У нас есть производственный сервер MySQL со следующими предоставлениями:
mysql> show grants for the_db;
+------------------------------------------------------------------------------------------------------------+
| Grants for db_user@% |
+------------------------------------------------------------------------------------------------------------+
| GRANT USAGE ON *.* TO 'db_user'@'%' IDENTIFIED BY PASSWORD '*A236932DB5549260BDC088C4BC2F0C6DB04424D7' |
| GRANT ALL PRIVILEGES ON `xydb`.* TO 'db_user'@'%' |
| GRANT SELECT ON `xyie-db`.* TO 'db_user'@'%' |
| GRANT SELECT ON `supportdb`.* TO 'db_user'@'%' |
| GRANT SELECT ON `xbs`.* TO 'db_user'@'%' |
+------------------------------------------------------------------------------------------------------------+
Действительно ли возможно блокировать доступ к этим базам данных для определенного хоста? У нас есть новый сервер, прибывающий онлайн, который будет использовать другие тестовые базы данных по тому же серверу. Я не хочу, чтобы новый сервер смог случайно сделать что-либо на производственных базах данных.
Я понимаю, что могу использовать, ОТКЛОНЯЮТ доступ, но я не уверен, требует ли это, чтобы изменение существующих ПРЕДОСТАВЛЕНИЙ было более характерно для хостов, которые они позволяют. Я не хочу предполагать, как производство dbs вот находится в постоянном употреблении, и случайно блокирование доступа для живого хоста было бы плохо.
Идеально я должен смочь просто сказать:
BLOCK ACCESS ON 'xydb'.* TO 'db_user'@'192.168.1.4'
Я не уверен, что вы можете сделать это, используя REVOKE
, но вы определенно можете сделать это, вставив запись в соответствующую таблицу в схеме mysql
:
INSERT INTO mysql.db (Host,Db) VALUES ('192.0.2.42','xydb');
INSERT INTO mysql.db (Host,Db) VALUES ('host.example.com','xydb');
FLUSH PRIVILEGES;
Первые две строки делают тяжелую работу по вставке в БД; для ясности лучше всего поместить туда и IP, и имя хоста, при этом гарантируя, что даже если обратный поиск не будет работать, IP все равно будет заблокирован. Требуется FLUSH PRIVILEGES
, потому что MySQL не смотрит в таблицы каждый раз, когда ему что-то нужно знать - он кэширует информацию в памяти. Вы должны сказать MySQL, чтобы он промыл свой кэш
Если xydb
может иметь другой пароль mysql на производственном и тестовом сервере БД, то вы можете дать пользователю mysql "неправильный" пароль на живом сервере
mysql> SELECT VERSION();
+-------------------------+
| VERSION() |
+-------------------------+
| 5.1.73-0ubuntu0.10.04.1 |
+-------------------------+
Чтобы воссоздать вашу ситуацию:
mysql> SHOW GRANTS FOR db_user@`localhost`;
ERROR 1141 (42000): There is no such grant defined for user 'db_user' on host 'localhost'
mysql> SHOW GRANTS FOR db_user@`%`;
ERROR 1141 (42000): There is no such grant defined for user 'db_user' on host '%'
mysql> CREATE DATABASE xydb;
mysql> GRANT USAGE ON *.* TO 'db_user'@'%' IDENTIFIED BY '1234';
mysql> GRANT ALL PRIVILEGES ON `xydb`.* TO 'db_user'@'%';
mysql> SHOW GRANTS FOR db_user@`%`;
+--------------------------------------------------------------------------------------------------------+
| Grants for db_user@% |
+--------------------------------------------------------------------------------------------------------+
| GRANT USAGE ON *.* TO 'db_user'@'%' IDENTIFIED BY PASSWORD '*A4B6157319038724E3560894F7F932C8886EBFCF' |
| GRANT ALL PRIVILEGES ON `xydb`.* TO 'db_user'@'%' |
+--------------------------------------------------------------------------------------------------------+
mysql> FLUSH PRIVILEGES;
В результате пользователь может войти в систему с localhost
$ mysql -u db_user -p1234 --host localhost xydb -e 'SHOW DATABASES'
+--------------------+
| Database |
+--------------------+
| information_schema |
| xydb |
+--------------------+
А затем пользователь добавляется специально для хоста, который будет занесен в "черный" список.
mysql> GRANT USAGE ON *.* TO 'db_user'@'localhost' IDENTIFIED BY 'AAAAAA';
mysql> SHOW GRANTS FOR db_user@`localhost`;
+----------------------------------------------------------------------------------------------------------------+
| Grants for db_user@localhost |
+----------------------------------------------------------------------------------------------------------------+
| GRANT USAGE ON *.* TO 'db_user'@'localhost' IDENTIFIED BY PASSWORD '*4F1779C9918AA4ADD1DDB16A274A8D098DDCC0D0' |
+----------------------------------------------------------------------------------------------------------------+
и тогда пользователь больше не сможет входить в систему (если, конечно, он не даст правильный пароль)
mysql -u db_user -p1234 --host localhost xydb -e 'SHOW DATABASES'
ERROR 1045 (28000): Access denied for user 'db_user'@'localhost' (using password: YES)