码迷,mamicode.com
首页 > 数据库 > 详细

【MySQL】【安全】探讨MySQL备份所需最小权限

时间:2018-01-18 23:11:13      阅读:238      评论:0      收藏:0      [点我收藏+]

标签:不可   oba   相关   需要   过滤   reload   进制   增删改   pre   

1.背景:

基于网络安全环境的恶化,以前用最高权限和root用户直接进行备份的操作越来越不可取,每次手工备份
太麻烦,基于脚本备份又怕高权限账号泄密。

2.解决思路:

权限最小化赋予

3.操作:

使用物理备份工具备份时可能需要的权限:

    物理备份工具:innobackupex,MySQL Enterprise Backup等等

    权限:lock tables

    作用:备份时锁表,产生一致性备份

    权限:reload

    作用:show processlist,show engine innodb status,查看线程,查看引擎状态

    权限:replication client

    作用:show master/slave status;查看事务日志执行状态与位置

           show binary logs;查看当前保存的事务日志列表与文件大小

    权限:super

    作用:super权限很多很多,但是没有CURD(增删改查权限),这里点到为止说一下和备份相关的

         起停复制线程,切换主库位置,更改复制过滤条件,清理二进制日志,

         赋予账户视图与存储过程的DEFINER权限,创建链接服务器(类似于MSSQL的订阅服务器),

         关闭线程,不受最大连接线程数限制的VIP连接通道,阻断刷新线程的命令,不受离线模式影响,           

-- 授权语句:    
grant lock tables,reload,process,replication client,super on *.* to bak@‘192.168.%‘;
flush privileges;

使用逻辑备份工具备份时可能需要的权限:

    逻辑备份工具:mysqldump,mysqlpump,mydumper等等

    权限:SELECT

    作用:查询表中数据

    权限:SHOW VIEW

    作用:查看创建表的语句

    权限:TRIGGER

    作用:备份触发器

    权限:EVENT

    作用:备份事件(定时任务)

    权限:lock tables

    作用:备份时锁表,产生一致性备份

    权限:reload

    作用:show processlist,show engine innodb status,查看线程,查看引擎状态

    权限:replication client

    作用:show master/slave status;查看事务日志执行状态与位置

           show binary logs;查看当前保存的事务日志列表与文件大小

    权限:super

    作用:关闭线程,不受最大连接线程数限制的VIP连接通道,阻断刷新线程的命令,不受离线模式影响

-- 授权语句:    
grant lock tables,reload,process,replication client,super,select,event,trigger,show event on *.* to bak@‘192.168.%‘;
flush privileges;

备注:

super权限可以防止因为线程满,备份任务无法连接数据库而导致的备份翻车。且阻断刷新线程也是很重要

innobackupex主要以物理文件和备份缓存文件的方式进行,所以不需要show权限与select权限

逻辑备份的基本原理就是数据全部读取,必须select与show权限,查看表定义的权限由select权限提供

【MySQL】【安全】探讨MySQL备份所需最小权限

标签:不可   oba   相关   需要   过滤   reload   进制   增删改   pre   

原文地址:http://blog.51cto.com/l0vesql/2062630

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!