質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

87.59%

phpからmariadbにログインできない

解決済

回答 2

投稿 編集

  • 評価
  • クリップ 0
  • VIEW 1,085

score 28

以下のtest.php にブラウザーからアクセスすると、ログイン失敗になります。
setenforce 0 にすると、ログインできるようになります。

なので、SELinux の設定だと思うのですが、どのような設定をすればいいのでしょうか。

同じ設定をしている他のサーバーがあって、そちらはアクセスできています。
そこで、getsebool -a でお互いのサーバーの比較をしたところ
違いは、httpd_can_network_connect と httpd_can_network_connect_db が off/on の違いのみで後は同じでした。この違いは、アドバイスを頂き設定変更した部分で、ログインできるサーバーは、off、ログインできないサーバーは、on になっています。

ls -Z /dev/vda1 で、アクセスできるサーバーとできないサーバーを比較しましたが、全く同じでした。

アクセスできているサーバー アクセスできないサーバー
brw-rw----. root disk system_u:object_r:fixed_disk_device_t:s0 /dev/vda1 brw-rw----. root disk system_u:object_r:fixed_disk_device_t:s0 /dev/vda1

ls -Z /var/lib/mysql で、アクセスできるサーバーとできないサーバーを比較したら、結果が違いました。

アクセスできているサーバー アクセスできないサーバー
lrwxrwxrwx. root root unconfined_u:object_r:var_lib_t:s0 /var/lib/mysql -> /mnt/data01/mariadb lrwxrwxrwx. root root system_u:object_r:mysqld_db_t:s0 /var/lib/mysql -> /mnt/data01/mariadb

上記、ユーザーとタイプがアクセスできているサーバーと違うので、以下、chcon をしてみたが、ユーザーとタイプは変更できなかった。
chcon -u unconfined_u -t var_lib_t /var/lib/mysql
restorecon -R /var/lib/mysql

【test.php】
<html>
<head><title>php db access test</title></head>
<body>
<?php
$link = mysqli_connect('localhost','user','pwd');
if (!$link) {
die('ログイン失敗'.mysqli_error());
}
print('<p>ログイン成功</p>');
$db_selected = mysqli_select_db($link,'sample_request');
if (!$db_selected){
die('データベース接続失敗'.mysqli_error());
}
print('<p>データベース接続成功</p>');
$close_flag = mysqli_close($link);
if ($close_flag){
print('<p>切断</p>');
}
?>
</body>
</html>

【audit.log の denied】
type=AVC msg=audit(1541151350.065:175): avc:  denied  { read } for  pid=1871 comm="httpd" name="mysql" dev="vda1" ino=159168 scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:object_r:mysqld_db_t:s0 tclass=lnk_file

【DB】
mariadb 5.5

【OS】
CentOS Linux release 7.5.1804 (Core)

  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 過去に投稿した質問と同じ内容の質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

質問への追記・修正、ベストアンサー選択の依頼

  • fhiro_tokio

    2018/11/06 13:59

    lrwxrwxrwx. 1 mysql mysql 19 10月 18 19:01 mysql -> /mnt/data01/mariadb のようにシンボリックリンクさせています

    キャンセル

  • taka-saan

    2018/11/07 12:01

    げっ!本当だ。過去質問あるじゃん、先に教えてよ…(泣)過去質問読みましたが、「/etc/my.cnf で datadir=/mnt/data01/mariadb, socket=/mnt/data01/mariadb/mysql.sock に変更してみてください。」は結局やったのかやってないのか知りたいですね。それによって対処に影響があります。

    キャンセル

  • fhiro_tokio

    2018/11/07 14:35

    my.cnf は修正していました。

    キャンセル

回答 2

+1

SELinuxを完全無効にせずに、そこだけ無効にするにはこうです。

setsebool -P httpd_can_network_connect 1

参考:
SELinuxによるファイル制限+MySQLアクセスエラー

「SELinuxのせいで動かない」撲滅ガイド

理由がわかれば怖くない!SELinux とのつきあい方

では、
setsebool -P httpd_can_network_connect_db on
ではいかがでしょうか?
===
find / -inum 159168で探すか、
ls -i /var/lib/mysql/mysql.sockでi-node番号がわかります。
もしdeniedされてるログのinoと一致してたら、そのファイルが直接原因です。

Yesであれば
回避するため試しにunixドメインソケットを使わない接続方法で試してみてください。
mysqli_connect('127.0.0.1','user','pwd');

(また別の理由でdeniedされるかもしれませんが。)

投稿

編集

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2018/11/06 13:49 編集

    error_log には PHP Warning: mysqli_connect(): (HY000/2002):Permission denied in /var/www/html/test/Test.php on line 24 となっています。
    24行目は「$link = mysqli_connect('localhost','ユーザー','パスワード', 'sample_request');」です。

    キャンセル

  • 2018/11/07 11:36 編集

    「chconで変更できなかった」理由は、
    /var/lib/mysql は質問者さんの環境ではシンボリックリンクになっており、
    chconはシンボリックリンクに対して操作を行うとリンクファイルそのものではなく
    リンクの参照先に対して操作を行うからです。

    まずリンク先である ls -laZ /mnt/data01/mariadb の比較を教えてください。

    シンボリックリンクそのものの変更は
    chcon -h -u unconfined_u -t var_lib_t /var/lib/mysql
    でできるはずです。

    それと、mysqli_connect('127.0.0.1','user','pwd'); は試されましたか?

    キャンセル

  • 2018/11/07 14:34

    iNode が違っていたので、mysqli_connect('127.0.0.1','user','pwd'); は、試しませんでした。

    キャンセル

check解決した方法

0

以下の方法でうまくいきました。

semanage fcontext -a -t var_lib_t /var/lib/mysql
restorecon -v /var/lib/mysql

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

15分調べてもわからないことは、teratailで質問しよう!

  • ただいまの回答率 87.59%
  • 質問をまとめることで、思考を整理して素早く解決
  • テンプレート機能で、簡単に質問をまとめられる

関連した質問

同じタグがついた質問を見る