CentOS 7后台导入MySQL备份时权限被拒

一、问题背景与现象描述

在CentOS 7系统中，通过nohup或systemd服务方式执行MySQL数据库备份导入时，常遇到“权限被拒”（Permission denied）错误。典型命令如：

nohup mysql -u root -p db_name < /home/user/backup.sql &

尽管用户具备文件读取权限，但进程仍无法访问.sql文件，导致导入中断。该问题多发于非root用户执行场景，尤其当备份文件位于家目录、临时路径等非标准位置时。

核心原因可归结为两类：文件系统权限配置不当与SELinux安全策略限制。

二、排查流程：由浅入深的诊断路径

1. 确认.sql文件的基本读取权限
2. 检查执行mysql命令的用户是否具备对文件及父目录的读权限
3. 验证mysqld进程是否被SELinux策略限制访问特定路径
4. 分析systemd服务单元中User、WorkingDirectory等配置项的影响
5. 使用auditlog日志定位SELinux拒绝行为

三、常见技术问题汇总

四、解决方案详解

4.1 文件权限与归属调整

确保目标用户拥有.sql文件的读权限：

# 假设使用mysql用户导入
chown mysql:mysql /home/user/backup.sql
chmod 644 /home/user/backup.sql

同时需保证所有父目录具有可执行权限（x），否则无法进入路径：

chmod +x /home/user

4.2 SELinux策略处理

SELinux默认策略可能禁止mysqld访问用户家目录中的文件。可通过以下命令查看当前上下文：

ls -Z /home/user/backup.sql

若显示user_home_t类型，则属于受限区域。解决方法有两种：

• 临时禁用SELinux验证问题根源：setenforce 0
• 永久保留策略并修改安全上下文：

  semanage fcontext -a -t mysqld_db_t "/home/user/backup.sql"
  restorecon -v /home/user/backup.sql

五、基于systemd的服务配置最佳实践

创建自定义service文件以规范后台导入流程：

[Unit]
Description=MySQL Database Import Service
After=network.target mysqld.service

[Service]
Type=oneshot
User=mysql
Group=mysql
WorkingDirectory=/var/lib/mysql
ExecStart=/usr/bin/mysql -u root -p'password' db_name < /opt/backups/backup.sql
StandardOutput=journal
StandardError=journal

[Install]
WantedBy=multi-user.target

关键点包括：显式指定User/Group、使用绝对路径、避免shell重定向语法（建议封装脚本）。

六、流程图：权限问题诊断逻辑树

graph TD
    A[导入失败: Permission denied] --> B{能否cat读取文件?}
    B -- 是 --> C[检查SELinux状态]
    B -- 否 --> D[检查文件权限与属主]
    D --> E[chown & chmod修正]
    C --> F[getenforce]
    F -- Enforcing --> G[查看avc:denied日志]
    G --> H[使用semanage修改上下文]
    F -- Permissive --> I[确认为SELinux引发]
    H --> J[恢复setenforce 1测试]
    

七、高级调试技巧

启用SELinux审计日志追踪精确拒绝原因：

ausearch -m avc -ts recent | grep mysqld

输出示例：

type=AVC msg=audit(1713560234.123:456): avc: denied { read } for pid=1234 comm="mysqld" name="backup.sql" dev="sda1" ino=7890 scontext=system_u:system_r:mysqld_t:s0 tcontext=user_u:object_r:user_home_t:s0 tclass=file

其中scontext为源上下文（mysqld进程），tcontext为目标上下文（文件），tclass=file表明是文件类访问被拒。

结合sealert工具生成修复建议：

sealert -a /var/log/audit/audit.log

八、生产环境推荐做法

• 将备份文件存放于/opt/backups或/var/lib/mysql/imports等标准路径
• 使用专用系统用户（如dbadmin）执行导入任务
• 通过Ansible/Puppet统一管理SELinux策略和文件权限
• 编写封装脚本替代直接nohup调用，增强错误捕获能力
• 定期审计audit.log识别潜在安全拦截事件