Se você mudar a transição de domínio para o MySQL com o mysqld_disable_trans
booleano, o MySQL não é mais protegido pelo SELinux.
Mais em detalhe: definir este booleano fará com que o mysqld seja executado como initrc_t
, que é mais ou menos o mesmo que unconfined_t
. Isso significa que as restrições do SELinux em qual porta o MySQL pode e não pode ser usado serão removidas.
Inverta o booleano usando:
setsebool mysqld_disable_trans 1
ou torná-lo diretamente com
setsebool -P mysqld_disable_trans 1
Em ainda mais detalhes: o booleano desativa a transição do domínio initrc_t
para o domínio mysqld_t
no momento em que o mysqld é iniciado pelo daemon de inicialização durante a inicialização, ou a transição de unconfined_t
para mysqld_t
se Ele é iniciado manualmente após a inicialização. Portanto, o mysqld não está sendo executado fora do SELinux, mas em um domínio que tem muito menos restrições do que o mysqld_t
.
Muitos serviços que existem na política nativa do RHEL5 / CentOS 5 possuem * _disable_trans booleanos para desativar a transição de domínio para esse serviço. Em distribuições mais novas e políticas mais recentes, como no Fedora e RHEL6, você apenas descarrega o módulo completo para o mysqld para evitar que o SELinux bloqueie o seu aplicativo fazendo coisas.