perms;" >
     domains/program/httpd_socket.te
   * make load

#DESC Mysqld - Database server
#
# Author:  Russell Coker 
# X-Debian-Packages: mysql-server
#

#################################
#
# Rules for the mysqld_t domain.
#
# mysqld_exec_t is the type of the mysqld executable.
#
daemon_domain(mysqld)

type mysqld_port_t, port_type;
allow mysqld_t mysqld_port_t:tcp_socket name_bind;

allow mysqld_t mysqld_var_run_t:sock_file create_file_perms;

etcdir_domain(mysqld)
typealias mysqld_etc_t alias etc_mysqld_t;
type mysqld_db_t, file_type, sysadmfile;

log_domain(mysqld)

# for temporary tables
tmp_domain(mysqld)

allow mysqld_t usr_t:file { getattr read };

allow mysqld_t self:fifo_file { read write };
allow mysqld_t self:unix_stream_socket create_stream_socket_perms;
allow initrc_t mysqld_t:unix_stream_socket connectto;
allow initrc_t mysqld_var_run_t:sock_file write;

allow initrc_t mysqld_log_t:file { write append setattr ioctl };

allow mysqld_t self:capability { dac_override setgid setuid };
allow mysqld_t self:process getsched;

allow mysqld_t proc_t:file { getattr read };

# Allow access to the mysqld databases
create_dir_file(mysqld_t, mysqld_db_t)
allow mysqld_t var_lib_t:dir { getattr search };

can_network(mysqld_t)
can_ypbind(mysqld_t)

# read config files
r_dir_file(initrc_t, mysqld_etc_t)
allow mysqld_t { etc_t etc_runtime_t }:{ file lnk_file } { read getattr };

allow mysqld_t etc_t:dir search;

allow mysqld_t sysctl_kernel_t:dir search;
allow mysqld_t sysctl_kernel_t:file read;

can_unix_connect(sysadm_t, mysqld_t)

# for /root/.my.cnf - should not be needed
allow mysqld_t sysadm_home_dir_t:dir search;
allow mysqld_t sysadm_home_t:file { read getattr };

ifdef(`logrotate.te', `
r_dir_file(logrotate_t, mysqld_etc_t)
allow logrotate_t mysqld_db_t:dir search;
allow logrotate_t mysqld_var_run_t:dir search;
allow logrotate_t mysqld_var_run_t:sock_file write;
can_unix_connect(logrotate_t, mysqld_t)
')

ifdef(`user_db_connect', `
allow userdomain mysqld_var_run_t:dir search;
allow userdomain mysqld_var_run_t:sock_file write;
')

ifdef(`daemontools.te', `
domain_auto_trans( svc_run_t, mysqld_exec_t, mysqld_t)
allow svc_start_t mysqld_t:process signal;
svc_ipc_domain(mysqld_t)
')dnl end ifdef daemontools

ifdef(`distro_redhat', `
allow initrc_t mysqld_db_t:dir create_dir_perms;

# because Fedora has the sock_file in the database directory
file_type_auto_trans(mysqld_t, mysqld_db_t, mysqld_var_run_t, sock_file)
')

---

• Follow-Ups:
  • • From: dragoran

• References:
  • • From: dragoran

[][]   [][]   [] [] []

Chinaunix首页 | 论坛 | 博客

博文 博主

ELM's Blogwenzk.blog.chinaunix.net

• 4月28日14:30-20:30机房服务器迁移，暂停博客使用
• 9/30日 14:00 -10/4日 08:00暂时无法发布内容！
• 9/30日 14:00 -10/4日 08:00暂时无法发布内容！

首页　| 　博文目录　| 　关于我

wenzk

• 博客访问： 7683613
• 博文数量： 637
• 博客积分： 10265
• 博客等级： 上将
• 技术积分： 6165
• 用 户 组： 普通用户
• 注册时间： 2004-12-12 22:00

文章分类

全部博文（637）

• 程序设计（9）
• Solaris系统（22）
• 数码相机（8）
• IT新技术（11）
• DNS相关（16）
• Office相关（13）
• OpenVPN（2）
• 供电系统（9）
• 工作相关（79）
• BSD杂谈（46）
• 数据库相关（35）
• 乱七八糟（31）
• Linux系统相关（224）
• 自娱自乐（19）
• 邮件系统相关（39）
• 计算机网络（73）
• 未分配的博文（1）

文章存档

2011年（1）

• 2011年07月（1）

2010年（1）

• 2010年02月（1）

2009年（3）

• 2009年09月（2）
• 2009年05月（1）

2008年（12）

• 2008年06月（1）
• 2008年04月（9）
• 2008年03月（1）
• 2008年01月（1）

2007年（44）

• 2007年11月（2）
• 2007年10月（1）
• 2007年09月（1）
• 2007年07月（1）
• 2007年06月（11）
• 2007年05月（4）
• 2007年04月（5）
• 2007年03月（13）
• 2007年01月（6）

2006年（156）

• 2006年11月（3）
• 2006年10月（8）
• 2006年09月（1）
• 2006年08月（8）
• 2006年06月（12）
• 2006年05月（12）
• 2006年04月（4）
• 2006年03月（25）
• 2006年02月（24）
• 2006年01月（59）

2005年（419）

• 2005年12月（55）
• 2005年11月（20）
• 2005年10月（79）
• 2005年09月（11）
• 2005年08月（22）
• 2005年07月（44）
• 2005年06月（81）
• 2005年05月（48）
• 2005年04月（11）
• 2005年03月（48）

2004年（1）

• 2004年12月（1）

我的朋友

• 

  一鸣雨

• 

  叶绍琛

• 

  大鬼不动

• 

  myeer

• 

  chbljy12

• 

  flashfir

• 

  techim

• 

  非洲乌龟

• 

  wangzhan

最近访客

• 

  beyand81

• 

  lyg111

• 

  khls27

• 

  gaokeke1

• 

  5sky

• 

  suixiaof

• 

  djx2020

• 

  cynthia

• 

  浪花小雨

推荐博文

• ·ORACLE SQL overlap时间段重...
• ·Rust入门到精通(三）—— 不...
• ·Oracle 1582-10-07问题
• ·1：Python开发：初识Python...
• ·ORACLE物理结构

相关博文

• ·通过内置FTP服务共享本地文件...
• ·Jtti：教你如何远程管理Linux...
• ·Linux中如何删除文件和目录？...
• ·百度搜索：蓝易云 - k8s部署n...
• ·百度搜索：蓝易云 - DNS部署...
• ·SQL数据库的错误处理机制是怎...
• ·Ubuntu linux 命令总结
• ·内网穿透详解：从传统方式到P...
• ·CentOS设置单用户模式快速修...
• ·FMEA在网络安全中的应用实践...

PHP cannot connect to mysql server (FC3 SELinux)

分类： LINUX

2006-02-26 08:48:42

---

[][]   [][]   [] [] []

Re: PHP cannot connect to mysql server

---

• From: Daniel J Walsh
• To: "Fedora SELinux support list for users & developers."
• Subject: Re: PHP cannot connect to mysql server
• Date: Wed, 10 Nov 2004 10:52:22 -0500

---

dragoran wrote:

I am running FC3 with selinux on targeted policy. When PHP tryies to connect to the mysql server i get this messages in dmesg:
sbin/httpd name=mysql.sock dev=hda3 ino=309535 scontext=user_u:system_r:httpd_t tcontext=user_u:object_r:var_lib_t tclass=sock_file
Disabling SELinux for Apache fix this, but I want to run httpd with selinux.
So how can i fix this?

--
fedora-selinux-list mailing list
fedora-selinux-list redhat com

A couple of things to try.

I am thinking of adding mysqld.te file to targeted policy. (attached)

You can try to use it by doing the following

   * Install selinux-policy-targeted-sources.
   * yum install selinux-policy-targeted-sources
   * cd /etc/selinux/targeted/src/policy
   * cp MYSQLD.te domains/program/
   * make load
   * rpm -q -l mysql | restorecon -R -f -
   * service mysql restart

Or you can just add the ability to write to sock_files in var lib.

   * Install selinux-policy-targeted-sources.
   * yum install selinux-policy-targeted-sources
   * cd /etc/selinux/targeted/src/policy
   * echo "allow httpd_t var_lib_t:sock_file rw_socket_perms;" >
     domains/program/httpd_socket.te
   * make load

#DESC Mysqld - Database server
#
# Author:  Russell Coker 
# X-Debian-Packages: mysql-server
#

#################################
#
# Rules for the mysqld_t domain.
#
# mysqld_exec_t is the type of the mysqld executable.
#
daemon_domain(mysqld)

type mysqld_port_t, port_type;
allow mysqld_t mysqld_port_t:tcp_socket name_bind;

allow mysqld_t mysqld_var_run_t:sock_file create_file_perms;

etcdir_domain(mysqld)
typealias mysqld_etc_t alias etc_mysqld_t;
type mysqld_db_t, file_type, sysadmfile;

log_domain(mysqld)

# for temporary tables
tmp_domain(mysqld)

allow mysqld_t usr_t:file { getattr read };

allow mysqld_t self:fifo_file { read write };
allow mysqld_t self:unix_stream_socket create_stream_socket_perms;
allow initrc_t mysqld_t:unix_stream_socket connectto;
allow initrc_t mysqld_var_run_t:sock_file write;

allow initrc_t mysqld_log_t:file { write append setattr ioctl };

allow mysqld_t self:capability { dac_override setgid setuid };
allow mysqld_t self:process getsched;

allow mysqld_t proc_t:file { getattr read };

# Allow access to the mysqld databases
create_dir_file(mysqld_t, mysqld_db_t)
allow mysqld_t var_lib_t:dir { getattr search };

can_network(mysqld_t)
can_ypbind(mysqld_t)

# read config files
r_dir_file(initrc_t, mysqld_etc_t)
allow mysqld_t { etc_t etc_runtime_t }:{ file lnk_file } { read getattr };

allow mysqld_t etc_t:dir search;

allow mysqld_t sysctl_kernel_t:dir search;
allow mysqld_t sysctl_kernel_t:file read;

can_unix_connect(sysadm_t, mysqld_t)

# for /root/.my.cnf - should not be needed
allow mysqld_t sysadm_home_dir_t:dir search;
allow mysqld_t sysadm_home_t:file { read getattr };

ifdef(`logrotate.te', `
r_dir_file(logrotate_t, mysqld_etc_t)
allow logrotate_t mysqld_db_t:dir search;
allow logrotate_t mysqld_var_run_t:dir search;
allow logrotate_t mysqld_var_run_t:sock_file write;
can_unix_connect(logrotate_t, mysqld_t)
')

ifdef(`user_db_connect', `
allow userdomain mysqld_var_run_t:dir search;
allow userdomain mysqld_var_run_t:sock_file write;
')

ifdef(`daemontools.te', `
domain_auto_trans( svc_run_t, mysqld_exec_t, mysqld_t)
allow svc_start_t mysqld_t:process signal;
svc_ipc_domain(mysqld_t)
')dnl end ifdef daemontools

ifdef(`distro_redhat', `
allow initrc_t mysqld_db_t:dir create_dir_perms;

# because Fedora has the sock_file in the database directory
file_type_auto_trans(mysqld_t, mysqld_db_t, mysqld_var_run_t, sock_file)
')

---

• Follow-Ups:
  • • From: dragoran

• References:
  • • From: dragoran

[][]   [][]   [] [] []

Chinaunix首页 | 论坛 | 博客

博文 博主

ELM's Blogwenzk.blog.chinaunix.net

• 4月28日14:30-20:30机房服务器迁移，暂停博客使用
• 9/30日 14:00 -10/4日 08:00暂时无法发布内容！
• 9/30日 14:00 -10/4日 08:00暂时无法发布内容！

首页　| 　博文目录　| 　关于我

wenzk

• 博客访问： 7683614
• 博文数量： 637
• 博客积分： 10265
• 博客等级： 上将
• 技术积分： 6165
• 用 户 组： 普通用户
• 注册时间： 2004-12-12 22:00

文章分类

全部博文（637）

• 程序设计（9）
• Solaris系统（22）
• 数码相机（8）
• IT新技术（11）
• DNS相关（16）
• Office相关（13）
• OpenVPN（2）
• 供电系统（9）
• 工作相关（79）
• BSD杂谈（46）
• 数据库相关（35）
• 乱七八糟（31）
• Linux系统相关（224）
• 自娱自乐（19）
• 邮件系统相关（39）
• 计算机网络（73）
• 未分配的博文（1）

文章存档

2011年（1）

• 2011年07月（1）

2010年（1）

• 2010年02月（1）

2009年（3）

• 2009年09月（2）
• 2009年05月（1）

2008年（12）

• 2008年06月（1）
• 2008年04月（9）
• 2008年03月（1）
• 2008年01月（1）

2007年（44）

• 2007年11月（2）
• 2007年10月（1）
• 2007年09月（1）
• 2007年07月（1）
• 2007年06月（11）
• 2007年05月（4）
• 2007年04月（5）
• 2007年03月（13）
• 2007年01月（6）

2006年（156）

• 2006年11月（3）
• 2006年10月（8）
• 2006年09月（1）
• 2006年08月（8）
• 2006年06月（12）
• 2006年05月（12）
• 2006年04月（4）
• 2006年03月（25）
• 2006年02月（24）
• 2006年01月（59）

2005年（419）

• 2005年12月（55）
• 2005年11月（20）
• 2005年10月（79）
• 2005年09月（11）
• 2005年08月（22）
• 2005年07月（44）
• 2005年06月（81）
• 2005年05月（48）
• 2005年04月（11）
• 2005年03月（48）

2004年（1）

• 2004年12月（1）

我的朋友

• 

  一鸣雨

• 

  叶绍琛

• 

  大鬼不动

• 

  myeer

• 

  chbljy12

• 

  flashfir

• 

  techim

• 

  非洲乌龟

• 

  wangzhan

最近访客

• 

  beyand81

• 

  lyg111

• 

  khls27

• 

  gaokeke1

• 

  5sky

• 

  suixiaof

• 

  djx2020

• 

  cynthia

• 

  浪花小雨

推荐博文

• ·ORACLE SQL overlap时间段重...
• ·Rust入门到精通(三）—— 不...
• ·Oracle 1582-10-07问题
• ·1：Python开发：初识Python...
• ·ORACLE物理结构

相关博文

• ·通过内置FTP服务共享本地文件...
• ·Jtti：教你如何远程管理Linux...
• ·Linux中如何删除文件和目录？...
• ·百度搜索：蓝易云 - k8s部署n...
• ·百度搜索：蓝易云 - DNS部署...
• ·SQL数据库的错误处理机制是怎...
• ·Ubuntu linux 命令总结
• ·内网穿透详解：从传统方式到P...
• ·CentOS设置单用户模式快速修...
• ·FMEA在网络安全中的应用实践...

PHP cannot connect to mysql server (FC3 SELinux)

分类： LINUX

2006-02-26 08:48:42

---

[][]   [][]   [] [] []

Re: PHP cannot connect to mysql server

---

• From: Daniel J Walsh
• To: "Fedora SELinux support list for users & developers."
• Subject: Re: PHP cannot connect to mysql server
• Date: Wed, 10 Nov 2004 10:52:22 -0500

---

dragoran wrote:

I am running FC3 with selinux on targeted policy. When PHP tryies to connect to the mysql server i get this messages in dmesg:
sbin/httpd name=mysql.sock dev=hda3 ino=309535 scontext=user_u:system_r:httpd_t tcontext=user_u:object_r:var_lib_t tclass=sock_file
Disabling SELinux for Apache fix this, but I want to run httpd with selinux.
So how can i fix this?

--
fedora-selinux-list mailing list
fedora-selinux-list redhat com

A couple of things to try.

I am thinking of adding mysqld.te file to targeted policy. (attached)

You can try to use it by doing the following

   * Install selinux-policy-targeted-sources.
   * yum install selinux-policy-targeted-sources
   * cd /etc/selinux/targeted/src/policy
   * cp MYSQLD.te domains/program/
   * make load
   * rpm -q -l mysql | restorecon -R -f -
   * service mysql restart

Or you can just add the ability to write to sock_files in var lib.

   * Install selinux-policy-targeted-sources.
   * yum install selinux-policy-targeted-sources
   * cd /etc/selinux/targeted/src/policy
   * echo "allow httpd_t var_lib_t:sock_file rw_socket_perms;" >
     domains/program/httpd_socket.te
   * make load

#DESC Mysqld - Database server
#
# Author:  Russell Coker 
# X-Debian-Packages: mysql-server
#

#################################
#
# Rules for the mysqld_t domain.
#
# mysqld_exec_t is the type of the mysqld executable.
#
daemon_domain(mysqld)

type mysqld_port_t, port_type;
allow mysqld_t mysqld_port_t:tcp_socket name_bind;

allow mysqld_t mysqld_var_run_t:sock_file create_file_perms;

etcdir_domain(mysqld)
typealias mysqld_etc_t alias etc_mysqld_t;
type mysqld_db_t, file_type, sysadmfile;

log_domain(mysqld)

# for temporary tables
tmp_domain(mysqld)

allow mysqld_t usr_t:file { getattr read };

allow mysqld_t self:fifo_file { read write };
allow mysqld_t self:unix_stream_socket create_stream_socket_perms;
allow initrc_t mysqld_t:unix_stream_socket connectto;
allow initrc_t mysqld_var_run_t:sock_file write;

allow initrc_t mysqld_log_t:file { write append setattr ioctl };

allow mysqld_t self:capability { dac_override setgid setuid };
allow mysqld_t self:process getsched;

allow mysqld_t proc_t:file { getattr read };

# Allow access to the mysqld databases
create_dir_file(mysqld_t, mysqld_db_t)
allow mysqld_t var_lib_t:dir { getattr search };

can_network(mysqld_t)
can_ypbind(mysqld_t)

# read config files
r_dir_file(initrc_t, mysqld_etc_t)
allow mysqld_t { etc_t etc_runtime_t }:{ file lnk_file } { read getattr };

allow mysqld_t etc_t:dir search;

allow mysqld_t sysctl_kernel_t:dir search;
allow mysqld_t sysctl_kernel_t:file read;

can_unix_connect(sysadm_t, mysqld_t)

# for /root/.my.cnf - should not be needed
allow mysqld_t sysadm_home_dir_t:dir search;
allow mysqld_t sysadm_home_t:file { read getattr };

ifdef(`logrotate.te', `
r_dir_file(logrotate_t, mysqld_etc_t)
allow logrotate_t mysqld_db_t:dir search;
allow logrotate_t mysqld_var_run_t:dir search;
allow logrotate_t mysqld_var_run_t:sock_file write;
can_unix_connect(logrotate_t, mysqld_t)
')

ifdef(`user_db_connect', `
allow userdomain mysqld_var_run_t:dir search;
allow userdomain mysqld_var_run_t:sock_file write;
')

ifdef(`daemontools.te', `
domain_auto_trans( svc_run_t, mysqld_exec_t, mysqld_t)
allow svc_start_t mysqld_t:process signal;
svc_ipc_domain(mysqld_t)
')dnl end ifdef daemontools

ifdef(`distro_redhat', `
allow initrc_t mysqld_db_t:dir create_dir_perms;

# because Fedora has the sock_file in the database directory
file_type_auto_trans(mysqld_t, mysqld_db_t, mysqld_var_run_t, sock_file)
')

---

• Follow-Ups:
  • • From: dragoran

• References:
  • • From: dragoran

[][]   [][]   [] [] []

Chinaunix首页 | 论坛 | 博客

博文 博主

ELM's Blogwenzk.blog.chinaunix.net

• 4月28日14:30-20:30机房服务器迁移，暂停博客使用
• 9/30日 14:00 -10/4日 08:00暂时无法发布内容！
• 9/30日 14:00 -10/4日 08:00暂时无法发布内容！

首页　| 　博文目录　| 　关于我

wenzk

• 博客访问： 7683615
• 博文数量： 637
• 博客积分： 10265
• 博客等级： 上将
• 技术积分： 6165
• 用 户 组： 普通用户
• 注册时间： 2004-12-12 22:00

文章分类

全部博文（637）

• 程序设计（9）
• Solaris系统（22）
• 数码相机（8）
• IT新技术（11）
• DNS相关（16）
• Office相关（13）
• OpenVPN（2）
• 供电系统（9）
• 工作相关（79）
• BSD杂谈（46）
• 数据库相关（35）
• 乱七八糟（31）
• Linux系统相关（224）
• 自娱自乐（19）
• 邮件系统相关（39）
• 计算机网络（73）
• 未分配的博文（1）

文章存档

2011年（1）

• 2011年07月（1）

2010年（1）

• 2010年02月（1）

2009年（3）

• 2009年09月（2）
• 2009年05月（1）

2008年（12）

• 2008年06月（1）
• 2008年04月（9）
• 2008年03月（1）
• 2008年01月（1）

2007年（44）

• 2007年11月（2）
• 2007年10月（1）
• 2007年09月（1）
• 2007年07月（1）
• 2007年06月（11）
• 2007年05月（4）
• 2007年04月（5）
• 2007年03月（13）
• 2007年01月（6）

2006年（156）

• 2006年11月（3）
• 2006年10月（8）
• 2006年09月（1）
• 2006年08月（8）
• 2006年06月（12）
• 2006年05月（12）
• 2006年04月（4）
• 2006年03月（25）
• 2006年02月（24）
• 2006年01月（59）

2005年（419）

• 2005年12月（55）
• 2005年11月（20）
• 2005年10月（79）
• 2005年09月（11）
• 2005年08月（22）
• 2005年07月（44）
• 2005年06月（81）
• 2005年05月（48）
• 2005年04月（11）
• 2005年03月（48）

2004年（1）

• 2004年12月（1）

我的朋友

• 

  一鸣雨

• 

  叶绍琛

• 

  大鬼不动

• 

  myeer

• 

  chbljy12

• 

  flashfir

• 

  techim

• 

  非洲乌龟

• 

  wangzhan

最近访客

• 

  beyand81

• 

  lyg111

• 

  khls27

• 

  gaokeke1

• 

  5sky

• 

  suixiaof

• 

  djx2020

• 

  cynthia

• 

  浪花小雨

推荐博文

• ·ORACLE SQL overlap时间段重...
• ·Rust入门到精通(三）—— 不...
• ·Oracle 1582-10-07问题
• ·1：Python开发：初识Python...
• ·ORACLE物理结构

相关博文

• ·通过内置FTP服务共享本地文件...
• ·Jtti：教你如何远程管理Linux...
• ·Linux中如何删除文件和目录？...
• ·百度搜索：蓝易云 - k8s部署n...
• ·百度搜索：蓝易云 - DNS部署...
• ·SQL数据库的错误处理机制是怎...
• ·Ubuntu linux 命令总结
• ·内网穿透详解：从传统方式到P...
• ·CentOS设置单用户模式快速修...
• ·FMEA在网络安全中的应用实践...

PHP cannot connect to mysql server (FC3 SELinux)

分类： LINUX

2006-02-26 08:48:42

---

[][]   [][]   [] [] []

Re: PHP cannot connect to mysql server

---

• From: Daniel J Walsh
• To: "Fedora SELinux support list for users & developers."
• Subject: Re: PHP cannot connect to mysql server
• Date: Wed, 10 Nov 2004 10:52:22 -0500

---

dragoran wrote:

I am running FC3 with selinux on targeted policy. When PHP tryies to connect to the mysql server i get this messages in dmesg:
sbin/httpd name=mysql.sock dev=hda3 ino=309535 scontext=user_u:system_r:httpd_t tcontext=user_u:object_r:var_lib_t tclass=sock_file
Disabling SELinux for Apache fix this, but I want to run httpd with selinux.
So how can i fix this?

--
fedora-selinux-list mailing list
fedora-selinux-list redhat com

A couple of things to try.

I am thinking of adding mysqld.te file to targeted policy. (attached)

You can try to use it by doing the following

   * Install selinux-policy-targeted-sources.
   * yum install selinux-policy-targeted-sources
   * cd /etc/selinux/targeted/src/policy
   * cp MYSQLD.te domains/program/
   * make load
   * rpm -q -l mysql | restorecon -R -f -
   * service mysql restart

Or you can just add the ability to write to sock_files in var lib.

   * Install selinux-policy-targeted-sources.
   * yum install selinux-policy-targeted-sources
   * cd /etc/selinux/targeted/src/policy
   * echo "allow httpd_t var_lib_t:sock_file rw_socket_perms;" >
     domains/program/httpd_socket.te
   * make load

#DESC Mysqld - Database server
#
# Author:  Russell Coker 
# X-Debian-Packages: mysql-server
#

#################################
#
# Rules for the mysqld_t domain.
#
# mysqld_exec_t is the type of the mysqld executable.
#
daemon_domain(mysqld)

type mysqld_port_t, port_type;
allow mysqld_t mysqld_port_t:tcp_socket name_bind;

allow mysqld_t mysqld_var_run_t:sock_file create_file_perms;

etcdir_domain(mysqld)
typealias mysqld_etc_t alias etc_mysqld_t;
type mysqld_db_t, file_type, sysadmfile;

log_domain(mysqld)

# for temporary tables
tmp_domain(mysqld)

allow mysqld_t usr_t:file { getattr read };

allow mysqld_t self:fifo_file { read write };
allow mysqld_t self:unix_stream_socket create_stream_socket_perms;
allow initrc_t mysqld_t:unix_stream_socket connectto;
allow initrc_t mysqld_var_run_t:sock_file write;

allow initrc_t mysqld_log_t:file { write append setattr ioctl };

allow mysqld_t self:capability { dac_override setgid setuid };
allow mysqld_t self:process getsched;

allow mysqld_t proc_t:file { getattr read };

# Allow access to the mysqld databases
create_dir_file(mysqld_t, mysqld_db_t)
allow mysqld_t var_lib_t:dir { getattr search };

can_network(mysqld_t)
can_ypbind(mysqld_t)

# read config files
r_dir_file(initrc_t, mysqld_etc_t)
allow mysqld_t { etc_t etc_runtime_t }:{ file lnk_file } { read getattr };

allow mysqld_t etc_t:dir search;

allow mysqld_t sysctl_kernel_t:dir search;
allow mysqld_t sysctl_kernel_t:file read;

can_unix_connect(sysadm_t, mysqld_t)

# for /root/.my.cnf - should not be needed
allow mysqld_t sysadm_home_dir_t:dir search;
allow mysqld_t sysadm_home_t:file { read getattr };

ifdef(`logrotate.te', `
r_dir_file(logrotate_t, mysqld_etc_t)
allow logrotate_t mysqld_db_t:dir search;
allow logrotate_t mysqld_var_run_t:dir search;
allow logrotate_t mysqld_var_run_t:sock_file write;
can_unix_connect(logrotate_t, mysqld_t)
')

ifdef(`user_db_connect', `
allow userdomain mysqld_var_run_t:dir search;
allow userdomain mysqld_var_run_t:sock_file write;
')

ifdef(`daemontools.te', `
domain_auto_trans( svc_run_t, mysqld_exec_t, mysqld_t)
allow svc_start_t mysqld_t:process signal;
svc_ipc_domain(mysqld_t)
')dnl end ifdef daemontools

ifdef(`distro_redhat', `
allow initrc_t mysqld_db_t:dir create_dir_perms;

# because Fedora has the sock_file in the database directory
file_type_auto_trans(mysqld_t, mysqld_db_t, mysqld_var_run_t, sock_file)
')

---

• Follow-Ups:
  • • From: dragoran

• References:
  • • From: dragoran

[][]   [][]   [] [] []

Chinaunix首页 | 论坛 | 博客

博文 博主

ELM's Blogwenzk.blog.chinaunix.net

• 4月28日14:30-20:30机房服务器迁移，暂停博客使用
• 9/30日 14:00 -10/4日 08:00暂时无法发布内容！
• 9/30日 14:00 -10/4日 08:00暂时无法发布内容！

首页　| 　博文目录　| 　关于我

wenzk

• 博客访问： 7683606
• 博文数量： 637
• 博客积分： 10265
• 博客等级： 上将
• 技术积分： 6165
• 用 户 组： 普通用户
• 注册时间： 2004-12-12 22:00

文章分类

全部博文（637）

• 程序设计（9）
• Solaris系统（22）
• 数码相机（8）
• IT新技术（11）
• DNS相关（16）
• Office相关（13）
• OpenVPN（2）
• 供电系统（9）
• 工作相关（79）
• BSD杂谈（46）
• 数据库相关（35）
• 乱七八糟（31）
• Linux系统相关（224）
• 自娱自乐（19）
• 邮件系统相关（39）
• 计算机网络（73）
• 未分配的博文（1）

文章存档

2011年（1）

• 2011年07月（1）

2010年（1）

• 2010年02月（1）

2009年（3）

• 2009年09月（2）
• 2009年05月（1）

2008年（12）

• 2008年06月（1）
• 2008年04月（9）
• 2008年03月（1）
• 2008年01月（1）

2007年（44）

• 2007年11月（2）
• 2007年10月（1）
• 2007年09月（1）
• 2007年07月（1）
• 2007年06月（11）
• 2007年05月（4）
• 2007年04月（5）
• 2007年03月（13）
• 2007年01月（6）

2006年（156）

• 2006年11月（3）
• 2006年10月（8）
• 2006年09月（1）
• 2006年08月（8）
• 2006年06月（12）
• 2006年05月（12）
• 2006年04月（4）
• 2006年03月（25）
• 2006年02月（24）
• 2006年01月（59）

2005年（419）

• 2005年12月（55）
• 2005年11月（20）
• 2005年10月（79）
• 2005年09月（11）
• 2005年08月（22）
• 2005年07月（44）
• 2005年06月（81）
• 2005年05月（48）
• 2005年04月（11）
• 2005年03月（48）

2004年（1）

• 2004年12月（1）

我的朋友

• 

  一鸣雨

• 

  叶绍琛

• 

  大鬼不动

• 

  myeer

• 

  chbljy12

• 

  flashfir

• 

  techim

• 

  非洲乌龟

• 

  wangzhan

最近访客

• 

  beyand81

• 

  lyg111

• 

  khls27

• 

  gaokeke1

• 

  5sky

• 

  suixiaof

• 

  djx2020

• 

  cynthia

• 

  浪花小雨

推荐博文

• ·ORACLE SQL overlap时间段重...
• ·Rust入门到精通(三）—— 不...
• ·Oracle 1582-10-07问题
• ·1：Python开发：初识Python...
• ·ORACLE物理结构

相关博文

• ·通过内置FTP服务共享本地文件...
• ·Jtti：教你如何远程管理Linux...
• ·Linux中如何删除文件和目录？...
• ·百度搜索：蓝易云 - k8s部署n...
• ·百度搜索：蓝易云 - DNS部署...
• ·SQL数据库的错误处理机制是怎...
• ·Ubuntu linux 命令总结
• ·内网穿透详解：从传统方式到P...
• ·CentOS设置单用户模式快速修...
• ·FMEA在网络安全中的应用实践...

PHP cannot connect to mysql server (FC3 SELinux)

分类： LINUX

2006-02-26 08:48:42

---

[][]   [][]   [] [] []

Re: PHP cannot connect to mysql server

---

• From: Daniel J Walsh
• To: "Fedora SELinux support list for users & developers."
• Subject: Re: PHP cannot connect to mysql server
• Date: Wed, 10 Nov 2004 10:52:22 -0500

---

dragoran wrote:

I am running FC3 with selinux on targeted policy. When PHP tryies to connect to the mysql server i get this messages in dmesg:
sbin/httpd name=mysql.sock dev=hda3 ino=309535 scontext=user_u:system_r:httpd_t tcontext=user_u:object_r:var_lib_t tclass=sock_file
Disabling SELinux for Apache fix this, but I want to run httpd with selinux.
So how can i fix this?

--
fedora-selinux-list mailing list
fedora-selinux-list redhat com

A couple of things to try.

I am thinking of adding mysqld.te file to targeted policy. (attached)

You can try to use it by doing the following

   * Install selinux-policy-targeted-sources.
   * yum install selinux-policy-targeted-sources
   * cd /etc/selinux/targeted/src/policy
   * cp MYSQLD.te domains/program/
   * make load
   * rpm -q -l mysql | restorecon -R -f -
   * service mysql restart

Or you can just add the ability to write to sock_files in var lib.

   * Install selinux-policy-targeted-sources.
   * yum install selinux-policy-targeted-sources
   * cd /etc/selinux/targeted/src/policy
   * echo "allow httpd_t var_lib_t:sock_file rw_socket_perms;" >
     domains/program/httpd_socket.te
   * make load

#DESC Mysqld - Database server
#
# Author:  Russell Coker 
# X-Debian-Packages: mysql-server
#

#################################
#
# Rules for the mysqld_t domain.
#
# mysqld_exec_t is the type of the mysqld executable.
#
daemon_domain(mysqld)

type mysqld_port_t, port_type;
allow mysqld_t mysqld_port_t:tcp_socket name_bind;

allow mysqld_t mysqld_var_run_t:sock_file create_file_perms;

etcdir_domain(mysqld)
typealias mysqld_etc_t alias etc_mysqld_t;
type mysqld_db_t, file_type, sysadmfile;

log_domain(mysqld)

# for temporary tables
tmp_domain(mysqld)

allow mysqld_t usr_t:file { getattr read };

allow mysqld_t self:fifo_file { read write };
allow mysqld_t self:unix_stream_socket create_stream_socket_perms;
allow initrc_t mysqld_t:unix_stream_socket connectto;
allow initrc_t mysqld_var_run_t:sock_file write;

allow initrc_t mysqld_log_t:file { write append setattr ioctl };

allow mysqld_t self:capability { dac_override setgid setuid };
allow mysqld_t self:process getsched;

allow mysqld_t proc_t:file { getattr read };

# Allow access to the mysqld databases
create_dir_file(mysqld_t, mysqld_db_t)
allow mysqld_t var_lib_t:dir { getattr search };

can_network(mysqld_t)
can_ypbind(mysqld_t)

# read config files
r_dir_file(initrc_t, mysqld_etc_t)
allow mysqld_t { etc_t etc_runtime_t }:{ file lnk_file } { read getattr };

allow mysqld_t etc_t:dir search;

allow mysqld_t sysctl_kernel_t:dir search;
allow mysqld_t sysctl_kernel_t:file read;

can_unix_connect(sysadm_t, mysqld_t)

# for /root/.my.cnf - should not be needed
allow mysqld_t sysadm_home_dir_t:dir search;
allow mysqld_t sysadm_home_t:file { read getattr };

ifdef(`logrotate.te', `
r_dir_file(logrotate_t, mysqld_etc_t)
allow logrotate_t mysqld_db_t:dir search;
allow logrotate_t mysqld_var_run_t:dir search;
allow logrotate_t mysqld_var_run_t:sock_file write;
can_unix_connect(logrotate_t, mysqld_t)
')

ifdef(`user_db_connect', `
allow userdomain mysqld_var_run_t:dir search;
allow userdomain mysqld_var_run_t:sock_file write;
')

ifdef(`daemontools.te', `
domain_auto_trans( svc_run_t, mysqld_exec_t, mysqld_t)
allow svc_start_t mysqld_t:process signal;
svc_ipc_domain(mysqld_t)
')dnl end ifdef daemontools

ifdef(`distro_redhat', `
allow initrc_t mysqld_db_t:dir create_dir_perms;

# because Fedora has the sock_file in the database directory
file_type_auto_trans(mysqld_t, mysqld_db_t, mysqld_var_run_t, sock_file)
')

---

• Follow-Ups:
  • • From: dragoran

• References:
  • • From: dragoran

[][]   [][]   [] [] []

Chinaunix首页 | 论坛 | 博客

博文 博主

ELM's Blogwenzk.blog.chinaunix.net

• 4月28日14:30-20:30机房服务器迁移，暂停博客使用
• 9/30日 14:00 -10/4日 08:00暂时无法发布内容！
• 9/30日 14:00 -10/4日 08:00暂时无法发布内容！

首页　| 　博文目录　| 　关于我

wenzk

• 博客访问： 7683617
• 博文数量： 637
• 博客积分： 10265
• 博客等级： 上将
• 技术积分： 6165
• 用 户 组： 普通用户
• 注册时间： 2004-12-12 22:00

文章分类

全部博文（637）

• 程序设计（9）
• Solaris系统（22）
• 数码相机（8）
• IT新技术（11）
• DNS相关（16）
• Office相关（13）
• OpenVPN（2）
• 供电系统（9）
• 工作相关（79）
• BSD杂谈（46）
• 数据库相关（35）
• 乱七八糟（31）
• Linux系统相关（224）
• 自娱自乐（19）
• 邮件系统相关（39）
• 计算机网络（73）
• 未分配的博文（1）

文章存档

2011年（1）

• 2011年07月（1）

2010年（1）

• 2010年02月（1）

2009年（3）

• 2009年09月（2）
• 2009年05月（1）

2008年（12）

• 2008年06月（1）
• 2008年04月（9）
• 2008年03月（1）
• 2008年01月（1）

2007年（44）

• 2007年11月（2）
• 2007年10月（1）
• 2007年09月（1）
• 2007年07月（1）
• 2007年06月（11）
• 2007年05月（4）
• 2007年04月（5）
• 2007年03月（13）
• 2007年01月（6）

2006年（156）

• 2006年11月（3）
• 2006年10月（8）
• 2006年09月（1）
• 2006年08月（8）
• 2006年06月（12）
• 2006年05月（12）
• 2006年04月（4）
• 2006年03月（25）
• 2006年02月（24）
• 2006年01月（59）

2005年（419）

• 2005年12月（55）
• 2005年11月（20）
• 2005年10月（79）
• 2005年09月（11）
• 2005年08月（22）
• 2005年07月（44）
• 2005年06月（81）
• 2005年05月（48）
• 2005年04月（11）
• 2005年03月（48）

2004年（1）

• 2004年12月（1）

我的朋友

• 

  一鸣雨

• 

  叶绍琛

• 

  大鬼不动

• 

  myeer

• 

  chbljy12

• 

  flashfir

• 

  techim

• 

  非洲乌龟

• 

  wangzhan

最近访客

• 

  beyand81

• 

  lyg111

• 

  khls27

• 

  gaokeke1

• 

  5sky

• 

  suixiaof

• 

  djx2020

• 

  cynthia

• 

  浪花小雨

推荐博文

• ·ORACLE SQL overlap时间段重...
• ·Rust入门到精通(三）—— 不...
• ·Oracle 1582-10-07问题
• ·1：Python开发：初识Python...
• ·ORACLE物理结构

相关博文

• ·通过内置FTP服务共享本地文件...
• ·Jtti：教你如何远程管理Linux...
• ·Linux中如何删除文件和目录？...
• ·百度搜索：蓝易云 - k8s部署n...
• ·百度搜索：蓝易云 - DNS部署...
• ·SQL数据库的错误处理机制是怎...
• ·Ubuntu linux 命令总结
• ·内网穿透详解：从传统方式到P...
• ·CentOS设置单用户模式快速修...
• ·FMEA在网络安全中的应用实践...

PHP cannot connect to mysql server (FC3 SELinux)

分类： LINUX

2006-02-26 08:48:42

---

[][]   [][]   [] [] []

Re: PHP cannot connect to mysql server

---

• From: Daniel J Walsh
• To: "Fedora SELinux support list for users & developers."
• Subject: Re: PHP cannot connect to mysql server
• Date: Wed, 10 Nov 2004 10:52:22 -0500

---

dragoran wrote:

I am running FC3 with selinux on targeted policy. When PHP tryies to connect to the mysql server i get this messages in dmesg:
sbin/httpd name=mysql.sock dev=hda3 ino=309535 scontext=user_u:system_r:httpd_t tcontext=user_u:object_r:var_lib_t tclass=sock_file
Disabling SELinux for Apache fix this, but I want to run httpd with selinux.
So how can i fix this?

--
fedora-selinux-list mailing list
fedora-selinux-list redhat com

A couple of things to try.

I am thinking of adding mysqld.te file to targeted policy. (attached)

You can try to use it by doing the following

   * Install selinux-policy-targeted-sources.
   * yum install selinux-policy-targeted-sources
   * cd /etc/selinux/targeted/src/policy
   * cp MYSQLD.te domains/program/
   * make load
   * rpm -q -l mysql | restorecon -R -f -
   * service mysql restart

Or you can just add the ability to write to sock_files in var lib.

   * Install selinux-policy-targeted-sources.
   * yum install selinux-policy-targeted-sources
   * cd /etc/selinux/targeted/src/policy
   * echo "allow httpd_t var_lib_t:sock_file rw_socket_perms;" >
     domains/program/httpd_socket.te
   * make load

#DESC Mysqld - Database server
#
# Author:  Russell Coker 
# X-Debian-Packages: mysql-server
#

#################################
#
# Rules for the mysqld_t domain.
#
# mysqld_exec_t is the type of the mysqld executable.
#
daemon_domain(mysqld)

type mysqld_port_t, port_type;
allow mysqld_t mysqld_port_t:tcp_socket name_bind;

allow mysqld_t mysqld_var_run_t:sock_file create_file_perms;

etcdir_domain(mysqld)
typealias mysqld_etc_t alias etc_mysqld_t;
type mysqld_db_t, file_type, sysadmfile;

log_domain(mysqld)

# for temporary tables
tmp_domain(mysqld)

allow mysqld_t usr_t:file { getattr read };

allow mysqld_t self:fifo_file { read write };
allow mysqld_t self:unix_stream_socket create_stream_socket_perms;
allow initrc_t mysqld_t:unix_stream_socket connectto;
allow initrc_t mysqld_var_run_t:sock_file write;

allow initrc_t mysqld_log_t:file { write append setattr ioctl };

allow mysqld_t self:capability { dac_override setgid setuid };
allow mysqld_t self:process getsched;

allow mysqld_t proc_t:file { getattr read };

# Allow access to the mysqld databases
create_dir_file(mysqld_t, mysqld_db_t)
allow mysqld_t var_lib_t:dir { getattr search };

can_network(mysqld_t)
can_ypbind(mysqld_t)

# read config files
r_dir_file(initrc_t, mysqld_etc_t)
allow mysqld_t { etc_t etc_runtime_t }:{ file lnk_file } { read getattr };

allow mysqld_t etc_t:dir search;

allow mysqld_t sysctl_kernel_t:dir search;
allow mysqld_t sysctl_kernel_t:file read;

can_unix_connect(sysadm_t, mysqld_t)

# for /root/.my.cnf - should not be needed
allow mysqld_t sysadm_home_dir_t:dir search;
allow mysqld_t sysadm_home_t:file { read getattr };

ifdef(`logrotate.te', `
r_dir_file(logrotate_t, mysqld_etc_t)
allow logrotate_t mysqld_db_t:dir search;
allow logrotate_t mysqld_var_run_t:dir search;
allow logrotate_t mysqld_var_run_t:sock_file write;
can_unix_connect(logrotate_t, mysqld_t)
')

ifdef(`user_db_connect', `
allow userdomain mysqld_var_run_t:dir search;
allow userdomain mysqld_var_run_t:sock_file write;
')

ifdef(`daemontools.te', `
domain_auto_trans( svc_run_t, mysqld_exec_t, mysqld_t)
allow svc_start_t mysqld_t:process signal;
svc_ipc_domain(mysqld_t)
')dnl end ifdef daemontools

ifdef(`distro_redhat', `
allow initrc_t mysqld_db_t:dir create_dir_perms;

# because Fedora has the sock_file in the database directory
file_type_auto_trans(mysqld_t, mysqld_db_t, mysqld_var_run_t, sock_file)
')

---

• Follow-Ups:
  • • From: dragoran

• References:
  • • From: dragoran

[][]   [][]   [] [] []

Chinaunix首页 | 论坛 | 博客

博文 博主

ELM's Blogwenzk.blog.chinaunix.net

• 4月28日14:30-20:30机房服务器迁移，暂停博客使用
• 9/30日 14:00 -10/4日 08:00暂时无法发布内容！
• 9/30日 14:00 -10/4日 08:00暂时无法发布内容！

首页　| 　博文目录　| 　关于我

wenzk

• 博客访问： 7683618
• 博文数量： 637
• 博客积分： 10265
• 博客等级： 上将
• 技术积分： 6165
• 用 户 组： 普通用户
• 注册时间： 2004-12-12 22:00

文章分类

全部博文（637）

• 程序设计（9）
• Solaris系统（22）
• 数码相机（8）
• IT新技术（11）
• DNS相关（16）
• Office相关（13）
• OpenVPN（2）
• 供电系统（9）
• 工作相关（79）
• BSD杂谈（46）
• 数据库相关（35）
• 乱七八糟（31）
• Linux系统相关（224）
• 自娱自乐（19）
• 邮件系统相关（39）
• 计算机网络（73）
• 未分配的博文（1）

文章存档

2011年（1）

• 2011年07月（1）

2010年（1）

• 2010年02月（1）

2009年（3）

• 2009年09月（2）
• 2009年05月（1）

2008年（12）

• 2008年06月（1）
• 2008年04月（9）
• 2008年03月（1）
• 2008年01月（1）

2007年（44）

• 2007年11月（2）
• 2007年10月（1）
• 2007年09月（1）
• 2007年07月（1）
• 2007年06月（11）
• 2007年05月（4）
• 2007年04月（5）
• 2007年03月（13）
• 2007年01月（6）

2006年（156）

• 2006年11月（3）
• 2006年10月（8）
• 2006年09月（1）
• 2006年08月（8）
• 2006年06月（12）
• 2006年05月（12）
• 2006年04月（4）
• 2006年03月（25）
• 2006年02月（24）
• 2006年01月（59）

2005年（419）

• 2005年12月（55）
• 2005年11月（20）
• 2005年10月（79）
• 2005年09月（11）
• 2005年08月（22）
• 2005年07月（44）
• 2005年06月（81）
• 2005年05月（48）
• 2005年04月（11）
• 2005年03月（48）

2004年（1）

• 2004年12月（1）

我的朋友

• 

  一鸣雨

• 

  叶绍琛

• 

  大鬼不动

• 

  myeer

• 

  chbljy12

• 

  flashfir

• 

  techim

• 

  非洲乌龟

• 

  wangzhan

最近访客

• 

  beyand81

• 

  lyg111

• 

  khls27

• 

  gaokeke1

• 

  5sky

• 

  suixiaof

• 

  djx2020

• 

  cynthia

• 

  浪花小雨

推荐博文

• ·ORACLE SQL overlap时间段重...
• ·Rust入门到精通(三）—— 不...
• ·Oracle 1582-10-07问题
• ·1：Python开发：初识Python...
• ·ORACLE物理结构

相关博文

• ·通过内置FTP服务共享本地文件...
• ·Jtti：教你如何远程管理Linux...
• ·Linux中如何删除文件和目录？...
• ·百度搜索：蓝易云 - k8s部署n...
• ·百度搜索：蓝易云 - DNS部署...
• ·SQL数据库的错误处理机制是怎...
• ·Ubuntu linux 命令总结
• ·内网穿透详解：从传统方式到P...
• ·CentOS设置单用户模式快速修...
• ·FMEA在网络安全中的应用实践...

PHP cannot connect to mysql server (FC3 SELinux)

分类： LINUX

2006-02-26 08:48:42

---

[][]   [][]   [] [] []

Re: PHP cannot connect to mysql server

---

• From: Daniel J Walsh
• To: "Fedora SELinux support list for users & developers."
• Subject: Re: PHP cannot connect to mysql server
• Date: Wed, 10 Nov 2004 10:52:22 -0500

---

dragoran wrote:

I am running FC3 with selinux on targeted policy. When PHP tryies to connect to the mysql server i get this messages in dmesg:
sbin/httpd name=mysql.sock dev=hda3 ino=309535 scontext=user_u:system_r:httpd_t tcontext=user_u:object_r:var_lib_t tclass=sock_file
Disabling SELinux for Apache fix this, but I want to run httpd with selinux.
So how can i fix this?

--
fedora-selinux-list mailing list
fedora-selinux-list redhat com

A couple of things to try.

I am thinking of adding mysqld.te file to targeted policy. (attached)

You can try to use it by doing the following

   * Install selinux-policy-targeted-sources.
   * yum install selinux-policy-targeted-sources
   * cd /etc/selinux/targeted/src/policy
   * cp MYSQLD.te domains/program/
   * make load
   * rpm -q -l mysql | restorecon -R -f -
   * service mysql restart

Or you can just add the ability to write to sock_files in var lib.

   * Install selinux-policy-targeted-sources.
   * yum install selinux-policy-targeted-sources
   * cd /etc/selinux/targeted/src/policy
   * echo "allow httpd_t var_lib_t:sock_file rw_socket_perms;" >
     domains/program/httpd_socket.te
   * make load

#DESC Mysqld - Database server
#
# Author:  Russell Coker 
# X-Debian-Packages: mysql-server
#

#################################
#
# Rules for the mysqld_t domain.
#
# mysqld_exec_t is the type of the mysqld executable.
#
daemon_domain(mysqld)

type mysqld_port_t, port_type;
allow mysqld_t mysqld_port_t:tcp_socket name_bind;

allow mysqld_t mysqld_var_run_t:sock_file create_file_perms;

etcdir_domain(mysqld)
typealias mysqld_etc_t alias etc_mysqld_t;
type mysqld_db_t, file_type, sysadmfile;

log_domain(mysqld)

# for temporary tables
tmp_domain(mysqld)

allow mysqld_t usr_t:file { getattr read };

allow mysqld_t self:fifo_file { read write };
allow mysqld_t self:unix_stream_socket create_stream_socket_perms;
allow initrc_t mysqld_t:unix_stream_socket connectto;
allow initrc_t mysqld_var_run_t:sock_file write;

allow initrc_t mysqld_log_t:file { write append setattr ioctl };

allow mysqld_t self:capability { dac_override setgid setuid };
allow mysqld_t self:process getsched;

allow mysqld_t proc_t:file { getattr read };

# Allow access to the mysqld databases
create_dir_file(mysqld_t, mysqld_db_t)
allow mysqld_t var_lib_t:dir { getattr search };

can_network(mysqld_t)
can_ypbind(mysqld_t)

# read config files
r_dir_file(initrc_t, mysqld_etc_t)
allow mysqld_t { etc_t etc_runtime_t }:{ file lnk_file } { read getattr };

allow mysqld_t etc_t:dir search;

allow mysqld_t sysctl_kernel_t:dir search;
allow mysqld_t sysctl_kernel_t:file read;

can_unix_connect(sysadm_t, mysqld_t)

# for /root/.my.cnf - should not be needed
allow mysqld_t sysadm_home_dir_t:dir search;
allow mysqld_t sysadm_home_t:file { read getattr };

ifdef(`logrotate.te', `
r_dir_file(logrotate_t, mysqld_etc_t)
allow logrotate_t mysqld_db_t:dir search;
allow logrotate_t mysqld_var_run_t:dir search;
allow logrotate_t mysqld_var_run_t:sock_file write;
can_unix_connect(logrotate_t, mysqld_t)
')

ifdef(`user_db_connect', `
allow userdomain mysqld_var_run_t:dir search;
allow userdomain mysqld_var_run_t:sock_file write;
')

ifdef(`daemontools.te', `
domain_auto_trans( svc_run_t, mysqld_exec_t, mysqld_t)
allow svc_start_t mysqld_t:process signal;
svc_ipc_domain(mysqld_t)
')dnl end ifdef daemontools

ifdef(`distro_redhat', `
allow initrc_t mysqld_db_t:dir create_dir_perms;

# because Fedora has the sock_file in the database directory
file_type_auto_trans(mysqld_t, mysqld_db_t, mysqld_var_run_t, sock_file)
')

---

• Follow-Ups:
  • • From: dragoran

• References:
  • • From: dragoran

[][]   [][]   [] [] []

Chinaunix首页 | 论坛 | 博客

博文 博主

ELM's Blogwenzk.blog.chinaunix.net

• 4月28日14:30-20:30机房服务器迁移，暂停博客使用
• 9/30日 14:00 -10/4日 08:00暂时无法发布内容！
• 9/30日 14:00 -10/4日 08:00暂时无法发布内容！

首页　| 　博文目录　| 　关于我

wenzk

• 博客访问： 7683619
• 博文数量： 637
• 博客积分： 10265
• 博客等级： 上将
• 技术积分： 6165
• 用 户 组： 普通用户
• 注册时间： 2004-12-12 22:00

文章分类

全部博文（637）

• 程序设计（9）
• Solaris系统（22）
• 数码相机（8）
• IT新技术（11）
• DNS相关（16）
• Office相关（13）
• OpenVPN（2）
• 供电系统（9）
• 工作相关（79）
• BSD杂谈（46）
• 数据库相关（35）
• 乱七八糟（31）
• Linux系统相关（224）
• 自娱自乐（19）
• 邮件系统相关（39）
• 计算机网络（73）
• 未分配的博文（1）

文章存档

2011年（1）

• 2011年07月（1）

2010年（1）

• 2010年02月（1）

2009年（3）

• 2009年09月（2）
• 2009年05月（1）

2008年（12）

• 2008年06月（1）
• 2008年04月（9）
• 2008年03月（1）
• 2008年01月（1）

2007年（44）

• 2007年11月（2）
• 2007年10月（1）
• 2007年09月（1）
• 2007年07月（1）
• 2007年06月（11）
• 2007年05月（4）
• 2007年04月（5）
• 2007年03月（13）
• 2007年01月（6）

2006年（156）

• 2006年11月（3）
• 2006年10月（8）
• 2006年09月（1）
• 2006年08月（8）
• 2006年06月（12）
• 2006年05月（12）
• 2006年04月（4）
• 2006年03月（25）
• 2006年02月（24）
• 2006年01月（59）

2005年（419）

• 2005年12月（55）
• 2005年11月（20）
• 2005年10月（79）
• 2005年09月（11）
• 2005年08月（22）
• 2005年07月（44）
• 2005年06月（81）
• 2005年05月（48）
• 2005年04月（11）
• 2005年03月（48）

2004年（1）

• 2004年12月（1）

我的朋友

• 

  一鸣雨

• 

  叶绍琛

• 

  大鬼不动

• 

  myeer

• 

  chbljy12

• 

  flashfir

• 

  techim

• 

  非洲乌龟

• 

  wangzhan

最近访客

• 

  beyand81

• 

  lyg111

• 

  khls27

• 

  gaokeke1

• 

  5sky

• 

  suixiaof

• 

  djx2020

• 

  cynthia

• 

  浪花小雨

推荐博文

• ·ORACLE SQL overlap时间段重...
• ·Rust入门到精通(三）—— 不...
• ·Oracle 1582-10-07问题
• ·1：Python开发：初识Python...
• ·ORACLE物理结构

相关博文

• ·通过内置FTP服务共享本地文件...
• ·Jtti：教你如何远程管理Linux...
• ·Linux中如何删除文件和目录？...
• ·百度搜索：蓝易云 - k8s部署n...
• ·百度搜索：蓝易云 - DNS部署...
• ·SQL数据库的错误处理机制是怎...
• ·Ubuntu linux 命令总结
• ·内网穿透详解：从传统方式到P...
• ·CentOS设置单用户模式快速修...
• ·FMEA在网络安全中的应用实践...

PHP cannot connect to mysql server (FC3 SELinux)

分类： LINUX

2006-02-26 08:48:42

---

[][]   [][]   [] [] []

Re: PHP cannot connect to mysql server

---

• From: Daniel J Walsh
• To: "Fedora SELinux support list for users & developers."
• Subject: Re: PHP cannot connect to mysql server
• Date: Wed, 10 Nov 2004 10:52:22 -0500

---

dragoran wrote:

I am running FC3 with selinux on targeted policy. When PHP tryies to connect to the mysql server i get this messages in dmesg:
sbin/httpd name=mysql.sock dev=hda3 ino=309535 scontext=user_u:system_r:httpd_t tcontext=user_u:object_r:var_lib_t tclass=sock_file
Disabling SELinux for Apache fix this, but I want to run httpd with selinux.
So how can i fix this?

--
fedora-selinux-list mailing list
fedora-selinux-list redhat com

A couple of things to try.

I am thinking of adding mysqld.te file to targeted policy. (attached)

You can try to use it by doing the following

   * Install selinux-policy-targeted-sources.
   * yum install selinux-policy-targeted-sources
   * cd /etc/selinux/targeted/src/policy
   * cp MYSQLD.te domains/program/
   * make load
   * rpm -q -l mysql | restorecon -R -f -
   * service mysql restart

Or you can just add the ability to write to sock_files in var lib.

   * Install selinux-policy-targeted-sources.
   * yum install selinux-policy-targeted-sources
   * cd /etc/selinux/targeted/src/policy
   * echo "allow httpd_t var_lib_t:sock_file rw_socket_perms;" >
     domains/program/httpd_socket.te
   * make load

#DESC Mysqld - Database server
#
# Author:  Russell Coker 
# X-Debian-Packages: mysql-server
#

#################################
#
# Rules for the mysqld_t domain.
#
# mysqld_exec_t is the type of the mysqld executable.
#
daemon_domain(mysqld)

type mysqld_port_t, port_type;
allow mysqld_t mysqld_port_t:tcp_socket name_bind;

allow mysqld_t mysqld_var_run_t:sock_file create_file_perms;

etcdir_domain(mysqld)
typealias mysqld_etc_t alias etc_mysqld_t;
type mysqld_db_t, file_type, sysadmfile;

log_domain(mysqld)

# for temporary tables
tmp_domain(mysqld)

allow mysqld_t usr_t:file { getattr read };

allow mysqld_t self:fifo_file { read write };
allow mysqld_t self:unix_stream_socket create_stream_socket_perms;
allow initrc_t mysqld_t:unix_stream_socket connectto;
allow initrc_t mysqld_var_run_t:sock_file write;

allow initrc_t mysqld_log_t:file { write append setattr ioctl };

allow mysqld_t self:capability { dac_override setgid setuid };
allow mysqld_t self:process getsched;

allow mysqld_t proc_t:file { getattr read };

# Allow access to the mysqld databases
create_dir_file(mysqld_t, mysqld_db_t)
allow mysqld_t var_lib_t:dir { getattr search };

can_network(mysqld_t)
can_ypbind(mysqld_t)

# read config files
r_dir_file(initrc_t, mysqld_etc_t)
allow mysqld_t { etc_t etc_runtime_t }:{ file lnk_file } { read getattr };

allow mysqld_t etc_t:dir search;

allow mysqld_t sysctl_kernel_t:dir search;
allow mysqld_t sysctl_kernel_t:file read;

can_unix_connect(sysadm_t, mysqld_t)

# for /root/.my.cnf - should not be needed
allow mysqld_t sysadm_home_dir_t:dir search;
allow mysqld_t sysadm_home_t:file { read getattr };

ifdef(`logrotate.te', `
r_dir_file(logrotate_t, mysqld_etc_t)
allow logrotate_t mysqld_db_t:dir search;
allow logrotate_t mysqld_var_run_t:dir search;
allow logrotate_t mysqld_var_run_t:sock_file write;
can_unix_connect(logrotate_t, mysqld_t)
')

ifdef(`user_db_connect', `
allow userdomain mysqld_var_run_t:dir search;
allow userdomain mysqld_var_run_t:sock_file write;
')

ifdef(`daemontools.te', `
domain_auto_trans( svc_run_t, mysqld_exec_t, mysqld_t)
allow svc_start_t mysqld_t:process signal;
svc_ipc_domain(mysqld_t)
')dnl end ifdef daemontools

ifdef(`distro_redhat', `
allow initrc_t mysqld_db_t:dir create_dir_perms;

# because Fedora has the sock_file in the database directory
file_type_auto_trans(mysqld_t, mysqld_db_t, mysqld_var_run_t, sock_file)
')

---

• Follow-Ups:
  • • From: dragoran

• References:
  • • From: dragoran

[][]   [][]   [] [] []

Chinaunix首页 | 论坛 | 博客

博文 博主

ELM's Blogwenzk.blog.chinaunix.net

• 4月28日14:30-20:30机房服务器迁移，暂停博客使用
• 9/30日 14:00 -10/4日 08:00暂时无法发布内容！
• 9/30日 14:00 -10/4日 08:00暂时无法发布内容！

首页　| 　博文目录　| 　关于我

wenzk

• 博客访问： 7683620
• 博文数量： 637
• 博客积分： 10265
• 博客等级： 上将
• 技术积分： 6165
• 用 户 组： 普通用户
• 注册时间： 2004-12-12 22:00

文章分类

全部博文（637）

• 程序设计（9）
• Solaris系统（22）
• 数码相机（8）
• IT新技术（11）
• DNS相关（16）
• Office相关（13）
• OpenVPN（2）
• 供电系统（9）
• 工作相关（79）
• BSD杂谈（46）
• 数据库相关（35）
• 乱七八糟（31）
• Linux系统相关（224）
• 自娱自乐（19）
• 邮件系统相关（39）
• 计算机网络（73）
• 未分配的博文（1）

文章存档

2011年（1）

• 2011年07月（1）

2010年（1）

• 2010年02月（1）

2009年（3）

• 2009年09月（2）
• 2009年05月（1）

2008年（12）

• 2008年06月（1）
• 2008年04月（9）
• 2008年03月（1）
• 2008年01月（1）

2007年（44）

• 2007年11月（2）
• 2007年10月（1）
• 2007年09月（1）
• 2007年07月（1）
• 2007年06月（11）
• 2007年05月（4）
• 2007年04月（5）
• 2007年03月（13）
• 2007年01月（6）

2006年（156）

• 2006年11月（3）
• 2006年10月（8）
• 2006年09月（1）
• 2006年08月（8）
• 2006年06月（12）
• 2006年05月（12）
• 2006年04月（4）
• 2006年03月（25）
• 2006年02月（24）
• 2006年01月（59）

2005年（419）

• 2005年12月（55）
• 2005年11月（20）
• 2005年10月（79）
• 2005年09月（11）
• 2005年08月（22）
• 2005年07月（44）
• 2005年06月（81）
• 2005年05月（48）
• 2005年04月（11）
• 2005年03月（48）

2004年（1）

• 2004年12月（1）

我的朋友

• 

  一鸣雨

• 

  叶绍琛

• 

  大鬼不动

• 

  myeer

• 

  chbljy12

• 

  flashfir

• 

  techim

• 

  非洲乌龟

• 

  wangzhan

最近访客

• 

  beyand81

• 

  lyg111

• 

  khls27

• 

  gaokeke1

• 

  5sky

• 

  suixiaof

• 

  djx2020

• 

  cynthia

• 

  浪花小雨

推荐博文

• ·ORACLE SQL overlap时间段重...
• ·Rust入门到精通(三）—— 不...
• ·Oracle 1582-10-07问题
• ·1：Python开发：初识Python...
• ·ORACLE物理结构

相关博文

• ·通过内置FTP服务共享本地文件...
• ·Jtti：教你如何远程管理Linux...
• ·Linux中如何删除文件和目录？...
• ·百度搜索：蓝易云 - k8s部署n...
• ·百度搜索：蓝易云 - DNS部署...
• ·SQL数据库的错误处理机制是怎...
• ·Ubuntu linux 命令总结
• ·内网穿透详解：从传统方式到P...
• ·CentOS设置单用户模式快速修...
• ·FMEA在网络安全中的应用实践...

PHP cannot connect to mysql server (FC3 SELinux)

分类： LINUX

2006-02-26 08:48:42

---

[][]   [][]   [] [] []

Re: PHP cannot connect to mysql server

---

• From: Daniel J Walsh
• To: "Fedora SELinux support list for users & developers."
• Subject: Re: PHP cannot connect to mysql server
• Date: Wed, 10 Nov 2004 10:52:22 -0500

---

dragoran wrote:

I am running FC3 with selinux on targeted policy. When PHP tryies to connect to the mysql server i get this messages in dmesg:
sbin/httpd name=mysql.sock dev=hda3 ino=309535 scontext=user_u:system_r:httpd_t tcontext=user_u:object_r:var_lib_t tclass=sock_file
Disabling SELinux for Apache fix this, but I want to run httpd with selinux.
So how can i fix this?

--
fedora-selinux-list mailing list
fedora-selinux-list redhat com

A couple of things to try.

I am thinking of adding mysqld.te file to targeted policy. (attached)

You can try to use it by doing the following

   * Install selinux-policy-targeted-sources.
   * yum install selinux-policy-targeted-sources
   * cd /etc/selinux/targeted/src/policy
   * cp MYSQLD.te domains/program/
   * make load
   * rpm -q -l mysql | restorecon -R -f -
   * service mysql restart

Or you can just add the ability to write to sock_files in var lib.

   * Install selinux-policy-targeted-sources.
   * yum install selinux-policy-targeted-sources
   * cd /etc/selinux/targeted/src/policy
   * echo "allow httpd_t var_lib_t:sock_file rw_socket_perms;" >
     domains/program/httpd_socket.te
   * make load

#DESC Mysqld - Database server
#
# Author:  Russell Coker 
# X-Debian-Packages: mysql-server
#

#################################
#
# Rules for the mysqld_t domain.
#
# mysqld_exec_t is the type of the mysqld executable.
#
daemon_domain(mysqld)

type mysqld_port_t, port_type;
allow mysqld_t mysqld_port_t:tcp_socket name_bind;

allow mysqld_t mysqld_var_run_t:sock_file create_file_perms;

etcdir_domain(mysqld)
typealias mysqld_etc_t alias etc_mysqld_t;
type mysqld_db_t, file_type, sysadmfile;

log_domain(mysqld)

# for temporary tables
tmp_domain(mysqld)

allow mysqld_t usr_t:file { getattr read };

allow mysqld_t self:fifo_file { read write };
allow mysqld_t self:unix_stream_socket create_stream_socket_perms;
allow initrc_t mysqld_t:unix_stream_socket connectto;
allow initrc_t mysqld_var_run_t:sock_file write;

allow initrc_t mysqld_log_t:file { write append setattr ioctl };

allow mysqld_t self:capability { dac_override setgid setuid };
allow mysqld_t self:process getsched;

allow mysqld_t proc_t:file { getattr read };

# Allow access to the mysqld databases
create_dir_file(mysqld_t, mysqld_db_t)
allow mysqld_t var_lib_t:dir { getattr search };

can_network(mysqld_t)
can_ypbind(mysqld_t)

# read config files
r_dir_file(initrc_t, mysqld_etc_t)
allow mysqld_t { etc_t etc_runtime_t }:{ file lnk_file } { read getattr };

allow mysqld_t etc_t:dir search;

allow mysqld_t sysctl_kernel_t:dir search;
allow mysqld_t sysctl_kernel_t:file read;

can_unix_connect(sysadm_t, mysqld_t)

# for /root/.my.cnf - should not be needed
allow mysqld_t sysadm_home_dir_t:dir search;
allow mysqld_t sysadm_home_t:file { read getattr };

ifdef(`logrotate.te', `
r_dir_file(logrotate_t, mysqld_etc_t)
allow logrotate_t mysqld_db_t:dir search;
allow logrotate_t mysqld_var_run_t:dir search;
allow logrotate_t mysqld_var_run_t:sock_file write;
can_unix_connect(logrotate_t, mysqld_t)
')

ifdef(`user_db_connect', `
allow userdomain mysqld_var_run_t:dir search;
allow userdomain mysqld_var_run_t:sock_file write;
')

ifdef(`daemontools.te', `
domain_auto_trans( svc_run_t, mysqld_exec_t, mysqld_t)
allow svc_start_t mysqld_t:process signal;
svc_ipc_domain(mysqld_t)
')dnl end ifdef daemontools

ifdef(`distro_redhat', `
allow initrc_t mysqld_db_t:dir create_dir_perms;

# because Fedora has the sock_file in the database directory
file_type_auto_trans(mysqld_t, mysqld_db_t, mysqld_var_run_t, sock_file)
')

---

• Follow-Ups:
  • • From: dragoran

• References:
  • • From: dragoran

[][]   [][]   [] [] []

Chinaunix首页 | 论坛 | 博客

博文 博主

ELM's Blogwenzk.blog.chinaunix.net

• 4月28日14:30-20:30机房服务器迁移，暂停博客使用
• 9/30日 14:00 -10/4日 08:00暂时无法发布内容！
• 9/30日 14:00 -10/4日 08:00暂时无法发布内容！

首页　| 　博文目录　| 　关于我

wenzk

• 博客访问： 7683621
• 博文数量： 637
• 博客积分： 10265
• 博客等级： 上将
• 技术积分： 6165
• 用 户 组： 普通用户
• 注册时间： 2004-12-12 22:00

文章分类

全部博文（637）

• 程序设计（9）
• Solaris系统（22）
• 数码相机（8）
• IT新技术（11）
• DNS相关（16）
• Office相关（13）
• OpenVPN（2）
• 供电系统（9）
• 工作相关（79）
• BSD杂谈（46）
• 数据库相关（35）
• 乱七八糟（31）
• Linux系统相关（224）
• 自娱自乐（19）
• 邮件系统相关（39）
• 计算机网络（73）
• 未分配的博文（1）

文章存档

2011年（1）

• 2011年07月（1）

2010年（1）

• 2010年02月（1）

2009年（3）

• 2009年09月（2）
• 2009年05月（1）

2008年（12）

• 2008年06月（1）
• 2008年04月（9）
• 2008年03月（1）
• 2008年01月（1）

2007年（44）

• 2007年11月（2）
• 2007年10月（1）
• 2007年09月（1）
• 2007年07月（1）
• 2007年06月（11）
• 2007年05月（4）
• 2007年04月（5）
• 2007年03月（13）
• 2007年01月（6）

2006年（156）

• 2006年11月（3）
• 2006年10月（8）
• 2006年09月（1）
• 2006年08月（8）
• 2006年06月（12）
• 2006年05月（12）
• 2006年04月（4）
• 2006年03月（25）
• 2006年02月（24）
• 2006年01月（59）

2005年（419）

• 2005年12月（55）
• 2005年11月（20）
• 2005年10月（79）
• 2005年09月（11）
• 2005年08月（22）
• 2005年07月（44）
• 2005年06月（81）
• 2005年05月（48）
• 2005年04月（11）
• 2005年03月（48）

2004年（1）

• 2004年12月（1）

我的朋友

• 

  一鸣雨

• 

  叶绍琛

• 

  大鬼不动

• 

  myeer

• 

  chbljy12

• 

  flashfir

• 

  techim

• 

  非洲乌龟

• 

  wangzhan

最近访客

• 

  beyand81

• 

  lyg111

• 

  khls27

• 

  gaokeke1

• 

  5sky

• 

  suixiaof

• 

  djx2020

• 

  cynthia

• 

  浪花小雨

推荐博文

• ·ORACLE SQL overlap时间段重...
• ·Rust入门到精通(三）—— 不...
• ·Oracle 1582-10-07问题
• ·1：Python开发：初识Python...
• ·ORACLE物理结构

相关博文

• ·通过内置FTP服务共享本地文件...
• ·Jtti：教你如何远程管理Linux...
• ·Linux中如何删除文件和目录？...
• ·百度搜索：蓝易云 - k8s部署n...
• ·百度搜索：蓝易云 - DNS部署...
• ·SQL数据库的错误处理机制是怎...
• ·Ubuntu linux 命令总结
• ·内网穿透详解：从传统方式到P...
• ·CentOS设置单用户模式快速修...
• ·FMEA在网络安全中的应用实践...

PHP cannot connect to mysql server (FC3 SELinux)

分类： LINUX

2006-02-26 08:48:42

---

[][]   [][]   [] [] []

Re: PHP cannot connect to mysql server

---

• From: Daniel J Walsh
• To: "Fedora SELinux support list for users & developers."
• Subject: Re: PHP cannot connect to mysql server
• Date: Wed, 10 Nov 2004 10:52:22 -0500

---

dragoran wrote:

I am running FC3 with selinux on targeted policy. When PHP tryies to connect to the mysql server i get this messages in dmesg:
sbin/httpd name=mysql.sock dev=hda3 ino=309535 scontext=user_u:system_r:httpd_t tcontext=user_u:object_r:var_lib_t tclass=sock_file
Disabling SELinux for Apache fix this, but I want to run httpd with selinux.
So how can i fix this?

--
fedora-selinux-list mailing list
fedora-selinux-list redhat com

A couple of things to try.

I am thinking of adding mysqld.te file to targeted policy. (attached)

You can try to use it by doing the following

   * Install selinux-policy-targeted-sources.
   * yum install selinux-policy-targeted-sources
   * cd /etc/selinux/targeted/src/policy
   * cp MYSQLD.te domains/program/
   * make load
   * rpm -q -l mysql | restorecon -R -f -
   * service mysql restart

Or you can just add the ability to write to sock_files in var lib.

   * Install selinux-policy-targeted-sources.
   * yum install selinux-policy-targeted-sources
   * cd /etc/selinux/targeted/src/policy
   * echo "allow httpd_t var_lib_t:sock_file rw_socket_perms;" >
     domains/program/httpd_socket.te
   * make load

#DESC Mysqld - Database server
#
# Author:  Russell Coker 
# X-Debian-Packages: mysql-server
#

#################################
#
# Rules for the mysqld_t domain.
#
# mysqld_exec_t is the type of the mysqld executable.
#
daemon_domain(mysqld)

type mysqld_port_t, port_type;
allow mysqld_t mysqld_port_t:tcp_socket name_bind;

allow mysqld_t mysqld_var_run_t:sock_file create_file_perms;

etcdir_domain(mysqld)
typealias mysqld_etc_t alias etc_mysqld_t;
type mysqld_db_t, file_type, sysadmfile;

log_domain(mysqld)

# for temporary tables
tmp_domain(mysqld)

allow mysqld_t usr_t:file { getattr read };

allow mysqld_t self:fifo_file { read write };
allow mysqld_t self:unix_stream_socket create_stream_socket_perms;
allow initrc_t mysqld_t:unix_stream_socket connectto;
allow initrc_t mysqld_var_run_t:sock_file write;

allow initrc_t mysqld_log_t:file { write append setattr ioctl };

allow mysqld_t self:capability { dac_override setgid setuid };
allow mysqld_t self:process getsched;

allow mysqld_t proc_t:file { getattr read };

# Allow access to the mysqld databases
create_dir_file(mysqld_t, mysqld_db_t)
allow mysqld_t var_lib_t:dir { getattr search };

can_network(mysqld_t)
can_ypbind(mysqld_t)

# read config files
r_dir_file(initrc_t, mysqld_etc_t)
allow mysqld_t { etc_t etc_runtime_t }:{ file lnk_file } { read getattr };

allow mysqld_t etc_t:dir search;

allow mysqld_t sysctl_kernel_t:dir search;
allow mysqld_t sysctl_kernel_t:file read;

can_unix_connect(sysadm_t, mysqld_t)

# for /root/.my.cnf - should not be needed
allow mysqld_t sysadm_home_dir_t:dir search;
allow mysqld_t sysadm_home_t:file { read getattr };

ifdef(`logrotate.te', `
r_dir_file(logrotate_t, mysqld_etc_t)
allow logrotate_t mysqld_db_t:dir search;
allow logrotate_t mysqld_var_run_t:dir search;
allow logrotate_t mysqld_var_run_t:sock_file write;
can_unix_connect(logrotate_t, mysqld_t)
')

ifdef(`user_db_connect', `
allow userdomain mysqld_var_run_t:dir search;
allow userdomain mysqld_var_run_t:sock_file write;
')

ifdef(`daemontools.te', `
domain_auto_trans( svc_run_t, mysqld_exec_t, mysqld_t)
allow svc_start_t mysqld_t:process signal;
svc_ipc_domain(mysqld_t)
')dnl end ifdef daemontools

ifdef(`distro_redhat', `
allow initrc_t mysqld_db_t:dir create_dir_perms;

# because Fedora has the sock_file in the database directory
file_type_auto_trans(mysqld_t, mysqld_db_t, mysqld_var_run_t, sock_file)
')

---

• Follow-Ups:
  • • From: dragoran

• References:
  • • From: dragoran

[][]   [][]   [] [] []

Chinaunix首页 | 论坛 | 博客

博文 博主

ELM's Blogwenzk.blog.chinaunix.net

• 4月28日14:30-20:30机房服务器迁移，暂停博客使用
• 9/30日 14:00 -10/4日 08:00暂时无法发布内容！
• 9/30日 14:00 -10/4日 08:00暂时无法发布内容！

首页　| 　博文目录　| 　关于我

wenzk

• 博客访问： 7683622
• 博文数量： 637
• 博客积分： 10265
• 博客等级： 上将
• 技术积分： 6165
• 用 户 组： 普通用户
• 注册时间： 2004-12-12 22:00

文章分类

全部博文（637）

• 程序设计（9）
• Solaris系统（22）
• 数码相机（8）
• IT新技术（11）
• DNS相关（16）
• Office相关（13）
• OpenVPN（2）
• 供电系统（9）
• 工作相关（79）
• BSD杂谈（46）
• 数据库相关（35）
• 乱七八糟（31）
• Linux系统相关（224）
• 自娱自乐（19）
• 邮件系统相关（39）
• 计算机网络（73）
• 未分配的博文（1）

文章存档

2011年（1）

• 2011年07月（1）

2010年（1）

• 2010年02月（1）

2009年（3）

• 2009年09月（2）
• 2009年05月（1）

2008年（12）

• 2008年06月（1）
• 2008年04月（9）
• 2008年03月（1）
• 2008年01月（1）

2007年（44）

• 2007年11月（2）
• 2007年10月（1）
• 2007年09月（1）
• 2007年07月（1）
• 2007年06月（11）
• 2007年05月（4）
• 2007年04月（5）
• 2007年03月（13）
• 2007年01月（6）

2006年（156）

• 2006年11月（3）
• 2006年10月（8）
• 2006年09月（1）
• 2006年08月（8）
• 2006年06月（12）
• 2006年05月（12）
• 2006年04月（4）
• 2006年03月（25）
• 2006年02月（24）
• 2006年01月（59）

2005年（419）

• 2005年12月（55）
• 2005年11月（20）
• 2005年10月（79）
• 2005年09月（11）
• 2005年08月（22）
• 2005年07月（44）
• 2005年06月（81）
• 2005年05月（48）
• 2005年04月（11）
• 2005年03月（48）

2004年（1）

• 2004年12月（1）

我的朋友

• 

  一鸣雨

• 

  叶绍琛

• 

  大鬼不动

• 

  myeer

• 

  chbljy12

• 

  flashfir

• 

  techim

• 

  非洲乌龟

• 

  wangzhan

最近访客

• 

  beyand81

• 

  lyg111

• 

  khls27

• 

  gaokeke1

• 

  5sky

• 

  suixiaof

• 

  djx2020

• 

  cynthia

• 

  浪花小雨

推荐博文

• ·ORACLE SQL overlap时间段重...
• ·Rust入门到精通(三）—— 不...
• ·Oracle 1582-10-07问题
• ·1：Python开发：初识Python...
• ·ORACLE物理结构

相关博文

• ·通过内置FTP服务共享本地文件...
• ·Jtti：教你如何远程管理Linux...
• ·Linux中如何删除文件和目录？...
• ·百度搜索：蓝易云 - k8s部署n...
• ·百度搜索：蓝易云 - DNS部署...
• ·SQL数据库的错误处理机制是怎...
• ·Ubuntu linux 命令总结
• ·内网穿透详解：从传统方式到P...
• ·CentOS设置单用户模式快速修...
• ·FMEA在网络安全中的应用实践...

PHP cannot connect to mysql server (FC3 SELinux)

分类： LINUX

2006-02-26 08:48:42

---

[][]   [][]   [] [] []

Re: PHP cannot connect to mysql server

---

• From: Daniel J Walsh
• To: "Fedora SELinux support list for users & developers."
• Subject: Re: PHP cannot connect to mysql server
• Date: Wed, 10 Nov 2004 10:52:22 -0500

---

dragoran wrote:

I am running FC3 with selinux on targeted policy. When PHP tryies to connect to the mysql server i get this messages in dmesg:
sbin/httpd name=mysql.sock dev=hda3 ino=309535 scontext=user_u:system_r:httpd_t tcontext=user_u:object_r:var_lib_t tclass=sock_file
Disabling SELinux for Apache fix this, but I want to run httpd with selinux.
So how can i fix this?

--
fedora-selinux-list mailing list
fedora-selinux-list redhat com

A couple of things to try.

I am thinking of adding mysqld.te file to targeted policy. (attached)

You can try to use it by doing the following

   * Install selinux-policy-targeted-sources.
   * yum install selinux-policy-targeted-sources
   * cd /etc/selinux/targeted/src/policy
   * cp MYSQLD.te domains/program/
   * make load
   * rpm -q -l mysql | restorecon -R -f -
   * service mysql restart

Or you can just add the ability to write to sock_files in var lib.

   * Install selinux-policy-targeted-sources.
   * yum install selinux-policy-targeted-sources
   * cd /etc/selinux/targeted/src/policy
   * echo "allow httpd_t var_lib_t:sock_file rw_socket_perms;" >
     domains/program/httpd_socket.te
   * make load

#DESC Mysqld - Database server
#
# Author:  Russell Coker 
# X-Debian-Packages: mysql-server
#

#################################
#
# Rules for the mysqld_t domain.
#
# mysqld_exec_t is the type of the mysqld executable.
#
daemon_domain(mysqld)

type mysqld_port_t, port_type;
allow mysqld_t mysqld_port_t:tcp_socket name_bind;

allow mysqld_t mysqld_var_run_t:sock_file create_file_perms;

etcdir_domain(mysqld)
typealias mysqld_etc_t alias etc_mysqld_t;
type mysqld_db_t, file_type, sysadmfile;

log_domain(mysqld)

# for temporary tables
tmp_domain(mysqld)

allow mysqld_t usr_t:file { getattr read };

allow mysqld_t self:fifo_file { read write };
allow mysqld_t self:unix_stream_socket create_stream_socket_perms;
allow initrc_t mysqld_t:unix_stream_socket connectto;
allow initrc_t mysqld_var_run_t:sock_file write;

allow initrc_t mysqld_log_t:file { write append setattr ioctl };

allow mysqld_t self:capability { dac_override setgid setuid };
allow mysqld_t self:process getsched;

allow mysqld_t proc_t:file { getattr read };

# Allow access to the mysqld databases
create_dir_file(mysqld_t, mysqld_db_t)
allow mysqld_t var_lib_t:dir { getattr search };

can_network(mysqld_t)
can_ypbind(mysqld_t)

# read config files
r_dir_file(initrc_t, mysqld_etc_t)
allow mysqld_t { etc_t etc_runtime_t }:{ file lnk_file } { read getattr };

allow mysqld_t etc_t:dir search;

allow mysqld_t sysctl_kernel_t:dir search;
allow mysqld_t sysctl_kernel_t:file read;

can_unix_connect(sysadm_t, mysqld_t)

# for /root/.my.cnf - should not be needed
allow mysqld_t sysadm_home_dir_t:dir search;
allow mysqld_t sysadm_home_t:file { read getattr };

ifdef(`logrotate.te', `
r_dir_file(logrotate_t, mysqld_etc_t)
allow logrotate_t mysqld_db_t:dir search;
allow logrotate_t mysqld_var_run_t:dir search;
allow logrotate_t mysqld_var_run_t:sock_file write;
can_unix_connect(logrotate_t, mysqld_t)
')

ifdef(`user_db_connect', `
allow userdomain mysqld_var_run_t:dir search;
allow userdomain mysqld_var_run_t:sock_file write;
')

ifdef(`daemontools.te', `
domain_auto_trans( svc_run_t, mysqld_exec_t, mysqld_t)
allow svc_start_t mysqld_t:process signal;
svc_ipc_domain(mysqld_t)
')dnl end ifdef daemontools

ifdef(`distro_redhat', `
allow initrc_t mysqld_db_t:dir create_dir_perms;

# because Fedora has the sock_file in the database directory
file_type_auto_trans(mysqld_t, mysqld_db_t, mysqld_var_run_t, sock_file)
')

---

• Follow-Ups:
  • • From: dragoran

• References:
  • • From: dragoran

[][]   [][]   [] [] []

Chinaunix首页 | 论坛 | 博客

博文 博主

ELM's Blogwenzk.blog.chinaunix.net

• 4月28日14:30-20:30机房服务器迁移，暂停博客使用
• 9/30日 14:00 -10/4日 08:00暂时无法发布内容！
• 9/30日 14:00 -10/4日 08:00暂时无法发布内容！

首页　| 　博文目录　| 　关于我

wenzk

• 博客访问： 7683623
• 博文数量： 637
• 博客积分： 10265
• 博客等级： 上将
• 技术积分： 6165
• 用 户 组： 普通用户
• 注册时间： 2004-12-12 22:00

文章分类

全部博文（637）

• 程序设计（9）
• Solaris系统（22）
• 数码相机（8）
• IT新技术（11）
• DNS相关（16）
• Office相关（13）
• OpenVPN（2）
• 供电系统（9）
• 工作相关（79）
• BSD杂谈（46）
• 数据库相关（35）
• 乱七八糟（31）
• Linux系统相关（224）
• 自娱自乐（19）
• 邮件系统相关（39）
• 计算机网络（73）
• 未分配的博文（1）

文章存档

2011年（1）

• 2011年07月（1）

2010年（1）

• 2010年02月（1）

2009年（3）

• 2009年09月（2）
• 2009年05月（1）

2008年（12）

• 2008年06月（1）
• 2008年04月（9）
• 2008年03月（1）
• 2008年01月（1）

2007年（44）

• 2007年11月（2）
• 2007年10月（1）
• 2007年09月（1）
• 2007年07月（1）
• 2007年06月（11）
• 2007年05月（4）
• 2007年04月（5）
• 2007年03月（13）
• 2007年01月（6）

2006年（156）

• 2006年11月（3）
• 2006年10月（8）
• 2006年09月（1）
• 2006年08月（8）
• 2006年06月（12）
• 2006年05月（12）
• 2006年04月（4）
• 2006年03月（25）
• 2006年02月（24）
• 2006年01月（59）

2005年（419）

• 2005年12月（55）
• 2005年11月（20）
• 2005年10月（79）
• 2005年09月（11）
• 2005年08月（22）
• 2005年07月（44）
• 2005年06月（81）
• 2005年05月（48）
• 2005年04月（11）
• 2005年03月（48）

2004年（1）

• 2004年12月（1）

我的朋友

• 

  一鸣雨

• 

  叶绍琛

• 

  大鬼不动

• 

  myeer

• 

  chbljy12

• 

  flashfir

• 

  techim

• 

  非洲乌龟

• 

  wangzhan

最近访客

• 

  beyand81

• 

  lyg111

• 

  khls27

• 

  gaokeke1

• 

  5sky

• 

  suixiaof

• 

  djx2020

• 

  cynthia

• 

  浪花小雨

推荐博文

• ·ORACLE SQL overlap时间段重...
• ·Rust入门到精通(三）—— 不...
• ·Oracle 1582-10-07问题
• ·1：Python开发：初识Python...
• ·ORACLE物理结构

相关博文

• ·通过内置FTP服务共享本地文件...
• ·Jtti：教你如何远程管理Linux...
• ·Linux中如何删除文件和目录？...
• ·百度搜索：蓝易云 - k8s部署n...
• ·百度搜索：蓝易云 - DNS部署...
• ·SQL数据库的错误处理机制是怎...
• ·Ubuntu linux 命令总结
• ·内网穿透详解：从传统方式到P...
• ·CentOS设置单用户模式快速修...
• ·FMEA在网络安全中的应用实践...

PHP cannot connect to mysql server (FC3 SELinux)

分类： LINUX

2006-02-26 08:48:42

---

[][]   [][]   [] [] []

Re: PHP cannot connect to mysql server

---

• From: Daniel J Walsh
• To: "Fedora SELinux support list for users & developers."
• Subject: Re: PHP cannot connect to mysql server
• Date: Wed, 10 Nov 2004 10:52:22 -0500

---

dragoran wrote:

I am running FC3 with selinux on targeted policy. When PHP tryies to connect to the mysql server i get this messages in dmesg:
sbin/httpd name=mysql.sock dev=hda3 ino=309535 scontext=user_u:system_r:httpd_t tcontext=user_u:object_r:var_lib_t tclass=sock_file
Disabling SELinux for Apache fix this, but I want to run httpd with selinux.
So how can i fix this?

--
fedora-selinux-list mailing list
fedora-selinux-list redhat com

A couple of things to try.

I am thinking of adding mysqld.te file to targeted policy. (attached)

You can try to use it by doing the following

   * Install selinux-policy-targeted-sources.
   * yum install selinux-policy-targeted-sources
   * cd /etc/selinux/targeted/src/policy
   * cp MYSQLD.te domains/program/
   * make load
   * rpm -q -l mysql | restorecon -R -f -
   * service mysql restart

Or you can just add the ability to write to sock_files in var lib.

   * Install selinux-policy-targeted-sources.
   * yum install selinux-policy-targeted-sources
   * cd /etc/selinux/targeted/src/policy
   * echo "allow httpd_t var_lib_t:sock_file rw_socket_perms;" >
     domains/program/httpd_socket.te
   * make load

#DESC Mysqld - Database server
#
# Author:  Russell Coker 
# X-Debian-Packages: mysql-server
#

#################################
#
# Rules for the mysqld_t domain.
#
# mysqld_exec_t is the type of the mysqld executable.
#
daemon_domain(mysqld)

type mysqld_port_t, port_type;
allow mysqld_t mysqld_port_t:tcp_socket name_bind;

allow mysqld_t mysqld_var_run_t:sock_file create_file_perms;

etcdir_domain(mysqld)
typealias mysqld_etc_t alias etc_mysqld_t;
type mysqld_db_t, file_type, sysadmfile;

log_domain(mysqld)

# for temporary tables
tmp_domain(mysqld)

allow mysqld_t usr_t:file { getattr read };

allow mysqld_t self:fifo_file { read write };
allow mysqld_t self:unix_stream_socket create_stream_socket_perms;
allow initrc_t mysqld_t:unix_stream_socket connectto;
allow initrc_t mysqld_var_run_t:sock_file write;

allow initrc_t mysqld_log_t:file { write append setattr ioctl };

allow mysqld_t self:capability { dac_override setgid setuid };
allow mysqld_t self:process getsched;

allow mysqld_t proc_t:file { getattr read };

# Allow access to the mysqld databases
create_dir_file(mysqld_t, mysqld_db_t)
allow mysqld_t var_lib_t:dir { getattr search };

can_network(mysqld_t)
can_ypbind(mysqld_t)

# read config files
r_dir_file(initrc_t, mysqld_etc_t)
allow mysqld_t { etc_t etc_runtime_t }:{ file lnk_file } { read getattr };

allow mysqld_t etc_t:dir search;

allow mysqld_t sysctl_kernel_t:dir search;
allow mysqld_t sysctl_kernel_t:file read;

can_unix_connect(sysadm_t, mysqld_t)

# for /root/.my.cnf - should not be needed
allow mysqld_t sysadm_home_dir_t:dir search;
allow mysqld_t sysadm_home_t:file { read getattr };

ifdef(`logrotate.te', `
r_dir_file(logrotate_t, mysqld_etc_t)
allow logrotate_t mysqld_db_t:dir search;
allow logrotate_t mysqld_var_run_t:dir search;
allow logrotate_t mysqld_var_run_t:sock_file write;
can_unix_connect(logrotate_t, mysqld_t)
')

ifdef(`user_db_connect', `
allow userdomain mysqld_var_run_t:dir search;
allow userdomain mysqld_var_run_t:sock_file write;
')

ifdef(`daemontools.te', `
domain_auto_trans( svc_run_t, mysqld_exec_t, mysqld_t)
allow svc_start_t mysqld_t:process signal;
svc_ipc_domain(mysqld_t)
')dnl end ifdef daemontools

ifdef(`distro_redhat', `
allow initrc_t mysqld_db_t:dir create_dir_perms;

# because Fedora has the sock_file in the database directory
file_type_auto_trans(mysqld_t, mysqld_db_t, mysqld_var_run_t, sock_file)
')

---

• Follow-Ups:
  • • From: dragoran

• References:
  • • From: dragoran

[][]   [][]   [] [] []

Chinaunix首页 | 论坛 | 博客

博文 博主

ELM's Blogwenzk.blog.chinaunix.net

• 4月28日14:30-20:30机房服务器迁移，暂停博客使用
• 9/30日 14:00 -10/4日 08:00暂时无法发布内容！
• 9/30日 14:00 -10/4日 08:00暂时无法发布内容！

首页　| 　博文目录　| 　关于我

wenzk

• 博客访问： 7683624
• 博文数量： 637
• 博客积分： 10265
• 博客等级： 上将
• 技术积分： 6165
• 用 户 组： 普通用户
• 注册时间： 2004-12-12 22:00

文章分类

全部博文（637）

• 程序设计（9）
• Solaris系统（22）
• 数码相机（8）
• IT新技术（11）
• DNS相关（16）
• Office相关（13）
• OpenVPN（2）
• 供电系统（9）
• 工作相关（79）
• BSD杂谈（46）
• 数据库相关（35）
• 乱七八糟（31）
• Linux系统相关（224）
• 自娱自乐（19）
• 邮件系统相关（39）
• 计算机网络（73）
• 未分配的博文（1）

文章存档

2011年（1）

• 2011年07月（1）

2010年（1）

• 2010年02月（1）

2009年（3）

• 2009年09月（2）
• 2009年05月（1）

2008年（12）

• 2008年06月（1）
• 2008年04月（9）
• 2008年03月（1）
• 2008年01月（1）

2007年（44）

• 2007年11月（2）
• 2007年10月（1）
• 2007年09月（1）
• 2007年07月（1）
• 2007年06月（11）
• 2007年05月（4）
• 2007年04月（5）
• 2007年03月（13）
• 2007年01月（6）

2006年（156）

• 2006年11月（3）
• 2006年10月（8）
• 2006年09月（1）
• 2006年08月（8）
• 2006年06月（12）
• 2006年05月（12）
• 2006年04月（4）
• 2006年03月（25）
• 2006年02月（24）
• 2006年01月（59）

2005年（419）

• 2005年12月（55）
• 2005年11月（20）
• 2005年10月（79）
• 2005年09月（11）
• 2005年08月（22）
• 2005年07月（44）
• 2005年06月（81）
• 2005年05月（48）
• 2005年04月（11）
• 2005年03月（48）

2004年（1）

• 2004年12月（1）

我的朋友

• 

  一鸣雨

• 

  叶绍琛

• 

  大鬼不动

• 

  myeer

• 

  chbljy12

• 

  flashfir

• 

  techim

• 

  非洲乌龟

• 

  wangzhan

最近访客

• 

  beyand81

• 

  lyg111

• 

  khls27

• 

  gaokeke1

• 

  5sky

• 

  suixiaof

• 

  djx2020

• 

  cynthia

• 

  浪花小雨

推荐博文

• ·ORACLE SQL overlap时间段重...
• ·Rust入门到精通(三）—— 不...
• ·Oracle 1582-10-07问题
• ·1：Python开发：初识Python...
• ·ORACLE物理结构

相关博文

• ·通过内置FTP服务共享本地文件...
• ·Jtti：教你如何远程管理Linux...
• ·Linux中如何删除文件和目录？...
• ·百度搜索：蓝易云 - k8s部署n...
• ·百度搜索：蓝易云 - DNS部署...
• ·SQL数据库的错误处理机制是怎...
• ·Ubuntu linux 命令总结
• ·内网穿透详解：从传统方式到P...
• ·CentOS设置单用户模式快速修...
• ·FMEA在网络安全中的应用实践...

PHP cannot connect to mysql server (FC3 SELinux)

分类： LINUX

2006-02-26 08:48:42

---

[][]   [][]   [] [] []

Re: PHP cannot connect to mysql server

---

• From: Daniel J Walsh
• To: "Fedora SELinux support list for users & developers."
• Subject: Re: PHP cannot connect to mysql server
• Date: Wed, 10 Nov 2004 10:52:22 -0500

---

dragoran wrote:

I am running FC3 with selinux on targeted policy. When PHP tryies to connect to the mysql server i get this messages in dmesg:
sbin/httpd name=mysql.sock dev=hda3 ino=309535 scontext=user_u:system_r:httpd_t tcontext=user_u:object_r:var_lib_t tclass=sock_file
Disabling SELinux for Apache fix this, but I want to run httpd with selinux.
So how can i fix this?

--
fedora-selinux-list mailing list
fedora-selinux-list redhat com

A couple of things to try.

I am thinking of adding mysqld.te file to targeted policy. (attached)

You can try to use it by doing the following

   * Install selinux-policy-targeted-sources.
   * yum install selinux-policy-targeted-sources
   * cd /etc/selinux/targeted/src/policy
   * cp MYSQLD.te domains/program/
   * make load
   * rpm -q -l mysql | restorecon -R -f -
   * service mysql restart

Or you can just add the ability to write to sock_files in var lib.

   * Install selinux-policy-targeted-sources.
   * yum install selinux-policy-targeted-sources
   * cd /etc/selinux/targeted/src/policy
   * echo "allow httpd_t var_lib_t:sock_file rw_socket_perms;" >
     domains/program/httpd_socket.te
   * make load

#DESC Mysqld - Database server
#
# Author:  Russell Coker 
# X-Debian-Packages: mysql-server
#

#################################
#
# Rules for the mysqld_t domain.
#
# mysqld_exec_t is the type of the mysqld executable.
#
daemon_domain(mysqld)

type mysqld_port_t, port_type;
allow mysqld_t mysqld_port_t:tcp_socket name_bind;

allow mysqld_t mysqld_var_run_t:sock_file create_file_perms;

etcdir_domain(mysqld)
typealias mysqld_etc_t alias etc_mysqld_t;
type mysqld_db_t, file_type, sysadmfile;

log_domain(mysqld)

# for temporary tables
tmp_domain(mysqld)

allow mysqld_t usr_t:file { getattr read };

allow mysqld_t self:fifo_file { read write };
allow mysqld_t self:unix_stream_socket create_stream_socket_perms;
allow initrc_t mysqld_t:unix_stream_socket connectto;
allow initrc_t mysqld_var_run_t:sock_file write;

allow initrc_t mysqld_log_t:file { write append setattr ioctl };

allow mysqld_t self:capability { dac_override setgid setuid };
allow mysqld_t self:process getsched;

allow mysqld_t proc_t:file { getattr read };

# Allow access to the mysqld databases
create_dir_file(mysqld_t, mysqld_db_t)
allow mysqld_t var_lib_t:dir { getattr search };

can_network(mysqld_t)
can_ypbind(mysqld_t)

# read config files
r_dir_file(initrc_t, mysqld_etc_t)
allow mysqld_t { etc_t etc_runtime_t }:{ file lnk_file } { read getattr };

allow mysqld_t etc_t:dir search;

allow mysqld_t sysctl_kernel_t:dir search;
allow mysqld_t sysctl_kernel_t:file read;

can_unix_connect(sysadm_t, mysqld_t)

# for /root/.my.cnf - should not be needed
allow mysqld_t sysadm_home_dir_t:dir search;
allow mysqld_t sysadm_home_t:file { read getattr };

ifdef(`logrotate.te', `
r_dir_file(logrotate_t, mysqld_etc_t)
allow logrotate_t mysqld_db_t:dir search;
allow logrotate_t mysqld_var_run_t:dir search;
allow logrotate_t mysqld_var_run_t:sock_file write;
can_unix_connect(logrotate_t, mysqld_t)
')

ifdef(`user_db_connect', `
allow userdomain mysqld_var_run_t:dir search;
allow userdomain mysqld_var_run_t:sock_file write;
')

ifdef(`daemontools.te', `
domain_auto_trans( svc_run_t, mysqld_exec_t, mysqld_t)
allow svc_start_t mysqld_t:process signal;
svc_ipc_domain(mysqld_t)
')dnl end ifdef daemontools

ifdef(`distro_redhat', `
allow initrc_t mysqld_db_t:dir create_dir_perms;

# because Fedora has the sock_file in the database directory
file_type_auto_trans(mysqld_t, mysqld_db_t, mysqld_var_run_t, sock_file)
')

---

• Follow-Ups:
  • • From: dragoran

• References:
  • • From: dragoran

[][]   [][]   [] [] []

Chinaunix首页 | 论坛 | 博客

博文 博主

ELM's Blogwenzk.blog.chinaunix.net

• 4月28日14:30-20:30机房服务器迁移，暂停博客使用
• 9/30日 14:00 -10/4日 08:00暂时无法发布内容！
• 9/30日 14:00 -10/4日 08:00暂时无法发布内容！

首页　| 　博文目录　| 　关于我

wenzk

• 博客访问： 7683625
• 博文数量： 637
• 博客积分： 10265
• 博客等级： 上将
• 技术积分： 6165
• 用 户 组： 普通用户
• 注册时间： 2004-12-12 22:00

文章分类

全部博文（637）

• 程序设计（9）
• Solaris系统（22）
• 数码相机（8）
• IT新技术（11）
• DNS相关（16）
• Office相关（13）
• OpenVPN（2）
• 供电系统（9）
• 工作相关（79）
• BSD杂谈（46）
• 数据库相关（35）
• 乱七八糟（31）
• Linux系统相关（224）
• 自娱自乐（19）
• 邮件系统相关（39）
• 计算机网络（73）
• 未分配的博文（1）

文章存档

2011年（1）

• 2011年07月（1）

2010年（1）

• 2010年02月（1）

2009年（3）

• 2009年09月（2）
• 2009年05月（1）

2008年（12）

• 2008年06月（1）
• 2008年04月（9）
• 2008年03月（1）
• 2008年01月（1）

2007年（44）

• 2007年11月（2）
• 2007年10月（1）
• 2007年09月（1）
• 2007年07月（1）
• 2007年06月（11）
• 2007年05月（4）
• 2007年04月（5）
• 2007年03月（13）
• 2007年01月（6）

2006年（156）

• 2006年11月（3）
• 2006年10月（8）
• 2006年09月（1）
• 2006年08月（8）
• 2006年06月（12）
• 2006年05月（12）
• 2006年04月（4）
• 2006年03月（25）
• 2006年02月（24）
• 2006年01月（59）

2005年（419）

• 2005年12月（55）
• 2005年11月（20）
• 2005年10月（79）
• 2005年09月（11）
• 2005年08月（22）
• 2005年07月（44）
• 2005年06月（81）
• 2005年05月（48）
• 2005年04月（11）
• 2005年03月（48）

2004年（1）

• 2004年12月（1）

我的朋友

• 

  一鸣雨

• 

  叶绍琛

• 

  大鬼不动

• 

  myeer

• 

  chbljy12

• 

  flashfir

• 

  techim

• 

  非洲乌龟

• 

  wangzhan

最近访客

• 

  beyand81

• 

  lyg111

• 

  khls27

• 

  gaokeke1

• 

  5sky

• 

  suixiaof

• 

  djx2020

• 

  cynthia

• 

  浪花小雨

推荐博文

• ·ORACLE SQL overlap时间段重...
• ·Rust入门到精通(三）—— 不...
• ·Oracle 1582-10-07问题
• ·1：Python开发：初识Python...
• ·ORACLE物理结构

相关博文

• ·通过内置FTP服务共享本地文件...
• ·Jtti：教你如何远程管理Linux...
• ·Linux中如何删除文件和目录？...
• ·百度搜索：蓝易云 - k8s部署n...
• ·百度搜索：蓝易云 - DNS部署...
• ·SQL数据库的错误处理机制是怎...
• ·Ubuntu linux 命令总结
• ·内网穿透详解：从传统方式到P...
• ·CentOS设置单用户模式快速修...
• ·FMEA在网络安全中的应用实践...

PHP cannot connect to mysql server (FC3 SELinux)

分类： LINUX

2006-02-26 08:48:42

---

[][]   [][]   [] [] []

Re: PHP cannot connect to mysql server

---

• From: Daniel J Walsh
• To: "Fedora SELinux support list for users & developers."
• Subject: Re: PHP cannot connect to mysql server
• Date: Wed, 10 Nov 2004 10:52:22 -0500

---

dragoran wrote:

I am running FC3 with selinux on targeted policy. When PHP tryies to connect to the mysql server i get this messages in dmesg:
sbin/httpd name=mysql.sock dev=hda3 ino=309535 scontext=user_u:system_r:httpd_t tcontext=user_u:object_r:var_lib_t tclass=sock_file
Disabling SELinux for Apache fix this, but I want to run httpd with selinux.
So how can i fix this?

--
fedora-selinux-list mailing list
fedora-selinux-list redhat com

A couple of things to try.

I am thinking of adding mysqld.te file to targeted policy. (attached)

You can try to use it by doing the following

   * Install selinux-policy-targeted-sources.
   * yum install selinux-policy-targeted-sources
   * cd /etc/selinux/targeted/src/policy
   * cp MYSQLD.te domains/program/
   * make load
   * rpm -q -l mysql | restorecon -R -f -
   * service mysql restart

Or you can just add the ability to write to sock_files in var lib.

   * Install selinux-policy-targeted-sources.
   * yum install selinux-policy-targeted-sources
   * cd /etc/selinux/targeted/src/policy
   * echo "allow httpd_t var_lib_t:sock_file rw_socket_perms;" >
     domains/program/httpd_socket.te
   * make load

#DESC Mysqld - Database server
#
# Author:  Russell Coker 
# X-Debian-Packages: mysql-server
#

#################################
#
# Rules for the mysqld_t domain.
#
# mysqld_exec_t is the type of the mysqld executable.
#
daemon_domain(mysqld)

type mysqld_port_t, port_type;
allow mysqld_t mysqld_port_t:tcp_socket name_bind;

allow mysqld_t mysqld_var_run_t:sock_file create_file_perms;

etcdir_domain(mysqld)
typealias mysqld_etc_t alias etc_mysqld_t;
type mysqld_db_t, file_type, sysadmfile;

log_domain(mysqld)

# for temporary tables
tmp_domain(mysqld)

allow mysqld_t usr_t:file { getattr read };

allow mysqld_t self:fifo_file { read write };
allow mysqld_t self:unix_stream_socket create_stream_socket_perms;
allow initrc_t mysqld_t:unix_stream_socket connectto;
allow initrc_t mysqld_var_run_t:sock_file write;

allow initrc_t mysqld_log_t:file { write append setattr ioctl };

allow mysqld_t self:capability { dac_override setgid setuid };
allow mysqld_t self:process getsched;

allow mysqld_t proc_t:file { getattr read };

# Allow access to the mysqld databases
create_dir_file(mysqld_t, mysqld_db_t)
allow mysqld_t var_lib_t:dir { getattr search };

can_network(mysqld_t)
can_ypbind(mysqld_t)

# read config files
r_dir_file(initrc_t, mysqld_etc_t)
allow mysqld_t { etc_t etc_runtime_t }:{ file lnk_file } { read getattr };

allow mysqld_t etc_t:dir search;

allow mysqld_t sysctl_kernel_t:dir search;
allow mysqld_t sysctl_kernel_t:file read;

can_unix_connect(sysadm_t, mysqld_t)

# for /root/.my.cnf - should not be needed
allow mysqld_t sysadm_home_dir_t:dir search;
allow mysqld_t sysadm_home_t:file { read getattr };

ifdef(`logrotate.te', `
r_dir_file(logrotate_t, mysqld_etc_t)
allow logrotate_t mysqld_db_t:dir search;
allow logrotate_t mysqld_var_run_t:dir search;
allow logrotate_t mysqld_var_run_t:sock_file write;
can_unix_connect(logrotate_t, mysqld_t)
')

ifdef(`user_db_connect', `
allow userdomain mysqld_var_run_t:dir search;
allow userdomain mysqld_var_run_t:sock_file write;
')

ifdef(`daemontools.te', `
domain_auto_trans( svc_run_t, mysqld_exec_t, mysqld_t)
allow svc_start_t mysqld_t:process signal;
svc_ipc_domain(mysqld_t)
')dnl end ifdef daemontools

ifdef(`distro_redhat', `
allow initrc_t mysqld_db_t:dir create_dir_perms;

# because Fedora has the sock_file in the database directory
file_type_auto_trans(mysqld_t, mysqld_db_t, mysqld_var_run_t, sock_file)
')

---

• Follow-Ups:
  • • From: dragoran

• References:
  • • From: dragoran

[][]   [][]   [] [] []

Chinaunix首页 | 论坛 | 博客

博文 博主

ELM's Blogwenzk.blog.chinaunix.net

• 4月28日14:30-20:30机房服务器迁移，暂停博客使用
• 9/30日 14:00 -10/4日 08:00暂时无法发布内容！
• 9/30日 14:00 -10/4日 08:00暂时无法发布内容！

首页　| 　博文目录　| 　关于我

wenzk

• 博客访问： 7683626
• 博文数量： 637
• 博客积分： 10265
• 博客等级： 上将
• 技术积分： 6165
• 用 户 组： 普通用户
• 注册时间： 2004-12-12 22:00

文章分类

全部博文（637）

• 程序设计（9）
• Solaris系统（22）
• 数码相机（8）
• IT新技术（11）
• DNS相关（16）
• Office相关（13）
• OpenVPN（2）
• 供电系统（9）
• 工作相关（79）
• BSD杂谈（46）
• 数据库相关（35）
• 乱七八糟（31）
• Linux系统相关（224）
• 自娱自乐（19）
• 邮件系统相关（39）
• 计算机网络（73）
• 未分配的博文（1）

文章存档

2011年（1）

• 2011年07月（1）

2010年（1）

• 2010年02月（1）

2009年（3）

• 2009年09月（2）
• 2009年05月（1）

2008年（12）

• 2008年06月（1）
• 2008年04月（9）
• 2008年03月（1）
• 2008年01月（1）

2007年（44）

• 2007年11月（2）
• 2007年10月（1）
• 2007年09月（1）
• 2007年07月（1）
• 2007年06月（11）
• 2007年05月（4）
• 2007年04月（5）
• 2007年03月（13）
• 2007年01月（6）

2006年（156）

• 2006年11月（3）
• 2006年10月（8）
• 2006年09月（1）
• 2006年08月（8）
• 2006年06月（12）
• 2006年05月（12）
• 2006年04月（4）
• 2006年03月（25）
• 2006年02月（24）
• 2006年01月（59）

2005年（419）

• 2005年12月（55）
• 2005年11月（20）
• 2005年10月（79）
• 2005年09月（11）
• 2005年08月（22）
• 2005年07月（44）
• 2005年06月（81）
• 2005年05月（48）
• 2005年04月（11）
• 2005年03月（48）

2004年（1）

• 2004年12月（1）

我的朋友

• 

  一鸣雨

• 

  叶绍琛

• 

  大鬼不动

• 

  myeer

• 

  chbljy12

• 

  flashfir

• 

  techim

• 

  非洲乌龟

• 

  wangzhan

最近访客

• 

  beyand81

• 

  lyg111

• 

  khls27

• 

  gaokeke1

• 

  5sky

• 

  suixiaof

• 

  djx2020

• 

  cynthia

• 

  浪花小雨

推荐博文

• ·ORACLE SQL overlap时间段重...
• ·Rust入门到精通(三）—— 不...
• ·Oracle 1582-10-07问题
• ·1：Python开发：初识Python...
• ·ORACLE物理结构

相关博文

• ·通过内置FTP服务共享本地文件...
• ·Jtti：教你如何远程管理Linux...
• ·Linux中如何删除文件和目录？...
• ·百度搜索：蓝易云 - k8s部署n...
• ·百度搜索：蓝易云 - DNS部署...
• ·SQL数据库的错误处理机制是怎...
• ·Ubuntu linux 命令总结
• ·内网穿透详解：从传统方式到P...
• ·CentOS设置单用户模式快速修...
• ·FMEA在网络安全中的应用实践...

PHP cannot connect to mysql server (FC3 SELinux)

分类： LINUX

2006-02-26 08:48:42

---

[][]   [][]   [] [] []

Re: PHP cannot connect to mysql server

---

• From: Daniel J Walsh
• To: "Fedora SELinux support list for users & developers."
• Subject: Re: PHP cannot connect to mysql server
• Date: Wed, 10 Nov 2004 10:52:22 -0500

---

dragoran wrote:

I am running FC3 with selinux on targeted policy. When PHP tryies to connect to the mysql server i get this messages in dmesg:
sbin/httpd name=mysql.sock dev=hda3 ino=309535 scontext=user_u:system_r:httpd_t tcontext=user_u:object_r:var_lib_t tclass=sock_file
Disabling SELinux for Apache fix this, but I want to run httpd with selinux.
So how can i fix this?

--
fedora-selinux-list mailing list
fedora-selinux-list redhat com

A couple of things to try.

I am thinking of adding mysqld.te file to targeted policy. (attached)

You can try to use it by doing the following

   * Install selinux-policy-targeted-sources.
   * yum install selinux-policy-targeted-sources
   * cd /etc/selinux/targeted/src/policy
   * cp MYSQLD.te domains/program/
   * make load
   * rpm -q -l mysql | restorecon -R -f -
   * service mysql restart

Or you can just add the ability to write to sock_files in var lib.

   * Install selinux-policy-targeted-sources.
   * yum install selinux-policy-targeted-sources
   * cd /etc/selinux/targeted/src/policy
   * echo "allow httpd_t var_lib_t:sock_file rw_socket_perms;" >
     domains/program/httpd_socket.te
   * make load

#DESC Mysqld - Database server
#
# Author:  Russell Coker 
# X-Debian-Packages: mysql-server
#

#################################
#
# Rules for the mysqld_t domain.
#
# mysqld_exec_t is the type of the mysqld executable.
#
daemon_domain(mysqld)

type mysqld_port_t, port_type;
allow mysqld_t mysqld_port_t:tcp_socket name_bind;

allow mysqld_t mysqld_var_run_t:sock_file create_file_perms;

etcdir_domain(mysqld)
typealias mysqld_etc_t alias etc_mysqld_t;
type mysqld_db_t, file_type, sysadmfile;

log_domain(mysqld)

# for temporary tables
tmp_domain(mysqld)

allow mysqld_t usr_t:file { getattr read };

allow mysqld_t self:fifo_file { read write };
allow mysqld_t self:unix_stream_socket create_stream_socket_perms;
allow initrc_t mysqld_t:unix_stream_socket connectto;
allow initrc_t mysqld_var_run_t:sock_file write;

allow initrc_t mysqld_log_t:file { write append setattr ioctl };

allow mysqld_t self:capability { dac_override setgid setuid };
allow mysqld_t self:process getsched;

allow mysqld_t proc_t:file { getattr read };

# Allow access to the mysqld databases
create_dir_file(mysqld_t, mysqld_db_t)
allow mysqld_t var_lib_t:dir { getattr search };

can_network(mysqld_t)
can_ypbind(mysqld_t)

# read config files
r_dir_file(initrc_t, mysqld_etc_t)
allow mysqld_t { etc_t etc_runtime_t }:{ file lnk_file } { read getattr };

allow mysqld_t etc_t:dir search;

allow mysqld_t sysctl_kernel_t:dir search;
allow mysqld_t sysctl_kernel_t:file read;

can_unix_connect(sysadm_t, mysqld_t)

# for /root/.my.cnf - should not be needed
allow mysqld_t sysadm_home_dir_t:dir search;
allow mysqld_t sysadm_home_t:file { read getattr };

ifdef(`logrotate.te', `
r_dir_file(logrotate_t, mysqld_etc_t)
allow logrotate_t mysqld_db_t:dir search;
allow logrotate_t mysqld_var_run_t:dir search;
allow logrotate_t mysqld_var_run_t:sock_file write;
can_unix_connect(logrotate_t, mysqld_t)
')

ifdef(`user_db_connect', `
allow userdomain mysqld_var_run_t:dir search;
allow userdomain mysqld_var_run_t:sock_file write;
')

ifdef(`daemontools.te', `
domain_auto_trans( svc_run_t, mysqld_exec_t, mysqld_t)
allow svc_start_t mysqld_t:process signal;
svc_ipc_domain(mysqld_t)
')dnl end ifdef daemontools

ifdef(`distro_redhat', `
allow initrc_t mysqld_db_t:dir create_dir_perms;

# because Fedora has the sock_file in the database directory
file_type_auto_trans(mysqld_t, mysqld_db_t, mysqld_var_run_t, sock_file)
')

---

• Follow-Ups:
  • • From: dragoran

• References:
  • • From: dragoran

[][]   [][]   [] [] []

Chinaunix首页 | 论坛 | 博客

博文 博主

ELM's Blogwenzk.blog.chinaunix.net

• 4月28日14:30-20:30机房服务器迁移，暂停博客使用
• 9/30日 14:00 -10/4日 08:00暂时无法发布内容！
• 9/30日 14:00 -10/4日 08:00暂时无法发布内容！

首页　| 　博文目录　| 　关于我

wenzk

• 博客访问： 7683627
• 博文数量： 637
• 博客积分： 10265
• 博客等级： 上将
• 技术积分： 6165
• 用 户 组： 普通用户
• 注册时间： 2004-12-12 22:00

文章分类

全部博文（637）

• 程序设计（9）
• Solaris系统（22）
• 数码相机（8）
• IT新技术（11）
• DNS相关（16）
• Office相关（13）
• OpenVPN（2）
• 供电系统（9）
• 工作相关（79）
• BSD杂谈（46）
• 数据库相关（35）
• 乱七八糟（31）
• Linux系统相关（224）
• 自娱自乐（19）
• 邮件系统相关（39）
• 计算机网络（73）
• 未分配的博文（1）

文章存档

2011年（1）

• 2011年07月（1）

2010年（1）

• 2010年02月（1）

2009年（3）

• 2009年09月（2）
• 2009年05月（1）

2008年（12）

• 2008年06月（1）
• 2008年04月（9）
• 2008年03月（1）
• 2008年01月（1）

2007年（44）

• 2007年11月（2）
• 2007年10月（1）
• 2007年09月（1）
• 2007年07月（1）
• 2007年06月（11）
• 2007年05月（4）
• 2007年04月（5）
• 2007年03月（13）
• 2007年01月（6）

2006年（156）

• 2006年11月（3）
• 2006年10月（8）
• 2006年09月（1）
• 2006年08月（8）
• 2006年06月（12）
• 2006年05月（12）
• 2006年04月（4）
• 2006年03月（25）
• 2006年02月（24）
• 2006年01月（59）

2005年（419）

• 2005年12月（55）
• 2005年11月（20）
• 2005年10月（79）
• 2005年09月（11）
• 2005年08月（22）
• 2005年07月（44）
• 2005年06月（81）
• 2005年05月（48）
• 2005年04月（11）
• 2005年03月（48）

2004年（1）

• 2004年12月（1）

我的朋友

• 

  一鸣雨

• 

  叶绍琛

• 

  大鬼不动

• 

  myeer

• 

  chbljy12

• 

  flashfir

• 

  techim

• 

  非洲乌龟

• 

  wangzhan

最近访客

• 

  beyand81

• 

  lyg111

• 

  khls27

• 

  gaokeke1

• 

  5sky

• 

  suixiaof

• 

  djx2020

• 

  cynthia

• 

  浪花小雨

推荐博文

• ·ORACLE SQL overlap时间段重...
• ·Rust入门到精通(三）—— 不...
• ·Oracle 1582-10-07问题
• ·1：Python开发：初识Python...
• ·ORACLE物理结构

相关博文

• ·通过内置FTP服务共享本地文件...
• ·Jtti：教你如何远程管理Linux...
• ·Linux中如何删除文件和目录？...
• ·百度搜索：蓝易云 - k8s部署n...
• ·百度搜索：蓝易云 - DNS部署...
• ·SQL数据库的错误处理机制是怎...
• ·Ubuntu linux 命令总结
• ·内网穿透详解：从传统方式到P...
• ·CentOS设置单用户模式快速修...
• ·FMEA在网络安全中的应用实践...

PHP cannot connect to mysql server (FC3 SELinux)

分类： LINUX

2006-02-26 08:48:42

---

[][]   [][]   [] [] []

Re: PHP cannot connect to mysql server

---

• From: Daniel J Walsh
• To: "Fedora SELinux support list for users & developers."
• Subject: Re: PHP cannot connect to mysql server
• Date: Wed, 10 Nov 2004 10:52:22 -0500

---

dragoran wrote:

I am running FC3 with selinux on targeted policy. When PHP tryies to connect to the mysql server i get this messages in dmesg:
sbin/httpd name=mysql.sock dev=hda3 ino=309535 scontext=user_u:system_r:httpd_t tcontext=user_u:object_r:var_lib_t tclass=sock_file
Disabling SELinux for Apache fix this, but I want to run httpd with selinux.
So how can i fix this?

--
fedora-selinux-list mailing list
fedora-selinux-list redhat com

A couple of things to try.

I am thinking of adding mysqld.te file to targeted policy. (attached)

You can try to use it by doing the following

   * Install selinux-policy-targeted-sources.
   * yum install selinux-policy-targeted-sources
   * cd /etc/selinux/targeted/src/policy
   * cp MYSQLD.te domains/program/
   * make load
   * rpm -q -l mysql | restorecon -R -f -
   * service mysql restart

Or you can just add the ability to write to sock_files in var lib.

   * Install selinux-policy-targeted-sources.
   * yum install selinux-policy-targeted-sources
   * cd /etc/selinux/targeted/src/policy
   * echo "allow httpd_t var_lib_t:sock_file rw_socket_perms;" >
     domains/program/httpd_socket.te
   * make load

#DESC Mysqld - Database server
#
# Author:  Russell Coker 
# X-Debian-Packages: mysql-server
#

#################################
#
# Rules for the mysqld_t domain.
#
# mysqld_exec_t is the type of the mysqld executable.
#
daemon_domain(mysqld)

type mysqld_port_t, port_type;
allow mysqld_t mysqld_port_t:tcp_socket name_bind;

allow mysqld_t mysqld_var_run_t:sock_file create_file_perms;

etcdir_domain(mysqld)
typealias mysqld_etc_t alias etc_mysqld_t;
type mysqld_db_t, file_type, sysadmfile;

log_domain(mysqld)

# for temporary tables
tmp_domain(mysqld)

allow mysqld_t usr_t:file { getattr read };

allow mysqld_t self:fifo_file { read write };
allow mysqld_t self:unix_stream_socket create_stream_socket_perms;
allow initrc_t mysqld_t:unix_stream_socket connectto;
allow initrc_t mysqld_var_run_t:sock_file write;

allow initrc_t mysqld_log_t:file { write append setattr ioctl };

allow mysqld_t self:capability { dac_override setgid setuid };
allow mysqld_t self:process getsched;

allow mysqld_t proc_t:file { getattr read };

# Allow access to the mysqld databases
create_dir_file(mysqld_t, mysqld_db_t)
allow mysqld_t var_lib_t:dir { getattr search };

can_network(mysqld_t)
can_ypbind(mysqld_t)

# read config files
r_dir_file(initrc_t, mysqld_etc_t)
allow mysqld_t { etc_t etc_runtime_t }:{ file lnk_file } { read getattr };

allow mysqld_t etc_t:dir search;

allow mysqld_t sysctl_kernel_t:dir search;
allow mysqld_t sysctl_kernel_t:file read;

can_unix_connect(sysadm_t, mysqld_t)

# for /root/.my.cnf - should not be needed
allow mysqld_t sysadm_home_dir_t:dir search;
allow mysqld_t sysadm_home_t:file { read getattr };

ifdef(`logrotate.te', `
r_dir_file(logrotate_t, mysqld_etc_t)
allow logrotate_t mysqld_db_t:dir search;
allow logrotate_t mysqld_var_run_t:dir search;
allow logrotate_t mysqld_var_run_t:sock_file write;
can_unix_connect(logrotate_t, mysqld_t)
')

ifdef(`user_db_connect', `
allow userdomain mysqld_var_run_t:dir search;
allow userdomain mysqld_var_run_t:sock_file write;
')

ifdef(`daemontools.te', `
domain_auto_trans( svc_run_t, mysqld_exec_t, mysqld_t)
allow svc_start_t mysqld_t:process signal;
svc_ipc_domain(mysqld_t)
')dnl end ifdef daemontools

ifdef(`distro_redhat', `
allow initrc_t mysqld_db_t:dir create_dir_perms;

# because Fedora has the sock_file in the database directory
file_type_auto_trans(mysqld_t, mysqld_db_t, mysqld_var_run_t, sock_file)
')

---

• Follow-Ups:
  • • From: dragoran

• References:
  • • From: dragoran

[][]   [][]   [] [] []

Chinaunix首页 | 论坛 | 博客

博文 博主

ELM's Blogwenzk.blog.chinaunix.net

• 4月28日14:30-20:30机房服务器迁移，暂停博客使用
• 9/30日 14:00 -10/4日 08:00暂时无法发布内容！
• 9/30日 14:00 -10/4日 08:00暂时无法发布内容！

首页　| 　博文目录　| 　关于我

wenzk

• 博客访问： 7683628
• 博文数量： 637
• 博客积分： 10265
• 博客等级： 上将
• 技术积分： 6165
• 用 户 组： 普通用户
• 注册时间： 2004-12-12 22:00

文章分类

全部博文（637）

• 程序设计（9）
• Solaris系统（22）
• 数码相机（8）
• IT新技术（11）
• DNS相关（16）
• Office相关（13）
• OpenVPN（2）
• 供电系统（9）
• 工作相关（79）
• BSD杂谈（46）
• 数据库相关（35）
• 乱七八糟（31）
• Linux系统相关（224）
• 自娱自乐（19）
• 邮件系统相关（39）
• 计算机网络（73）
• 未分配的博文（1）

文章存档

2011年（1）

• 2011年07月（1）

2010年（1）

• 2010年02月（1）

2009年（3）

• 2009年09月（2）
• 2009年05月（1）

2008年（12）

• 2008年06月（1）
• 2008年04月（9）
• 2008年03月（1）
• 2008年01月（1）

2007年（44）

• 2007年11月（2）
• 2007年10月（1）
• 2007年09月（1）
• 2007年07月（1）
• 2007年06月（11）
• 2007年05月（4）
• 2007年04月（5）
• 2007年03月（13）
• 2007年01月（6）

2006年（156）

• 2006年11月（3）
• 2006年10月（8）
• 2006年09月（1）
• 2006年08月（8）
• 2006年06月（12）
• 2006年05月（12）
• 2006年04月（4）
• 2006年03月（25）
• 2006年02月（24）
• 2006年01月（59）

2005年（419）

• 2005年12月（55）
• 2005年11月（20）
• 2005年10月（79）
• 2005年09月（11）
• 2005年08月（22）
• 2005年07月（44）
• 2005年06月（81）
• 2005年05月（48）
• 2005年04月（11）
• 2005年03月（48）

2004年（1）

• 2004年12月（1）

我的朋友

• 

  一鸣雨

• 

  叶绍琛

• 

  大鬼不动

• 

  myeer

• 

  chbljy12

• 

  flashfir

• 

  techim

• 

  非洲乌龟

• 

  wangzhan

最近访客

• 

  beyand81

• 

  lyg111

• 

  khls27

• 

  gaokeke1

• 

  5sky

• 

  suixiaof

• 

  djx2020

• 

  cynthia

• 

  浪花小雨

推荐博文

• ·ORACLE SQL overlap时间段重...
• ·Rust入门到精通(三）—— 不...
• ·Oracle 1582-10-07问题
• ·1：Python开发：初识Python...
• ·ORACLE物理结构

相关博文

• ·通过内置FTP服务共享本地文件...
• ·Jtti：教你如何远程管理Linux...
• ·Linux中如何删除文件和目录？...
• ·百度搜索：蓝易云 - k8s部署n...
• ·百度搜索：蓝易云 - DNS部署...
• ·SQL数据库的错误处理机制是怎...
• ·Ubuntu linux 命令总结
• ·内网穿透详解：从传统方式到P...
• ·CentOS设置单用户模式快速修...
• ·FMEA在网络安全中的应用实践...

PHP cannot connect to mysql server (FC3 SELinux)

分类： LINUX

2006-02-26 08:48:42

---

[][]   [][]   [] [] []

Re: PHP cannot connect to mysql server

---

• From: Daniel J Walsh
• To: "Fedora SELinux support list for users & developers."
• Subject: Re: PHP cannot connect to mysql server
• Date: Wed, 10 Nov 2004 10:52:22 -0500

---

dragoran wrote:

I am running FC3 with selinux on targeted policy. When PHP tryies to connect to the mysql server i get this messages in dmesg:
sbin/httpd name=mysql.sock dev=hda3 ino=309535 scontext=user_u:system_r:httpd_t tcontext=user_u:object_r:var_lib_t tclass=sock_file
Disabling SELinux for Apache fix this, but I want to run httpd with selinux.
So how can i fix this?

--
fedora-selinux-list mailing list
fedora-selinux-list redhat com

A couple of things to try.

I am thinking of adding mysqld.te file to targeted policy. (attached)

You can try to use it by doing the following

   * Install selinux-policy-targeted-sources.
   * yum install selinux-policy-targeted-sources
   * cd /etc/selinux/targeted/src/policy
   * cp MYSQLD.te domains/program/
   * make load
   * rpm -q -l mysql | restorecon -R -f -
   * service mysql restart

Or you can just add the ability to write to sock_files in var lib.

   * Install selinux-policy-targeted-sources.
   * yum install selinux-policy-targeted-sources
   * cd /etc/selinux/targeted/src/policy
   * echo "allow httpd_t var_lib_t:sock_file rw_socket_perms;" >
     domains/program/httpd_socket.te
   * make load

#DESC Mysqld - Database server
#
# Author:  Russell Coker 
# X-Debian-Packages: mysql-server
#

#################################
#
# Rules for the mysqld_t domain.
#
# mysqld_exec_t is the type of the mysqld executable.
#
daemon_domain(mysqld)

type mysqld_port_t, port_type;
allow mysqld_t mysqld_port_t:tcp_socket name_bind;

allow mysqld_t mysqld_var_run_t:sock_file create_file_perms;

etcdir_domain(mysqld)
typealias mysqld_etc_t alias etc_mysqld_t;
type mysqld_db_t, file_type, sysadmfile;

log_domain(mysqld)

# for temporary tables
tmp_domain(mysqld)

allow mysqld_t usr_t:file { getattr read };

allow mysqld_t self:fifo_file { read write };
allow mysqld_t self:unix_stream_socket create_stream_socket_perms;
allow initrc_t mysqld_t:unix_stream_socket connectto;
allow initrc_t mysqld_var_run_t:sock_file write;

allow initrc_t mysqld_log_t:file { write append setattr ioctl };

allow mysqld_t self:capability { dac_override setgid setuid };
allow mysqld_t self:process getsched;

allow mysqld_t proc_t:file { getattr read };

# Allow access to the mysqld databases
create_dir_file(mysqld_t, mysqld_db_t)
allow mysqld_t var_lib_t:dir { getattr search };

can_network(mysqld_t)
can_ypbind(mysqld_t)

# read config files
r_dir_file(initrc_t, mysqld_etc_t)
allow mysqld_t { etc_t etc_runtime_t }:{ file lnk_file } { read getattr };

allow mysqld_t etc_t:dir search;

allow mysqld_t sysctl_kernel_t:dir search;
allow mysqld_t sysctl_kernel_t:file read;

can_unix_connect(sysadm_t, mysqld_t)

# for /root/.my.cnf - should not be needed
allow mysqld_t sysadm_home_dir_t:dir search;
allow mysqld_t sysadm_home_t:file { read getattr };

ifdef(`logrotate.te', `
r_dir_file(logrotate_t, mysqld_etc_t)
allow logrotate_t mysqld_db_t:dir search;
allow logrotate_t mysqld_var_run_t:dir search;
allow logrotate_t mysqld_var_run_t:sock_file write;
can_unix_connect(logrotate_t, mysqld_t)
')

ifdef(`user_db_connect', `
allow userdomain mysqld_var_run_t:dir search;
allow userdomain mysqld_var_run_t:sock_file write;
')

ifdef(`daemontools.te', `
domain_auto_trans( svc_run_t, mysqld_exec_t, mysqld_t)
allow svc_start_t mysqld_t:process signal;
svc_ipc_domain(mysqld_t)
')dnl end ifdef daemontools

ifdef(`distro_redhat', `
allow initrc_t mysqld_db_t:dir create_dir_perms;

# because Fedora has the sock_file in the database directory
file_type_auto_trans(mysqld_t, mysqld_db_t, mysqld_var_run_t, sock_file)
')

---

• Follow-Ups:
  • • From: dragoran

• References:
  • • From: dragoran

[][]   [][]   [] [] []

Chinaunix首页 | 论坛 | 博客

博文 博主

ELM's Blogwenzk.blog.chinaunix.net

• 4月28日14:30-20:30机房服务器迁移，暂停博客使用
• 9/30日 14:00 -10/4日 08:00暂时无法发布内容！
• 9/30日 14:00 -10/4日 08:00暂时无法发布内容！

首页　| 　博文目录　| 　关于我

wenzk

• 博客访问： 7683629
• 博文数量： 637
• 博客积分： 10265
• 博客等级： 上将
• 技术积分： 6165
• 用 户 组： 普通用户
• 注册时间： 2004-12-12 22:00

文章分类

全部博文（637）

• 程序设计（9）
• Solaris系统（22）
• 数码相机（8）
• IT新技术（11）
• DNS相关（16）
• Office相关（13）
• OpenVPN（2）
• 供电系统（9）
• 工作相关（79）
• BSD杂谈（46）
• 数据库相关（35）
• 乱七八糟（31）
• Linux系统相关（224）
• 自娱自乐（19）
• 邮件系统相关（39）
• 计算机网络（73）
• 未分配的博文（1）

文章存档

2011年（1）

• 2011年07月（1）

2010年（1）

• 2010年02月（1）

2009年（3）

• 2009年09月（2）
• 2009年05月（1）

2008年（12）

• 2008年06月（1）
• 2008年04月（9）
• 2008年03月（1）
• 2008年01月（1）

2007年（44）

• 2007年11月（2）
• 2007年10月（1）
• 2007年09月（1）
• 2007年07月（1）
• 2007年06月（11）
• 2007年05月（4）
• 2007年04月（5）
• 2007年03月（13）
• 2007年01月（6）

2006年（156）

• 2006年11月（3）
• 2006年10月（8）
• 2006年09月（1）
• 2006年08月（8）
• 2006年06月（12）
• 2006年05月（12）
• 2006年04月（4）
• 2006年03月（25）
• 2006年02月（24）
• 2006年01月（59）

2005年（419）

• 2005年12月（55）
• 2005年11月（20）
• 2005年10月（79）
• 2005年09月（11）
• 2005年08月（22）
• 2005年07月（44）
• 2005年06月（81）
• 2005年05月（48）
• 2005年04月（11）
• 2005年03月（48）

2004年（1）

• 2004年12月（1）

我的朋友

• 

  一鸣雨

• 

  叶绍琛

• 

  大鬼不动

• 

  myeer

• 

  chbljy12

• 

  flashfir

• 

  techim

• 

  非洲乌龟

• 

  wangzhan

最近访客

• 

  beyand81

• 

  lyg111

• 

  khls27

• 

  gaokeke1

• 

  5sky

• 

  suixiaof

• 

  djx2020

• 

  cynthia

• 

  浪花小雨

推荐博文

• ·ORACLE SQL overlap时间段重...
• ·Rust入门到精通(三）—— 不...
• ·Oracle 1582-10-07问题
• ·1：Python开发：初识Python...
• ·ORACLE物理结构

相关博文

• ·通过内置FTP服务共享本地文件...
• ·Jtti：教你如何远程管理Linux...
• ·Linux中如何删除文件和目录？...
• ·百度搜索：蓝易云 - k8s部署n...
• ·百度搜索：蓝易云 - DNS部署...
• ·SQL数据库的错误处理机制是怎...
• ·Ubuntu linux 命令总结
• ·内网穿透详解：从传统方式到P...
• ·CentOS设置单用户模式快速修...
• ·FMEA在网络安全中的应用实践...

PHP cannot connect to mysql server (FC3 SELinux)

分类： LINUX

2006-02-26 08:48:42

---

[][]   [][]   [] [] []

Re: PHP cannot connect to mysql server

---

• From: Daniel J Walsh
• To: "Fedora SELinux support list for users & developers."
• Subject: Re: PHP cannot connect to mysql server
• Date: Wed, 10 Nov 2004 10:52:22 -0500

---

dragoran wrote:

I am running FC3 with selinux on targeted policy. When PHP tryies to connect to the mysql server i get this messages in dmesg:
sbin/httpd name=mysql.sock dev=hda3 ino=309535 scontext=user_u:system_r:httpd_t tcontext=user_u:object_r:var_lib_t tclass=sock_file
Disabling SELinux for Apache fix this, but I want to run httpd with selinux.
So how can i fix this?

--
fedora-selinux-list mailing list
fedora-selinux-list redhat com

A couple of things to try.

I am thinking of adding mysqld.te file to targeted policy. (attached)

You can try to use it by doing the following

   * Install selinux-policy-targeted-sources.
   * yum install selinux-policy-targeted-sources
   * cd /etc/selinux/targeted/src/policy
   * cp MYSQLD.te domains/program/
   * make load
   * rpm -q -l mysql | restorecon -R -f -
   * service mysql restart

Or you can just add the ability to write to sock_files in var lib.

   * Install selinux-policy-targeted-sources.
   * yum install selinux-policy-targeted-sources
   * cd /etc/selinux/targeted/src/policy
   * echo "allow httpd_t var_lib_t:sock_file rw_socket_perms;" >
     domains/program/httpd_socket.te
   * make load

#DESC Mysqld - Database server
#
# Author:  Russell Coker 
# X-Debian-Packages: mysql-server
#

#################################
#
# Rules for the mysqld_t domain.
#
# mysqld_exec_t is the type of the mysqld executable.
#
daemon_domain(mysqld)

type mysqld_port_t, port_type;
allow mysqld_t mysqld_port_t:tcp_socket name_bind;

allow mysqld_t mysqld_var_run_t:sock_file create_file_perms;

etcdir_domain(mysqld)
typealias mysqld_etc_t alias etc_mysqld_t;
type mysqld_db_t, file_type, sysadmfile;

log_domain(mysqld)

# for temporary tables
tmp_domain(mysqld)

allow mysqld_t usr_t:file { getattr read };

allow mysqld_t self:fifo_file { read write };
allow mysqld_t self:unix_stream_socket create_stream_socket_perms;
allow initrc_t mysqld_t:unix_stream_socket connectto;
allow initrc_t mysqld_var_run_t:sock_file write;

allow initrc_t mysqld_log_t:file { write append setattr ioctl };

allow mysqld_t self:capability { dac_override setgid setuid };
allow mysqld_t self:process getsched;

allow mysqld_t proc_t:file { getattr read };

# Allow access to the mysqld databases
create_dir_file(mysqld_t, mysqld_db_t)
allow mysqld_t var_lib_t:dir { getattr search };

can_network(mysqld_t)
can_ypbind(mysqld_t)

# read config files
r_dir_file(initrc_t, mysqld_etc_t)
allow mysqld_t { etc_t etc_runtime_t }:{ file lnk_file } { read getattr };

allow mysqld_t etc_t:dir search;

allow mysqld_t sysctl_kernel_t:dir search;
allow mysqld_t sysctl_kernel_t:file read;

can_unix_connect(sysadm_t, mysqld_t)

# for /root/.my.cnf - should not be needed
allow mysqld_t sysadm_home_dir_t:dir search;
allow mysqld_t sysadm_home_t:file { read getattr };

ifdef(`logrotate.te', `
r_dir_file(logrotate_t, mysqld_etc_t)
allow logrotate_t mysqld_db_t:dir search;
allow logrotate_t mysqld_var_run_t:dir search;
allow logrotate_t mysqld_var_run_t:sock_file write;
can_unix_connect(logrotate_t, mysqld_t)
')

ifdef(`user_db_connect', `
allow userdomain mysqld_var_run_t:dir search;
allow userdomain mysqld_var_run_t:sock_file write;
')

ifdef(`daemontools.te', `
domain_auto_trans( svc_run_t, mysqld_exec_t, mysqld_t)
allow svc_start_t mysqld_t:process signal;
svc_ipc_domain(mysqld_t)
')dnl end ifdef daemontools

ifdef(`distro_redhat', `
allow initrc_t mysqld_db_t:dir create_dir_perms;

# because Fedora has the sock_file in the database directory
file_type_auto_trans(mysqld_t, mysqld_db_t, mysqld_var_run_t, sock_file)
')

---

• Follow-Ups:
  • • From: dragoran

• References:
  • • From: dragoran

[][]   [][]   [] [] []

Chinaunix首页 | 论坛 | 博客

博文 博主

ELM's Blogwenzk.blog.chinaunix.net

• 4月28日14:30-20:30机房服务器迁移，暂停博客使用
• 9/30日 14:00 -10/4日 08:00暂时无法发布内容！
• 9/30日 14:00 -10/4日 08:00暂时无法发布内容！

首页　| 　博文目录　| 　关于我

wenzk

• 博客访问： 7683630
• 博文数量： 637
• 博客积分： 10265
• 博客等级： 上将
• 技术积分： 6165
• 用 户 组： 普通用户
• 注册时间： 2004-12-12 22:00

文章分类

全部博文（637）

• 程序设计（9）
• Solaris系统（22）
• 数码相机（8）
• IT新技术（11）
• DNS相关（16）
• Office相关（13）
• OpenVPN（2）
• 供电系统（9）
• 工作相关（79）
• BSD杂谈（46）
• 数据库相关（35）
• 乱七八糟（31）
• Linux系统相关（224）
• 自娱自乐（19）
• 邮件系统相关（39）
• 计算机网络（73）
• 未分配的博文（1）

文章存档

2011年（1）

• 2011年07月（1）

2010年（1）

• 2010年02月（1）

2009年（3）

• 2009年09月（2）
• 2009年05月（1）

2008年（12）

• 2008年06月（1）
• 2008年04月（9）
• 2008年03月（1）
• 2008年01月（1）

2007年（44）

• 2007年11月（2）
• 2007年10月（1）
• 2007年09月（1）
• 2007年07月（1）
• 2007年06月（11）
• 2007年05月（4）
• 2007年04月（5）
• 2007年03月（13）
• 2007年01月（6）

2006年（156）

• 2006年11月（3）
• 2006年10月（8）
• 2006年09月（1）
• 2006年08月（8）
• 2006年06月（12）
• 2006年05月（12）
• 2006年04月（4）
• 2006年03月（25）
• 2006年02月（24）
• 2006年01月（59）

2005年（419）

• 2005年12月（55）
• 2005年11月（20）
• 2005年10月（79）
• 2005年09月（11）
• 2005年08月（22）
• 2005年07月（44）
• 2005年06月（81）
• 2005年05月（48）
• 2005年04月（11）
• 2005年03月（48）

2004年（1）

• 2004年12月（1）

我的朋友

• 

  一鸣雨

• 

  叶绍琛

• 

  大鬼不动

• 

  myeer

• 

  chbljy12

• 

  flashfir

• 

  techim

• 

  非洲乌龟

• 

  wangzhan

最近访客

• 

  beyand81

• 

  lyg111

• 

  khls27

• 

  gaokeke1

• 

  5sky

• 

  suixiaof

• 

  djx2020

• 

  cynthia

• 

  浪花小雨

推荐博文

• ·ORACLE SQL overlap时间段重...
• ·Rust入门到精通(三）—— 不...
• ·Oracle 1582-10-07问题
• ·1：Python开发：初识Python...
• ·ORACLE物理结构

相关博文

• ·通过内置FTP服务共享本地文件...
• ·Jtti：教你如何远程管理Linux...
• ·Linux中如何删除文件和目录？...
• ·百度搜索：蓝易云 - k8s部署n...
• ·百度搜索：蓝易云 - DNS部署...
• ·SQL数据库的错误处理机制是怎...
• ·Ubuntu linux 命令总结
• ·内网穿透详解：从传统方式到P...
• ·CentOS设置单用户模式快速修...
• ·FMEA在网络安全中的应用实践...

PHP cannot connect to mysql server (FC3 SELinux)

分类： LINUX

2006-02-26 08:48:42

---

[][]   [][]   [] [] []

Re: PHP cannot connect to mysql server

---

• From: Daniel J Walsh
• To: "Fedora SELinux support list for users & developers."
• Subject: Re: PHP cannot connect to mysql server
• Date: Wed, 10 Nov 2004 10:52:22 -0500

---

dragoran wrote:

I am running FC3 with selinux on targeted policy. When PHP tryies to connect to the mysql server i get this messages in dmesg:
sbin/httpd name=mysql.sock dev=hda3 ino=309535 scontext=user_u:system_r:httpd_t tcontext=user_u:object_r:var_lib_t tclass=sock_file
Disabling SELinux for Apache fix this, but I want to run httpd with selinux.
So how can i fix this?

--
fedora-selinux-list mailing list
fedora-selinux-list redhat com

A couple of things to try.

I am thinking of adding mysqld.te file to targeted policy. (attached)

You can try to use it by doing the following

   * Install selinux-policy-targeted-sources.
   * yum install selinux-policy-targeted-sources
   * cd /etc/selinux/targeted/src/policy
   * cp MYSQLD.te domains/program/
   * make load
   * rpm -q -l mysql | restorecon -R -f -
   * service mysql restart

Or you can just add the ability to write to sock_files in var lib.

   * Install selinux-policy-targeted-sources.
   * yum install selinux-policy-targeted-sources
   * cd /etc/selinux/targeted/src/policy
   * echo "allow httpd_t var_lib_t:sock_file rw_socket_perms;" >
     domains/program/httpd_socket.te
   * make load

#DESC Mysqld - Database server
#
# Author:  Russell Coker 
# X-Debian-Packages: mysql-server
#

#################################
#
# Rules for the mysqld_t domain.
#
# mysqld_exec_t is the type of the mysqld executable.
#
daemon_domain(mysqld)

type mysqld_port_t, port_type;
allow mysqld_t mysqld_port_t:tcp_socket name_bind;

allow mysqld_t mysqld_var_run_t:sock_file create_file_perms;

etcdir_domain(mysqld)
typealias mysqld_etc_t alias etc_mysqld_t;
type mysqld_db_t, file_type, sysadmfile;

log_domain(mysqld)

# for temporary tables
tmp_domain(mysqld)

allow mysqld_t usr_t:file { getattr read };

allow mysqld_t self:fifo_file { read write };
allow mysqld_t self:unix_stream_socket create_stream_socket_perms;
allow initrc_t mysqld_t:unix_stream_socket connectto;
allow initrc_t mysqld_var_run_t:sock_file write;

allow initrc_t mysqld_log_t:file { write append setattr ioctl };

allow mysqld_t self:capability { dac_override setgid setuid };
allow mysqld_t self:process getsched;

allow mysqld_t proc_t:file { getattr read };

# Allow access to the mysqld databases
create_dir_file(mysqld_t, mysqld_db_t)
allow mysqld_t var_lib_t:dir { getattr search };

can_network(mysqld_t)
can_ypbind(mysqld_t)

# read config files
r_dir_file(initrc_t, mysqld_etc_t)
allow mysqld_t { etc_t etc_runtime_t }:{ file lnk_file } { read getattr };

allow mysqld_t etc_t:dir search;

allow mysqld_t sysctl_kernel_t:dir search;
allow mysqld_t sysctl_kernel_t:file read;

can_unix_connect(sysadm_t, mysqld_t)

# for /root/.my.cnf - should not be needed
allow mysqld_t sysadm_home_dir_t:dir search;
allow mysqld_t sysadm_home_t:file { read getattr };

ifdef(`logrotate.te', `
r_dir_file(logrotate_t, mysqld_etc_t)
allow logrotate_t mysqld_db_t:dir search;
allow logrotate_t mysqld_var_run_t:dir search;
allow logrotate_t mysqld_var_run_t:sock_file write;
can_unix_connect(logrotate_t, mysqld_t)
')

ifdef(`user_db_connect', `
allow userdomain mysqld_var_run_t:dir search;
allow userdomain mysqld_var_run_t:sock_file write;
')

ifdef(`daemontools.te', `
domain_auto_trans( svc_run_t, mysqld_exec_t, mysqld_t)
allow svc_start_t mysqld_t:process signal;
svc_ipc_domain(mysqld_t)
')dnl end ifdef daemontools

ifdef(`distro_redhat', `
allow initrc_t mysqld_db_t:dir create_dir_perms;

# because Fedora has the sock_file in the database directory
file_type_auto_trans(mysqld_t, mysqld_db_t, mysqld_var_run_t, sock_file)
')

---

• Follow-Ups:
  • • From: dragoran

• References:
  • • From: dragoran

[][]   [][]   [] [] []

Chinaunix首页 | 论坛 | 博客

博文 博主

ELM's Blogwenzk.blog.chinaunix.net

• 4月28日14:30-20:30机房服务器迁移，暂停博客使用
• 9/30日 14:00 -10/4日 08:00暂时无法发布内容！
• 9/30日 14:00 -10/4日 08:00暂时无法发布内容！

首页　| 　博文目录　| 　关于我

wenzk

• 博客访问： 7683621
• 博文数量： 637
• 博客积分： 10265
• 博客等级： 上将
• 技术积分： 6165
• 用 户 组： 普通用户
• 注册时间： 2004-12-12 22:00

文章分类

全部博文（637）

• 程序设计（9）
• Solaris系统（22）
• 数码相机（8）
• IT新技术（11）
• DNS相关（16）
• Office相关（13）
• OpenVPN（2）
• 供电系统（9）
• 工作相关（79）
• BSD杂谈（46）
• 数据库相关（35）
• 乱七八糟（31）
• Linux系统相关（224）
• 自娱自乐（19）
• 邮件系统相关（39）
• 计算机网络（73）
• 未分配的博文（1）

文章存档

2011年（1）

• 2011年07月（1）

2010年（1）

• 2010年02月（1）

2009年（3）

• 2009年09月（2）
• 2009年05月（1）

2008年（12）

• 2008年06月（1）
• 2008年04月（9）
• 2008年03月（1）
• 2008年01月（1）

2007年（44）

• 2007年11月（2）
• 2007年10月（1）
• 2007年09月（1）
• 2007年07月（1）
• 2007年06月（11）
• 2007年05月（4）
• 2007年04月（5）
• 2007年03月（13）
• 2007年01月（6）

2006年（156）

• 2006年11月（3）
• 2006年10月（8）
• 2006年09月（1）
• 2006年08月（8）
• 2006年06月（12）
• 2006年05月（12）
• 2006年04月（4）
• 2006年03月（25）
• 2006年02月（24）
• 2006年01月（59）

2005年（419）

• 2005年12月（55）
• 2005年11月（20）
• 2005年10月（79）
• 2005年09月（11）
• 2005年08月（22）
• 2005年07月（44）
• 2005年06月（81）
• 2005年05月（48）
• 2005年04月（11）
• 2005年03月（48）

2004年（1）

• 2004年12月（1）

我的朋友

• 

  一鸣雨

• 

  叶绍琛

• 

  大鬼不动

• 

  myeer

• 

  chbljy12

• 

  flashfir

• 

  techim

• 

  非洲乌龟

• 

  wangzhan

最近访客

• 

  beyand81

• 

  lyg111

• 

  khls27

• 

  gaokeke1

• 

  5sky

• 

  suixiaof

• 

  djx2020

• 

  cynthia

• 

  浪花小雨

推荐博文

• ·ORACLE SQL overlap时间段重...
• ·Rust入门到精通(三）—— 不...
• ·Oracle 1582-10-07问题
• ·1：Python开发：初识Python...
• ·ORACLE物理结构

相关博文

• ·通过内置FTP服务共享本地文件...
• ·Jtti：教你如何远程管理Linux...
• ·Linux中如何删除文件和目录？...
• ·百度搜索：蓝易云 - k8s部署n...
• ·百度搜索：蓝易云 - DNS部署...
• ·SQL数据库的错误处理机制是怎...
• ·Ubuntu linux 命令总结
• ·内网穿透详解：从传统方式到P...
• ·CentOS设置单用户模式快速修...
• ·FMEA在网络安全中的应用实践...

PHP cannot connect to mysql server (FC3 SELinux)

分类： LINUX

2006-02-26 08:48:42

---

[][]   [][]   [] [] []

Re: PHP cannot connect to mysql server

---

• From: Daniel J Walsh
• To: "Fedora SELinux support list for users & developers."
• Subject: Re: PHP cannot connect to mysql server
• Date: Wed, 10 Nov 2004 10:52:22 -0500

---

dragoran wrote:

I am running FC3 with selinux on targeted policy. When PHP tryies to connect to the mysql server i get this messages in dmesg:
sbin/httpd name=mysql.sock dev=hda3 ino=309535 scontext=user_u:system_r:httpd_t tcontext=user_u:object_r:var_lib_t tclass=sock_file
Disabling SELinux for Apache fix this, but I want to run httpd with selinux.
So how can i fix this?

--
fedora-selinux-list mailing list
fedora-selinux-list redhat com

A couple of things to try.

I am thinking of adding mysqld.te file to targeted policy. (attached)

You can try to use it by doing the following

   * Install selinux-policy-targeted-sources.
   * yum install selinux-policy-targeted-sources
   * cd /etc/selinux/targeted/src/policy
   * cp MYSQLD.te domains/program/
   * make load
   * rpm -q -l mysql | restorecon -R -f -
   * service mysql restart

Or you can just add the ability to write to sock_files in var lib.

   * Install selinux-policy-targeted-sources.
   * yum install selinux-policy-targeted-sources
   * cd /etc/selinux/targeted/src/policy
   * echo "allow httpd_t var_lib_t:sock_file rw_socket_perms;" >
     domains/program/httpd_socket.te
   * make load

#DESC Mysqld - Database server
#
# Author:  Russell Coker 
# X-Debian-Packages: mysql-server
#

#################################
#
# Rules for the mysqld_t domain.
#
# mysqld_exec_t is the type of the mysqld executable.
#
daemon_domain(mysqld)

type mysqld_port_t, port_type;
allow mysqld_t mysqld_port_t:tcp_socket name_bind;

allow mysqld_t mysqld_var_run_t:sock_file create_file_perms;

etcdir_domain(mysqld)
typealias mysqld_etc_t alias etc_mysqld_t;
type mysqld_db_t, file_type, sysadmfile;

log_domain(mysqld)

# for temporary tables
tmp_domain(mysqld)

allow mysqld_t usr_t:file { getattr read };

allow mysqld_t self:fifo_file { read write };
allow mysqld_t self:unix_stream_socket create_stream_socket_perms;
allow initrc_t mysqld_t:unix_stream_socket connectto;
allow initrc_t mysqld_var_run_t:sock_file write;

allow initrc_t mysqld_log_t:file { write append setattr ioctl };

allow mysqld_t self:capability { dac_override setgid setuid };
allow mysqld_t self:process getsched;

allow mysqld_t proc_t:file { getattr read };

# Allow access to the mysqld databases
create_dir_file(mysqld_t, mysqld_db_t)
allow mysqld_t var_lib_t:dir { getattr search };

can_network(mysqld_t)
can_ypbind(mysqld_t)

# read config files
r_dir_file(initrc_t, mysqld_etc_t)
allow mysqld_t { etc_t etc_runtime_t }:{ file lnk_file } { read getattr };

allow mysqld_t etc_t:dir search;

allow mysqld_t sysctl_kernel_t:dir search;
allow mysqld_t sysctl_kernel_t:file read;

can_unix_connect(sysadm_t, mysqld_t)

# for /root/.my.cnf - should not be needed
allow mysqld_t sysadm_home_dir_t:dir search;
allow mysqld_t sysadm_home_t:file { read getattr };

ifdef(`logrotate.te', `
r_dir_file(logrotate_t, mysqld_etc_t)
allow logrotate_t mysqld_db_t:dir search;
allow logrotate_t mysqld_var_run_t:dir search;
allow logrotate_t mysqld_var_run_t:sock_file write;
can_unix_connect(logrotate_t, mysqld_t)
')

ifdef(`user_db_connect', `
allow userdomain mysqld_var_run_t:dir search;
allow userdomain mysqld_var_run_t:sock_file write;
')

ifdef(`daemontools.te', `
domain_auto_trans( svc_run_t, mysqld_exec_t, mysqld_t)
allow svc_start_t mysqld_t:process signal;
svc_ipc_domain(mysqld_t)
')dnl end ifdef daemontools

ifdef(`distro_redhat', `
allow initrc_t mysqld_db_t:dir create_dir_perms;

# because Fedora has the sock_file in the database directory
file_type_auto_trans(mysqld_t, mysqld_db_t, mysqld_var_run_t, sock_file)
')

---

• Follow-Ups:
  • • From: dragoran

• References:
  • • From: dragoran

[][]   [][]   [] [] []

阅读(161789) | 评论(0) | 转发(0) |

0

上一篇：linux无盘站

下一篇：Fedora Core 3 Server Setup (SELinux Enable MySQL)

给主人留下些什么吧！~~

评论热议

请登录后评论。

登录 注册

关于我们 | 关于IT168 | 联系方式 | 广告合作 | 法律声明 | 免费注册

Copyright 2001-2010 ChinaUnix.net All Rights Reserved 北京皓辰网域网络信息技术有限公司. 版权所有

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6

阅读(161788) | 评论(0) | 转发(0) |

0

上一篇：linux无盘站

下一篇：Fedora Core 3 Server Setup (SELinux Enable MySQL)

给主人留下些什么吧！~~

评论热议

请登录后评论。

登录 注册

关于我们 | 关于IT168 | 联系方式 | 广告合作 | 法律声明 | 免费注册

Copyright 2001-2010 ChinaUnix.net All Rights Reserved 北京皓辰网域网络信息技术有限公司. 版权所有

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6

阅读(161787) | 评论(0) | 转发(0) |

0

上一篇：linux无盘站

下一篇：Fedora Core 3 Server Setup (SELinux Enable MySQL)

给主人留下些什么吧！~~

评论热议

请登录后评论。

登录 注册

关于我们 | 关于IT168 | 联系方式 | 广告合作 | 法律声明 | 免费注册

Copyright 2001-2010 ChinaUnix.net All Rights Reserved 北京皓辰网域网络信息技术有限公司. 版权所有

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6

阅读(161786) | 评论(0) | 转发(0) |

0

上一篇：linux无盘站

下一篇：Fedora Core 3 Server Setup (SELinux Enable MySQL)

给主人留下些什么吧！~~

评论热议

请登录后评论。

登录 注册

关于我们 | 关于IT168 | 联系方式 | 广告合作 | 法律声明 | 免费注册

Copyright 2001-2010 ChinaUnix.net All Rights Reserved 北京皓辰网域网络信息技术有限公司. 版权所有

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6

阅读(161785) | 评论(0) | 转发(0) |

0

上一篇：linux无盘站

下一篇：Fedora Core 3 Server Setup (SELinux Enable MySQL)

给主人留下些什么吧！~~

评论热议

请登录后评论。

登录 注册

关于我们 | 关于IT168 | 联系方式 | 广告合作 | 法律声明 | 免费注册

Copyright 2001-2010 ChinaUnix.net All Rights Reserved 北京皓辰网域网络信息技术有限公司. 版权所有

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6

阅读(161784) | 评论(0) | 转发(0) |

0

上一篇：linux无盘站

下一篇：Fedora Core 3 Server Setup (SELinux Enable MySQL)

给主人留下些什么吧！~~

评论热议

请登录后评论。

登录 注册

关于我们 | 关于IT168 | 联系方式 | 广告合作 | 法律声明 | 免费注册

Copyright 2001-2010 ChinaUnix.net All Rights Reserved 北京皓辰网域网络信息技术有限公司. 版权所有

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6

阅读(161783) | 评论(0) | 转发(0) |

0

上一篇：linux无盘站

下一篇：Fedora Core 3 Server Setup (SELinux Enable MySQL)

给主人留下些什么吧！~~

评论热议

请登录后评论。

登录 注册

关于我们 | 关于IT168 | 联系方式 | 广告合作 | 法律声明 | 免费注册

Copyright 2001-2010 ChinaUnix.net All Rights Reserved 北京皓辰网域网络信息技术有限公司. 版权所有

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6

阅读(161782) | 评论(0) | 转发(0) |

0

上一篇：linux无盘站

下一篇：Fedora Core 3 Server Setup (SELinux Enable MySQL)

给主人留下些什么吧！~~

评论热议

请登录后评论。

登录 注册

关于我们 | 关于IT168 | 联系方式 | 广告合作 | 法律声明 | 免费注册

Copyright 2001-2010 ChinaUnix.net All Rights Reserved 北京皓辰网域网络信息技术有限公司. 版权所有

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6

阅读(161781) | 评论(0) | 转发(0) |

0

上一篇：linux无盘站

下一篇：Fedora Core 3 Server Setup (SELinux Enable MySQL)

给主人留下些什么吧！~~

评论热议

请登录后评论。

登录 注册

关于我们 | 关于IT168 | 联系方式 | 广告合作 | 法律声明 | 免费注册

Copyright 2001-2010 ChinaUnix.net All Rights Reserved 北京皓辰网域网络信息技术有限公司. 版权所有

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6

阅读(161780) | 评论(0) | 转发(0) |

0

上一篇：linux无盘站

下一篇：Fedora Core 3 Server Setup (SELinux Enable MySQL)

给主人留下些什么吧！~~

评论热议

请登录后评论。

登录 注册

关于我们 | 关于IT168 | 联系方式 | 广告合作 | 法律声明 | 免费注册

Copyright 2001-2010 ChinaUnix.net All Rights Reserved 北京皓辰网域网络信息技术有限公司. 版权所有

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6

阅读(161779) | 评论(0) | 转发(0) |

0

上一篇：linux无盘站

下一篇：Fedora Core 3 Server Setup (SELinux Enable MySQL)

给主人留下些什么吧！~~

评论热议

请登录后评论。

登录 注册

关于我们 | 关于IT168 | 联系方式 | 广告合作 | 法律声明 | 免费注册

Copyright 2001-2010 ChinaUnix.net All Rights Reserved 北京皓辰网域网络信息技术有限公司. 版权所有

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6

阅读(161778) | 评论(0) | 转发(0) |

0

上一篇：linux无盘站

下一篇：Fedora Core 3 Server Setup (SELinux Enable MySQL)

给主人留下些什么吧！~~

评论热议

请登录后评论。

登录 注册

关于我们 | 关于IT168 | 联系方式 | 广告合作 | 法律声明 | 免费注册

Copyright 2001-2010 ChinaUnix.net All Rights Reserved 北京皓辰网域网络信息技术有限公司. 版权所有

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6

阅读(161777) | 评论(0) | 转发(0) |

0

上一篇：linux无盘站

下一篇：Fedora Core 3 Server Setup (SELinux Enable MySQL)

给主人留下些什么吧！~~

评论热议

请登录后评论。

登录 注册

关于我们 | 关于IT168 | 联系方式 | 广告合作 | 法律声明 | 免费注册

Copyright 2001-2010 ChinaUnix.net All Rights Reserved 北京皓辰网域网络信息技术有限公司. 版权所有

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6

阅读(161776) | 评论(0) | 转发(0) |

0

上一篇：linux无盘站

下一篇：Fedora Core 3 Server Setup (SELinux Enable MySQL)

给主人留下些什么吧！~~

评论热议

请登录后评论。

登录 注册

关于我们 | 关于IT168 | 联系方式 | 广告合作 | 法律声明 | 免费注册

Copyright 2001-2010 ChinaUnix.net All Rights Reserved 北京皓辰网域网络信息技术有限公司. 版权所有

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6

阅读(161775) | 评论(0) | 转发(0) |

0

上一篇：linux无盘站

下一篇：Fedora Core 3 Server Setup (SELinux Enable MySQL)

给主人留下些什么吧！~~

评论热议

请登录后评论。

登录 注册

关于我们 | 关于IT168 | 联系方式 | 广告合作 | 法律声明 | 免费注册

Copyright 2001-2010 ChinaUnix.net All Rights Reserved 北京皓辰网域网络信息技术有限公司. 版权所有

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6

阅读(161774) | 评论(0) | 转发(0) |

0

上一篇：linux无盘站

下一篇：Fedora Core 3 Server Setup (SELinux Enable MySQL)

给主人留下些什么吧！~~

评论热议

请登录后评论。

登录 注册

关于我们 | 关于IT168 | 联系方式 | 广告合作 | 法律声明 | 免费注册

Copyright 2001-2010 ChinaUnix.net All Rights Reserved 北京皓辰网域网络信息技术有限公司. 版权所有

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6

阅读(161773) | 评论(0) | 转发(0) |

0

上一篇：linux无盘站

下一篇：Fedora Core 3 Server Setup (SELinux Enable MySQL)

给主人留下些什么吧！~~

评论热议

请登录后评论。

登录 注册

关于我们 | 关于IT168 | 联系方式 | 广告合作 | 法律声明 | 免费注册

Copyright 2001-2010 ChinaUnix.net All Rights Reserved 北京皓辰网域网络信息技术有限公司. 版权所有

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6

阅读(161772) | 评论(0) | 转发(0) |

0

上一篇：linux无盘站

下一篇：Fedora Core 3 Server Setup (SELinux Enable MySQL)

给主人留下些什么吧！~~

评论热议

请登录后评论。

登录 注册

关于我们 | 关于IT168 | 联系方式 | 广告合作 | 法律声明 | 免费注册

Copyright 2001-2010 ChinaUnix.net All Rights Reserved 北京皓辰网域网络信息技术有限公司. 版权所有

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6

阅读(161771) | 评论(0) | 转发(0) |

0

上一篇：linux无盘站

下一篇：Fedora Core 3 Server Setup (SELinux Enable MySQL)

给主人留下些什么吧！~~

评论热议

请登录后评论。

登录 注册

关于我们 | 关于IT168 | 联系方式 | 广告合作 | 法律声明 | 免费注册

Copyright 2001-2010 ChinaUnix.net All Rights Reserved 北京皓辰网域网络信息技术有限公司. 版权所有

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6

阅读(161770) | 评论(0) | 转发(0) |

0

上一篇：linux无盘站

下一篇：Fedora Core 3 Server Setup (SELinux Enable MySQL)

给主人留下些什么吧！~~

评论热议

请登录后评论。

登录 注册

关于我们 | 关于IT168 | 联系方式 | 广告合作 | 法律声明 | 免费注册

Copyright 2001-2010 ChinaUnix.net All Rights Reserved 北京皓辰网域网络信息技术有限公司. 版权所有

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6

阅读(161769) | 评论(0) | 转发(0) |

0

上一篇：linux无盘站

下一篇：Fedora Core 3 Server Setup (SELinux Enable MySQL)

给主人留下些什么吧！~~

评论热议

请登录后评论。

登录 注册

关于我们 | 关于IT168 | 联系方式 | 广告合作 | 法律声明 | 免费注册

Copyright 2001-2010 ChinaUnix.net All Rights Reserved 北京皓辰网域网络信息技术有限公司. 版权所有

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6

阅读(161768) | 评论(0) | 转发(0) |

0

上一篇：linux无盘站

下一篇：Fedora Core 3 Server Setup (SELinux Enable MySQL)

给主人留下些什么吧！~~

评论热议

请登录后评论。

登录 注册

关于我们 | 关于IT168 | 联系方式 | 广告合作 | 法律声明 | 免费注册

Copyright 2001-2010 ChinaUnix.net All Rights Reserved 北京皓辰网域网络信息技术有限公司. 版权所有

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6

阅读(161767) | 评论(0) | 转发(0) |

0

上一篇：linux无盘站

下一篇：Fedora Core 3 Server Setup (SELinux Enable MySQL)

给主人留下些什么吧！~~

评论热议

请登录后评论。

登录 注册

关于我们 | 关于IT168 | 联系方式 | 广告合作 | 法律声明 | 免费注册

Copyright 2001-2010 ChinaUnix.net All Rights Reserved 北京皓辰网域网络信息技术有限公司. 版权所有

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6

阅读(161766) | 评论(0) | 转发(0) |

0

上一篇：linux无盘站

下一篇：Fedora Core 3 Server Setup (SELinux Enable MySQL)

给主人留下些什么吧！~~

评论热议

请登录后评论。

登录 注册

关于我们 | 关于IT168 | 联系方式 | 广告合作 | 法律声明 | 免费注册

Copyright 2001-2010 ChinaUnix.net All Rights Reserved 北京皓辰网域网络信息技术有限公司. 版权所有

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6

阅读(161765) | 评论(0) | 转发(0) |

0

上一篇：linux无盘站

下一篇：Fedora Core 3 Server Setup (SELinux Enable MySQL)

给主人留下些什么吧！~~

评论热议

请登录后评论。

登录 注册

关于我们 | 关于IT168 | 联系方式 | 广告合作 | 法律声明 | 免费注册

Copyright 2001-2010 ChinaUnix.net All Rights Reserved 北京皓辰网域网络信息技术有限公司. 版权所有

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6

阅读(161764) | 评论(0) | 转发(0) |

0

上一篇：linux无盘站

下一篇：Fedora Core 3 Server Setup (SELinux Enable MySQL)

给主人留下些什么吧！~~

评论热议

请登录后评论。

登录 注册

关于我们 | 关于IT168 | 联系方式 | 广告合作 | 法律声明 | 免费注册

Copyright 2001-2010 ChinaUnix.net All Rights Reserved 北京皓辰网域网络信息技术有限公司. 版权所有

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6

阅读(161763) | 评论(0) | 转发(0) |

0

上一篇：linux无盘站

下一篇：Fedora Core 3 Server Setup (SELinux Enable MySQL)

给主人留下些什么吧！~~

评论热议

请登录后评论。

登录 注册

关于我们 | 关于IT168 | 联系方式 | 广告合作 | 法律声明 | 免费注册

Copyright 2001-2010 ChinaUnix.net All Rights Reserved 北京皓辰网域网络信息技术有限公司. 版权所有

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6

阅读(161762) | 评论(0) | 转发(0) |

0

上一篇：linux无盘站

下一篇：Fedora Core 3 Server Setup (SELinux Enable MySQL)

给主人留下些什么吧！~~

评论热议

请登录后评论。

登录 注册

关于我们 | 关于IT168 | 联系方式 | 广告合作 | 法律声明 | 免费注册

Copyright 2001-2010 ChinaUnix.net All Rights Reserved 北京皓辰网域网络信息技术有限公司. 版权所有

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6

阅读(161761) | 评论(0) | 转发(0) |

0

上一篇：linux无盘站

下一篇：Fedora Core 3 Server Setup (SELinux Enable MySQL)

给主人留下些什么吧！~~

评论热议

请登录后评论。

登录 注册

关于我们 | 关于IT168 | 联系方式 | 广告合作 | 法律声明 | 免费注册

Copyright 2001-2010 ChinaUnix.net All Rights Reserved 北京皓辰网域网络信息技术有限公司. 版权所有

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6

阅读(161760) | 评论(0) | 转发(0) |

0

上一篇：linux无盘站

下一篇：Fedora Core 3 Server Setup (SELinux Enable MySQL)

给主人留下些什么吧！~~

评论热议

请登录后评论。

登录 注册

关于我们 | 关于IT168 | 联系方式 | 广告合作 | 法律声明 | 免费注册

Copyright 2001-2010 ChinaUnix.net All Rights Reserved 北京皓辰网域网络信息技术有限公司. 版权所有

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6

阅读(161759) | 评论(0) | 转发(0) |

0

上一篇：linux无盘站

下一篇：Fedora Core 3 Server Setup (SELinux Enable MySQL)

给主人留下些什么吧！~~

评论热议

请登录后评论。

登录 注册

关于我们 | 关于IT168 | 联系方式 | 广告合作 | 法律声明 | 免费注册

Copyright 2001-2010 ChinaUnix.net All Rights Reserved 北京皓辰网域网络信息技术有限公司. 版权所有

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6

阅读(161758) | 评论(0) | 转发(0) |

0

上一篇：linux无盘站

下一篇：Fedora Core 3 Server Setup (SELinux Enable MySQL)

给主人留下些什么吧！~~

评论热议

请登录后评论。

登录 注册

关于我们 | 关于IT168 | 联系方式 | 广告合作 | 法律声明 | 免费注册

Copyright 2001-2010 ChinaUnix.net All Rights Reserved 北京皓辰网域网络信息技术有限公司. 版权所有

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6

阅读(161757) | 评论(0) | 转发(0) |

0

上一篇：linux无盘站

下一篇：Fedora Core 3 Server Setup (SELinux Enable MySQL)

给主人留下些什么吧！~~

评论热议

请登录后评论。

登录 注册

关于我们 | 关于IT168 | 联系方式 | 广告合作 | 法律声明 | 免费注册

Copyright 2001-2010 ChinaUnix.net All Rights Reserved 北京皓辰网域网络信息技术有限公司. 版权所有

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6

阅读(161756) | 评论(0) | 转发(0) |

0

上一篇：linux无盘站

下一篇：Fedora Core 3 Server Setup (SELinux Enable MySQL)

给主人留下些什么吧！~~

评论热议

请登录后评论。

登录 注册

关于我们 | 关于IT168 | 联系方式 | 广告合作 | 法律声明 | 免费注册

Copyright 2001-2010 ChinaUnix.net All Rights Reserved 北京皓辰网域网络信息技术有限公司. 版权所有

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6

阅读(161755) | 评论(0) | 转发(0) |

0

上一篇：linux无盘站

下一篇：Fedora Core 3 Server Setup (SELinux Enable MySQL)

给主人留下些什么吧！~~

评论热议

请登录后评论。

登录 注册

关于我们 | 关于IT168 | 联系方式 | 广告合作 | 法律声明 | 免费注册

Copyright 2001-2010 ChinaUnix.net All Rights Reserved 北京皓辰网域网络信息技术有限公司. 版权所有

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6

阅读(161754) | 评论(0) | 转发(0) |

0

上一篇：linux无盘站

下一篇：Fedora Core 3 Server Setup (SELinux Enable MySQL)

给主人留下些什么吧！~~

评论热议

请登录后评论。

登录 注册

关于我们 | 关于IT168 | 联系方式 | 广告合作 | 法律声明 | 免费注册

Copyright 2001-2010 ChinaUnix.net All Rights Reserved 北京皓辰网域网络信息技术有限公司. 版权所有

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6

阅读(161753) | 评论(0) | 转发(0) |

0

上一篇：linux无盘站

下一篇：Fedora Core 3 Server Setup (SELinux Enable MySQL)

给主人留下些什么吧！~~

评论热议

请登录后评论。

登录 注册

关于我们 | 关于IT168 | 联系方式 | 广告合作 | 法律声明 | 免费注册

Copyright 2001-2010 ChinaUnix.net All Rights Reserved 北京皓辰网域网络信息技术有限公司. 版权所有

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6

阅读(161752) | 评论(0) | 转发(0) |

0

上一篇：linux无盘站

下一篇：Fedora Core 3 Server Setup (SELinux Enable MySQL)

给主人留下些什么吧！~~

评论热议

请登录后评论。

登录 注册

关于我们 | 关于IT168 | 联系方式 | 广告合作 | 法律声明 | 免费注册

Copyright 2001-2010 ChinaUnix.net All Rights Reserved 北京皓辰网域网络信息技术有限公司. 版权所有

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6

阅读(161751) | 评论(0) | 转发(0) |

0

上一篇：linux无盘站

下一篇：Fedora Core 3 Server Setup (SELinux Enable MySQL)

给主人留下些什么吧！~~

评论热议

请登录后评论。

登录 注册

关于我们 | 关于IT168 | 联系方式 | 广告合作 | 法律声明 | 免费注册

Copyright 2001-2010 ChinaUnix.net All Rights Reserved 北京皓辰网域网络信息技术有限公司. 版权所有

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6

阅读(161750) | 评论(0) | 转发(0) |

0

上一篇：linux无盘站

下一篇：Fedora Core 3 Server Setup (SELinux Enable MySQL)

给主人留下些什么吧！~~

评论热议

请登录后评论。

登录 注册

关于我们 | 关于IT168 | 联系方式 | 广告合作 | 法律声明 | 免费注册

Copyright 2001-2010 ChinaUnix.net All Rights Reserved 北京皓辰网域网络信息技术有限公司. 版权所有

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6

阅读(161749) | 评论(0) | 转发(0) |

0

上一篇：linux无盘站

下一篇：Fedora Core 3 Server Setup (SELinux Enable MySQL)

给主人留下些什么吧！~~

评论热议

请登录后评论。

登录 注册

关于我们 | 关于IT168 | 联系方式 | 广告合作 | 法律声明 | 免费注册

Copyright 2001-2010 ChinaUnix.net All Rights Reserved 北京皓辰网域网络信息技术有限公司. 版权所有

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6

阅读(161748) | 评论(0) | 转发(0) |

0

上一篇：linux无盘站

下一篇：Fedora Core 3 Server Setup (SELinux Enable MySQL)

给主人留下些什么吧！~~

评论热议

请登录后评论。

登录 注册

关于我们 | 关于IT168 | 联系方式 | 广告合作 | 法律声明 | 免费注册

Copyright 2001-2010 ChinaUnix.net All Rights Reserved 北京皓辰网域网络信息技术有限公司. 版权所有

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6

阅读(161747) | 评论(0) | 转发(0) |

0

上一篇：linux无盘站

下一篇：Fedora Core 3 Server Setup (SELinux Enable MySQL)

给主人留下些什么吧！~~

评论热议

请登录后评论。

登录 注册

关于我们 | 关于IT168 | 联系方式 | 广告合作 | 法律声明 | 免费注册

Copyright 2001-2010 ChinaUnix.net All Rights Reserved 北京皓辰网域网络信息技术有限公司. 版权所有

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6

阅读(161746) | 评论(0) | 转发(0) |

0

上一篇：linux无盘站

下一篇：Fedora Core 3 Server Setup (SELinux Enable MySQL)

给主人留下些什么吧！~~

评论热议

请登录后评论。

登录 注册

关于我们 | 关于IT168 | 联系方式 | 广告合作 | 法律声明 | 免费注册

Copyright 2001-2010 ChinaUnix.net All Rights Reserved 北京皓辰网域网络信息技术有限公司. 版权所有

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6

阅读(161745) | 评论(0) | 转发(0) |

0

上一篇：linux无盘站

下一篇：Fedora Core 3 Server Setup (SELinux Enable MySQL)

给主人留下些什么吧！~~

评论热议

请登录后评论。

登录 注册

关于我们 | 关于IT168 | 联系方式 | 广告合作 | 法律声明 | 免费注册

Copyright 2001-2010 ChinaUnix.net All Rights Reserved 北京皓辰网域网络信息技术有限公司. 版权所有

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6

阅读(161744) | 评论(0) | 转发(0) |

0

上一篇：linux无盘站

下一篇：Fedora Core 3 Server Setup (SELinux Enable MySQL)

给主人留下些什么吧！~~

评论热议

请登录后评论。

登录 注册

关于我们 | 关于IT168 | 联系方式 | 广告合作 | 法律声明 | 免费注册

Copyright 2001-2010 ChinaUnix.net All Rights Reserved 北京皓辰网域网络信息技术有限公司. 版权所有

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6

阅读(161743) | 评论(0) | 转发(0) |

0

上一篇：linux无盘站

下一篇：Fedora Core 3 Server Setup (SELinux Enable MySQL)

给主人留下些什么吧！~~

评论热议

请登录后评论。

登录 注册

关于我们 | 关于IT168 | 联系方式 | 广告合作 | 法律声明 | 免费注册

Copyright 2001-2010 ChinaUnix.net All Rights Reserved 北京皓辰网域网络信息技术有限公司. 版权所有

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6

阅读(161742) | 评论(0) | 转发(0) |

0

上一篇：linux无盘站

下一篇：Fedora Core 3 Server Setup (SELinux Enable MySQL)

给主人留下些什么吧！~~

评论热议

请登录后评论。

登录 注册

关于我们 | 关于IT168 | 联系方式 | 广告合作 | 法律声明 | 免费注册

Copyright 2001-2010 ChinaUnix.net All Rights Reserved 北京皓辰网域网络信息技术有限公司. 版权所有

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6

阅读(161741) | 评论(0) | 转发(0) |

0

上一篇：linux无盘站

下一篇：Fedora Core 3 Server Setup (SELinux Enable MySQL)

给主人留下些什么吧！~~

评论热议

请登录后评论。

登录 注册

关于我们 | 关于IT168 | 联系方式 | 广告合作 | 法律声明 | 免费注册

Copyright 2001-2010 ChinaUnix.net All Rights Reserved 北京皓辰网域网络信息技术有限公司. 版权所有

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6

阅读(161740) | 评论(0) | 转发(0) |

0

上一篇：linux无盘站

下一篇：Fedora Core 3 Server Setup (SELinux Enable MySQL)

给主人留下些什么吧！~~

评论热议

请登录后评论。

登录 注册

关于我们 | 关于IT168 | 联系方式 | 广告合作 | 法律声明 | 免费注册

Copyright 2001-2010 ChinaUnix.net All Rights Reserved 北京皓辰网域网络信息技术有限公司. 版权所有

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6

阅读(161739) | 评论(0) | 转发(0) |

0

上一篇：linux无盘站

下一篇：Fedora Core 3 Server Setup (SELinux Enable MySQL)

给主人留下些什么吧！~~

评论热议

请登录后评论。

登录 注册

关于我们 | 关于IT168 | 联系方式 | 广告合作 | 法律声明 | 免费注册

Copyright 2001-2010 ChinaUnix.net All Rights Reserved 北京皓辰网域网络信息技术有限公司. 版权所有

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6