問題描述：

最近發現了一個問題，在新裝的CentOS7上，安裝了MongoDB3.4，掛載了一個大的資料盤後，修改/etc/mongo.conf，將配置檔案中的log和data目錄放在新的資料盤下，並修改檔案的訪問許可權。

改完後的mongo.conf:

# mongod.conf

# for documentation of all options,see:
# http://docs.mongodb.org/manual/reference/configuration-options/

# where to write logging data.
systemLog:
 destination: file
 logAppend: true
 path: /data/mongodb/log/mongod.log

# Where and how to store data.
storage:
 dbPath: /data/mongodb/data
.....

檔案許可權：

# ls -alh
drwxr-xr-x. 5 mongod mongod 4.0K 11月 1 14:53 mongodb

# cd mongodb
# ls -alh
drwxr-xr-x. 3 mongod mongod 4.0K 11月 9 19:08 data
drwxr-xr-x. 2 mongod mongod 4.0K 11月 9 19:06 log
drwxr-xr-x. 2 mongod mongod 4.0K 11月 1 14:54 run

執行systemctl start mongod命令後，檢視狀態發現並沒有啟動，檢視/var/log/message，發現以下錯誤

Nov 9 06:06:44 [localhost] setroubleshoot: failed to retrieve rpm info for /data/mongodb/run/mongod.pid
Nov 9 06:06:44 [localhost] setroubleshoot: SELinux is preventing /usr/bin/mongod from write access on the file /data/mongodb/run/mongod.pid. For complete SELinux messages run: sealert -l f7148e11-b126-401e-ba9f-a9a87c1e54ae
Nov 9 06:06:44 [localhost] python: SELinux is preventing /usr/bin/mongod from write access on the file /data/mongodb/run/mongod.pid.#012#012***** Plugin restorecon (94.8 confidence) suggests ************************#012#012If you want to fix the label. #012/data/mongodb/run/mongod.pid default label should be default_t.#012Then you can run restorecon.#012Do#012# /sbin/restorecon -v /data/mongodb/run/mongod.pid#012#012***** Plugin catchall_labels (5.21 confidence) suggests *******************#012#012If you want to allow mongod to have write access on the mongod.pid file#012Then you need to change the label on /data/mongodb/run/mongod.pid#012Do#012# semanage fcontext -a -t FILE_TYPE '/data/mongodb/run/mongod.pid'#012where FILE_TYPE is one of the following: afs_cache_t,initrc_tmp_t,mongod_log_t,mongod_tmp_t,mongod_var_lib_t,mongod_var_run_t,puppet_tmp_t,user_cron_spool_t.#012Then execute:#012restorecon -v '/data/mongodb/run/mongod.pid'#012#012#012***** Plugin catchall (1.44 confidence) suggests **************************#012#012If you believe that mongod should be allowed write access on the mongod.pid file by default.#012Then you should report this as a bug.#012You can generate a local policy module to allow this access.#012Do#012allow this access for now by executing:#012# ausearch -c 'mongod' --raw | audit2allow -M my-mongod#012# semodule -i my-mongod.pp#012

從提示中可以看出是SELinux的防護功能，阻止了訪問。

SELinux

SELinux的全稱是Security Enhanced Linux,就是安全加強的Linux。在SELinux之前，root賬號能夠任意的訪問所有文件和服務；如果某個檔案設為777，那麼任何使用者都可以訪問甚至刪除；這種方式稱為DAC（主動訪問機制），很不安全。

DAC 自主訪問控制: 使用者根據自己的檔案許可權來決定對檔案的操作，也就是依據檔案的own，group，other/r，w，x許可權進行限制。Root有最高許可權無法限制。r，w，x許可權劃分太粗糙。無法針對不同的程序實現限制。

SELinux則是基於MAC（強制訪問機制），簡單的說，就是程式和訪問物件上都有一個安全標籤（即selinux上下文）進行區分，只有對應的標籤才能允許訪問。否則即使許可權是777，也是不能訪問的。

在SELinux中，訪問控制屬性叫做安全上下文。所有客體（檔案、程序間通訊通道、套接字、網路主機等）和主體（程序）都有與其關聯的安全上下文，一個安全上下文由三部分組成：使用者（u）、角色(r)和型別(t)識別符號。但我們最關注的是第三個部分

當程式訪問資源時，主體程式必須要通過selinux策略內的規則放行後，就可以與目標資源進行安全上下文的比對，若比對失敗則無法存取目標，若比對成功則可以開始存取目標，最終能否存取目標還要與檔案系統的rwx許可權的設定有關。所以啟用了selinux後出現許可權不符的情況時，你就得一步一步的分析可能的問題了。

解決過程：

/var/log/message中的資訊看起來比較費勁，裡面有一句提示：

For complete SELinux messages run: sealert -l e73ba9e8-f74d-4835-9b53-85667546b28c

根據提示執行：

# sealert -l e73ba9e8-f74d-4835-9b53-85667546b28c
SELinux is preventing /usr/bin/mongod from write access on the directory /data/mongodb/log.

***** Plugin catchall_labels (83.8 confidence) suggests *******************

If you want to allow mongod to have write access on the log directory
Then 必須更改 /data/mongodb/log 中的標籤
Do
# semanage fcontext -a -t FILE_TYPE '/data/mongodb/log'

其中 FILE_TYPE 為以下內容之一：mongod_log_t,tmp_t,var_lib_t,var_log_t,var_run_t。

然後執行：

restorecon -v '/data/mongodb/log'


***** Plugin catchall (17.1 confidence) suggests **************************
......

上面提示輸出中已經包含了，解決方法：

# semanage fcontext -a -t mongo_log_t '/data/mongodb/log'
# restorecon -v '/data/mongodb/log'
restorecon reset /data/mongodb/log context unconfined_u:object_r:unlabeled_t:s0->unconfined_u:object_r:mongod_log_t:s0

上面命令執行完畢後，就解決了/data/mongodb/log目錄的檔案許可權問題。

同樣的方法，再解決/data/mongodb/data和/data/mongodb/run目錄的問題。

啟動mongod，問題解決。

Nov 9 06:08:51 [localhost] systemd: Starting High-performance,schema-free document-oriented database...
Nov 9 06:08:51 [localhost] systemd: Started High-performance,schema-free document-oriented database.
Nov 9 06:08:51 [localhost] mongod: about to fork child process,waiting until server is ready for connections.
Nov 9 06:08:51 [localhost] mongod: forked process: 18218
Nov 9 06:08:51 [localhost] mongod: child process started successfully,parent exiting

P.S. 除了上面通過提示資訊解決問題外，還有一個比較暴力的方法，直接關閉SELinux，但是不太建議。

# setenforce 0
# getenforce
Permissive

上面是臨時關閉，如果是永久關閉，就需要編輯/etc/selinux/config檔案，將SELINUX=enforcing改為SELINUX=disabled，但是隻有重啟後才會發揮作用。

總結

以上就是這篇文章的全部內容了，希望本文的內容對大家的學習或者工作具有一定的參考學習價值，如果有疑問大家可以留言交流，謝謝大家對我們的支援。