查看: 1853|回复: 0

[Mysql数据库] 【MySQL】【安全】探讨MySQL备份所需最小权限

发表于 2018-1-23 08:00:01

1.背景:

  1. 基于网络安全环境的恶化,以前用最高权限和root用户直接进行备份的操作越来越不可取,每次手工备份
  2. 太麻烦,基于脚本备份又怕高权限账号泄密。
复制代码

2.解决思路:

  1. 权限最小化赋予
复制代码

3.操作:

  1. 使用物理备份工具备份时可能需要的权限:
  2. 物理备份工具:innobackupex,MySQL Enterprise Backup等等
  3. 权限:lock tables
  4. 作用:备份时锁表,产生一致性备份
  5. 权限:reload
  6. 作用:show processlist,show engine innodb status,查看线程,查看引擎状态
  7. 权限:replication client
  8. 作用:show master/slave status;查看事务日志执行状态与位置
  9. show binary logs;查看当前保存的事务日志列表与文件大小
  10. 权限:super
  11. 作用:super权限很多很多,但是没有CURD(增删改查权限),这里点到为止说一下和备份相关的
  12. 起停复制线程,切换主库位置,更改复制过滤条件,清理二进制日志,
  13. 赋予账户视图与存储过程的DEFINER权限,创建链接服务器(类似于MSSQL的订阅服务器),
  14. 关闭线程,不受最大连接线程数限制的VIP连接通道,阻断刷新线程的命令,不受离线模式影响,
  15. -- 授权语句:
  16. grant lock tables,reload,process,replication client,super on *.* to bak@'192.168.%';
  17. flush privileges;
  18. 使用逻辑备份工具备份时可能需要的权限:
  19. 逻辑备份工具:mysqldump,mysqlpump,mydumper等等
  20. 权限:SELECT
  21. 作用:查询表中数据
  22. 权限:SHOW VIEW
  23. 作用:查看创建视图的语句
  24. 权限:TRIGGER
  25. 作用:备份触发器
  26. 权限:EVENT
  27. 作用:备份事件(定时任务)
  28. 权限:lock tables
  29. 作用:备份时锁表,产生一致性备份
  30. 权限:reload
  31. 作用:show processlist,show engine innodb status,查看线程,查看引擎状态
  32. 权限:replication client
  33. 作用:show master/slave status;查看事务日志执行状态与位置
  34. show binary logs;查看当前保存的事务日志列表与文件大小
  35. 权限:super
  36. 作用:关闭线程,不受最大连接线程数限制的VIP连接通道,阻断刷新线程的命令,不受离线模式影响
  37. -- 授权语句:
  38. grant lock tables,reload,process,replication client,super,select,event,trigger,show view on *.* to bak@'192.168.%';
  39. flush privileges;
复制代码

备注:

  1. super权限可以防止因为线程满,备份任务无法连接数据库而导致的备份翻车。且阻断刷新线程也是很重要
  2. innobackupex主要以物理文件和备份缓存文件的方式进行,所以不需要show权限与select权限
  3. 逻辑备份的基本原理就是数据全部读取,必须select与show权限,查看表定义的权限由select权限提供
复制代码


回复

使用道具 举报