个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
26
4
不使用mysql用户就可以在mysql中备份数据库吗?
问题:我想使用ansible创建一个备份系统,但是在数据库备份时出现了一个问题,因为需要声明user和password mysql user才能执行这些备份。所以出于安全性和效率的考虑,我希望备份时不需要声明用户和密码。
最佳答案
第一件事
不要在脚本中包含凭据!
不要在源代码或任何类型的源代码存储库中包含凭据(包括您专门为凭据创建的Git repo)!
只有在两个条件中的一个条件下,你才能“合理地”做到这一点。
您的数据库没有用户名/密码(不太可能,也从未通知过)
您的数据库处于脱机状态(您可以使用某种副本克隆它)
但是,请不要这样做!
为什么不呢?
它不安全
这不安全
它不必要地危及你的数据库和业务
您的数据库几乎总是包含一些敏感信息,即使您选择不将其存储为加密的,也不应将其保持为不受保护的状态。
不应依赖使数据库脱机来进行备份。停机是死期,每一次停机都会耗费金钱和潜在客户。
如何在生产机器上存储/使用数据库
如果可能的话应该加密
它应该始终受到强用户名和密码的保护,这些将阻止对数据库的最常见攻击。
加密将阻止几乎所有的攻击,除了最复杂的。
您可以而且应该考虑在服务处于活动状态时自动(定期)更改备份用户名和密码。
现在你可能在想…你希望我怎么做?你说我不能在脚本中包含凭据。
那我该怎么办?
相反,您将希望使用安全的凭据分发方法,它可能是简单或复杂的。但一般来说,凭证分发服务的一些经验法则。
凭据不应存储在请求凭据的客户端计算机的磁盘上,客户端应仅在需要时保留凭据。缓存(在内存中)可能在凭证请求非常频繁的临时时间段内是可以接受的。
凭据应尽可能在内存中加密,而不是以纯文本形式存储,每个客户端都可以使用随机加密密钥。这里要记住的是尽量减少攻击面积,因为消除是不可能的。
服务/分发方法只能由授权的计算机访问
服务(和客户端)应该受到防火墙的适当保护,包括防止任何可能的DDOS或已知的网络攻击
服务应该在主机或可用性区域出现故障的情况下运行,应该可以检测到这些问题并根据需要进行故障转移
使用已签名的服务器证书并确保客户端始终对其进行验证,您甚至可以选择使用自签名路由,因为这应该只是一个内部服务
您可以也应该(如果可能)使用已签名的客户端证书来帮助限制未经授权的计算机对服务的未经授权访问并提高安全性(这是一个很好的选择,有些产品不提供此功能)
该服务应仅向已知的授权计算机提供特定的凭据
该服务应仅通过加密和安全的通道(如HTTPS)提供这些凭据(甚至在内部网络上)
有多种现有的方法来向应用程序分发凭据。我强烈建议使用一些已经过测试和证明的东西,而不是尽可能开发自己的东西。
注意:您还应该以类似的方式分发生产专用密钥/证书。永远不要将它们包含在安装包、源repo中,或者在机器有效停机时将它们留在机器上。启动脚本可以下载所需的证书,并且当服务退出时,可以使用关闭脚本来干净地清除私钥/证书文件。我不想说在应用程序启动后擦除这些文件,因为有些应用程序在服务运行时重新读取或锁定这些文件。
注2:这些都不是为了完全阻止攻击或妥协,这些建议只是为了限制攻击的表面积。因为,你留下的东西越多,攻击者就越容易不仅找到它们,而且还可以使用它们。
下面是一些安全凭据分发方法的示例
Using Amazon IAM Roles to Distribute Security Credentials (forChef)
Managing Secrets with Vault
Runtime secrets with docker containers
关于mysql - 无需登录到mysql用户即可备份mysql,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/41304422/
26
4
0
目前我正在构建相当大的网络系统,我需要强大的 SQL 数据库解决方案。我选择 Mysql 而不是 Postgres,因为一些任务需要只读(MyISAM 引擎)而其他任务需要大量写入(InnoDB)。
我在 mysql 中使用如下命令。当它显示表格数据时,它被格式化为一个非常干净的表格,间距均匀且 |作为列分隔符。 SELECT * FROM TABLE_NAME; 当我从 CLI 运行命令时,如下
我知道这个问题之前已经被问过好几次了,我已经解决了很多问题,但到目前为止没有任何效果。 MySQL 试图将自身安装到的目录 (usr/local/mysql) 肯定有问题。关于我的错误的奇怪之处在于我
以下是我的 SQL 数据结构,我正在尝试如下两个查询: Select Wrk_ID, Wrk_LastName, Skill_Desc from Worker, Skill where
我们有一个本地 mysql 服务器(不在公共(public)域上),并希望将该服务器复制到我们拥有的 google 云 sql 实例。我的问题是:1.这可能吗?2.我们的本地服务器只能在本地网络上访问
我有一个表(test_table),其中一些字段值(例如字段 A、B 和 C)是从外部应用程序插入的,还有一个字段(字段 D),我想从现有表(store_table)插入其值,但在插入前者(A、B 和
我想创建一个 AWS RDS 实例,然后使用 terraform 管理数据库用户。因此,首先,我创建了一个 RDS 实例,然后使用创建的 RDS 实例初始化 mysql 提供程序,以进一步将其用于用户
当用户在我的网站上注册时,他们会在我的一个数据库中创建自己的表格。该表存储用户发布的所有帖子。我还想做的是也为他们生成自己的 MySql 用户——该用户仅有权从他们的表中读取、写入和删除。 创建它应该
我有一个关于 ColdFusion 和 Mysql 的问题。我有两个表:PRODUCT 和 PRODUCT_CAT。我想列出包含一些标记为:IS_EXTRANET=1 的特殊产品的类别。所以我写了这个
我想获取 recipes_id 列的值,以获取包含 ingredient_id 的 2,17 和 26 条目的值。 假设 ingredient_id 2 丢失则不获取记录。 我已经尝试过 IN 运算符
在 Ubuntu 中,我通常安装两者,但 MySQL 的客户端和服务器之间有什么区别。 作为奖励,当一个新语句提到它需要 MySQL 5.x 时,它是指客户端、服务器还是两者兼而有之。例如这个链接ht
我重新访问了我的数据库并注意到我有一些 INT 类型的主键。 这还不够独特,所以我想我会有一个指导。 我来自微软 sql 背景,在 ssms 中你可以 选择类型为“uniqeidentifier”并自
我的系统上有 MySQL,我正在尝试确定它是 Oracle MySQL 还是 MySQL。 Oracle MySQL 有区别吗: http://www.oracle.com/us/products/m
我是在生产 MySQL 中运行的应用程序的新维护者。之前的维护者已经离开,留下的文档很少,而且联系不上了。 我面临的问题是执行以下请求大约需要 10 秒: SELECT COUNT(*) FROM `
我有两个位于不同机器上的 MySQL 数据库。我想自动将数据从一台服务器传输到另一台服务器。比方说,我希望每天早上 4:00 进行数据传输。 可以吗?是否有任何 MySQL 内置功能可以让我们做到这一
有什么方法可以使用 jdbc 查询位于 mysql 根目录之外的目录中的 mysql 表,还是必须将它们移动到 mysql 根目录内的数据库文件夹中?我在 Google 上搜索时没有找到任何东西。 最
我在 mysql 数据库中有两个表。成员和 ClassNumbers。两个表都有一个付费年份字段,都有一个代码字段。我想用代码数字表中的值更新成员表中的付费年份,其中成员中的代码与 ClassNumb
情况:我有 2 台服务器,其中一台当前托管一个实时 WordPress 站点,我希望能够将该站点转移到另一台服务器,以防第一台服务器出现故障。传输源文件很容易;传输数据库是我需要弄清楚如何做的。两台服
Phpmyadmin 有一个功能是“复制数据库到”..有没有mysql查询来写这个函数?类似于将 db A 复制到新的 db B。 最佳答案 首先创建复制数据库: CREATE DATABASE du
我有一个使用 mySQL 作为后端的库存软件。我已经在我的计算机上对其进行了测试,并且运行良好。 当我在计算机上安装我的软件时,我必须执行以下步骤: 安装 mySQL 服务器 将用户名指定为“root
我是一名优秀的程序员,十分优秀!