Chạy kết xuất mysql trong một công việc định kỳ mà không để lộ mật khẩu

tôi muốn chạy

mysqldump -u aUser -p P4SSw0rd --all-databases > backup.sql

trong một công việc định kỳ. Làm thế nào tôi có thể làm như vậy một cách an toàn?

Tôi biết tôi có thể đặt lệnh ngay tại đó, nhưng bất kỳ ai có quyền truy cập vào máy sẽ thấy ngay lập tức thông qua crontab. Có cách nào tốt hơn để làm điều đó?

Như đã nêu trong man mysqldump: xem 6.1.2.1. Nguyên tắc người dùng cuối về bảo mật mật khẩu trong hướng dẫn tham khảo MySQL.

Một tập tin tùy chọn là đặt cược an toàn nhất, không nhất thiết theo tham chiếu ở trên. Cung cấp nó trong bản rõ trong crontab là không tốt, nhất là vì dòng lệnh quy trình theo mặc định được hiển thị thông qua pscho người dùng khác. Điều tương tự thực sự áp dụng cho các biến môi trường như được giải thích trong tài liệu tham khảo.

Phần có liên quan của tài liệu tham khảo MySQL:

Lưu mật khẩu của bạn trong một tập tin tùy chọn. Ví dụ: trên Unix, bạn có thể liệt kê mật khẩu của mình trong [client]phần của .my.cnftệp trong thư mục chính của bạn:

[client]
password=your_pass

Để giữ mật khẩu an toàn, không nên truy cập tệp cho bất kỳ ai trừ chính bạn. Để đảm bảo điều này, hãy đặt chế độ truy cập tệp thành 400hoặc 600. Ví dụ:

shell> chmod 600 .my.cnf

Để đặt tên từ dòng lệnh một tệp tùy chọn cụ thể có chứa mật khẩu, hãy sử dụng --defaults-file=file_nametùy chọn, trong đó file_nametên đường dẫn đầy đủ đến tệp. Ví dụ:

shell> mysql --defaults-file=/home/francis/mysql-opts

Mục 4.2.3.3, sử dụng tập tin tùy chọn, tập trung thảo luận về các tập tin tùy chọn chi tiết hơn.

Xem thêm /programming//q/10725209 .

Chạy cronjob như một người dùng cụ thể và sử dụng một số logic Bash đơn giản để trích xuất mật khẩu từ tệp văn bản gốc được lưu trữ ở đâu đó trên hệ thống với các quyền chỉ cho phép người dùng (hoặc có thể nhóm) truy cập vào nó.

PASS=`cat /path/to/pwdfile`

 mysqldump -u aUser -p $PASS--all-databases > backup.sql

Vì vậy, nếu cronjob chạy dưới dạng 'ví dụ' của người dùng, quyền sở hữu tệp phải là "ví dụ: ví dụ" và được phép 0400.

Bạn cũng có thể đạt được một chức năng tương tự bằng cách sử dụng .my.cnf cấp người dùng .

Bất cứ ai có quyền truy cập vào máy đều có cùng mức truy cập /var/spool/cron/crontabs/như /var/lib/mysqlbạn cho phép họ có. Vì vậy, thiết lập các quyền thích hợp trên các thư mục và thực hiện. Bất cứ ai có quyền truy cập root đều có quyền truy cập trực tiếp vào các tệp cơ sở dữ liệu. Bất cứ ai bạn không tin tưởng có quyền truy cập vào máy đều không nên có quyền truy cập vào máy.

Thông thường mọi người chỉ nhìn thấy cronjobs của riêng họ thông qua crontab -l.

Đối với mục đích sao lưu, hãy xem xét việc có một người dùng chỉ đọc trong mysql, như vậy

CREATE USER bUser IDENTIFIED BY 'p4ss';

GRANT SELECT ON *.* TO bUser@localhost;
GRANT LOCK TABLES ON *.* TO bUser@localhost;

mysqldump chỉ yêu cầu SELECTvà LOCK TABLESđặc quyền để thực hiện công việc của mình.