Contents

创建 MySQL 最小权限的备份用户

https://statics.lshell.com/logo/mysql-logo.png

在使用 Shell 脚本备份 MySQL 数据库的过程中,不可避免的会把账号密码明文写在脚本中, 除了严格给脚本设置读取权限外,还需要从根本上限制备份用户的权限。下面我们说一说,如何创建一个最小权限用户。

如何创建一个最小权限用户

根据备份场景不同,创建的用户权限也不同。

1、使用自带的备份命令(如: mysqldumpmysqlpumpmydumper)的逻辑备份:

  • SELECT: 查询表中数据
  • SHOW VIEW: 查看创建视图的语句
  • TRIGGER: 备份触发器
  • EVENT : 备份事件(定时任务)
  • lock tables: 备份时锁表,产生一致性备份
  • reload: show processlist , show engine innodb status , 查看线程, 查看引擎状态
  • replication client: show master/slave status; 查看事务日志执行状态与位置 show binary logs;查看当前保存的事务日志列表与文件大小
  • super : 关闭线程,不受最大连接线程数限制的VIP连接通道,阻断刷新线程的命令,不受离线模式影响

创建语句:

1
2
grant select, show view ,trigger ,event ,lock tables, process, reload, replication client, super on *.* to backup@localhost identified by 'xxxxxxx';  
flush privileges;  

2、第三方备份工具, 如 innobackupexMySQL Enterprise Backup

  • lock tables: 备份时锁表,产生一致性备份
  • reload: flush table/host/logs/tables/status/threads/refresh/reload,所有的flush操作。用于锁表,切割日志,更新权限
  • process: show processlist , show engine innodb status ,查看线程,查看引擎状态
  • replication client: show master/slave status; 查看事务日志执行状态与位置 show binary logs;查看当前保存的事务日志列表与文件大小
  • super: super权限很多很多,但是没有CURD(增删改查权限),这里点到为止说一下和备份相关的起停复制线程,切换主库位置,更改复制过滤条件,清理二进制日志,赋予账户视图与存储过程的DEFINER权限,创建链接服务器(类似于MSSQL的订阅服务器),关闭线程,不受最大连接线程数限制的VIP连接通道,阻断刷新线程的命令,不受离线模式影响。

创建语句:

1
2
grant lock tables, reload, process, replication client, super on *.* to backup@localhost identified by 'xxxxxxx';  
flush privileges;  

说明

  • 逻辑备份的基本原理就是数据全部读取,必须select与show权限,查看表定义的权限由select权限提供
  • super 权限可以防止因为线程满,备份任务无法连接数据库而导致的备份翻车。且阻断刷新线程也是很重要
  • innobackupex 主要以物理文件和备份缓存文件的方式进行,所以不需要show权限与select权限

来源

【MySQL】【安全】探讨MySQL备份所需最小权限