mysql启动失败报permission denied大概率是selinux拦截:需先sestatus确认enforcing模式,再用setenforce 0临时验证;修复须用semanage fcontext注册路径上下文并restorecon生效,自定义数据目录、socket文件、非标端口均需对应配置mysqld_db_t、mysqld_var_run_t、mysqld_port_t类型。
MySQL 启动失败且报 Permission denied 错误,大概率是 SELinux 拦的
centos/RHEL 8+ 默认启用 SELinux,而 MySQL 的默认安装路径(如 /var/lib/mysql)、socket 文件(/var/lib/mysql/mysql.sock)、配置文件(/etc/my.cnf)等,若被修改过位置或权限,SELinux 会阻止 mysqld 进程访问——即使 ls -l 看权限完全正确。典型现象是:systemctl start mysqld 瞬间退出,journalctl -u mysqld -n 50 里出现 avc: denied 记录。
- 先确认状态:
sestatus—— 若输出enabled且current mode是enforcing,就需处理 SELinux - 临时放行(仅调试用):
setenforce 0,再试启动;若成功,基本锁定是 SELinux 策略问题 - 不要直接永久禁用(
sed -i 's/SELINUX=enforcing/SELINUX=disabled/' /etc/selinux/config),这等于放弃系统级安全防护
给 MySQL 目录和 socket 打上正确的 SELinux 上下文
MySQL 官方 RPM 包已内置基础策略,但手动部署、自定义数据目录(比如改到 /data/mysql)、或升级后重装,上下文常丢失。必须用 semanage fcontext 注册路径,再用 restorecon 生效,不能只靠 chcon 临时改。
- 标准数据目录修复:
semanage fcontext -a -t mysqld_db_t "/var/lib/mysql(/.*)?",然后restorecon -Rv /var/lib/mysql - 若用了自定义路径(如
/data/mysql):semanage fcontext -a -t mysqld_db_t "/data/mysql(/.*)?",再restorecon -Rv /data/mysql - socket 文件路径也要匹配:
semanage fcontext -a -t mysqld_var_run_t "/var/lib/mysql/mysql.sock",再restorecon -v /var/lib/mysql/mysql.sock - 注意正则写法中的转义:点号要写成
.,否则规则不生效
mysqld 无法绑定非标准端口(如 3307)?检查 mysqld_port_t 是否授权
MySQL 默认监听 3306,SELinux 允许该端口。若在 my.cnf 中改成 port = 3307,服务可能启动但客户端连不上,journalctl 出现 avc: denied for name="3307" ... scontext=system_u:system_r:mysqld_t:s0。这是因为 3307 不在 mysqld_port_t 类型的允许列表里。
- 查当前允许端口:
semanage port -l | grep mysqld - 添加新端口:
semanage port -a -t mysqld_port_t -p tcp 3307 - 删错的端口(谨慎):
semanage port -d -t mysqld_port_t -p tcp 3307 - 改完无需重启 mysqld,SELinux 策略实时生效
audit2why 和 audit2allow 是排障核心工具,别跳过
光看 avc denied 日志不够直观。SELinux 拒绝记录在 /var/log/audit/audit.log(或 journald),直接读很费劲。用 audit2why 能把拒绝事件翻译成自然语言原因,用 audit2allow 可生成最小化策略模块。
- 快速分析最近拒绝:
ausearch -m avc -ts recent | audit2why - 生成并安装自定义策略(例如因插件目录引发的拒绝):
ausearch -m avc -ts recent | audit2allow -M mysql_custom,然后semodule -i mysql_custom.pp - 策略模块名(
mysql_custom)不能含下划线或特殊字符,否则semodule报错 - 生成的
.pp文件是二进制策略,别手改;调试阶段建议加-D参数看原始规则(audit2allow -D -M xxx)
SELinux 不是“开关题”,关键在上下文类型与策略规则的精准匹配。漏掉一个 restorecon 或端口授权,MySQL 就可能静默失败。运维 MySQL 时,sestatus 和 ausearch 应该和 systemctl status 一样成为条件反射式操作。