Что такое пользователь MySQL debian-sys-maint (и не только)?

Меня несколько раз укусил пользователь 'debian-sys-maint', который установлен по умолчанию в пакетах mysql-server, установленных из репозиториев Ubuntu.

Обычно происходит следующее: я извлекаю свежую копию нашей производственной базы данных (которая не работает в Debian / Ubuntu) для устранения неполадок или новой разработки и забываю исключить таблицу mysql.user, следовательно, теряю пользователя debian-sys-maint.

Если по какой-либо причине мы добавим новых пользователей mysql, мне придется «объединить» их в мою среду разработки, а не просто наложить таблицу.

Без пользователя моя система все еще кажется работоспособной, но страдает от таких ошибок, как:

sudo /etc/init.d/mysql restart
Stopping MySQL database server: mysqld...failed.
error: 'Access denied for user 'debian-sys-maint'@'localhost' (using password: YES)'

• Для чего используется debian-sys-maint?
  • Есть ли лучший способ для сопровождающих пакетов сделать то, что они пытаются сделать?
• Какой самый простой способ восстановить его после того, как я его потерял?
• Каков правильный / минимальный набор привилегий для этого пользователя?
  • Похоже, плохая идея «предоставить все привилегии на *. * ...»

редактировать

Дополнительный вопрос - пароль в /etc/mysql/debian.cnf уже хеширован или это открытый текст? Это имеет значение, когда вы идете воссоздать пользователя, и я, кажется, никогда не понимаю это правильно с первой попытки.

Спасибо

Для чего используется debian-sys-maint?

Одна из главных вещей, для которой он используется, - указание серверу накатывать логи. Для этого требуется как минимум привилегия перезагрузки и завершения работы.

Смотрите файл /etc/logrotate.d/mysql-server

Используется /etc/init.d/mysqlсценарием для получения статуса сервера. Он используется для корректного выключения / перезагрузки сервера.

Вот цитата из README.Debian

* MYSQL WON'T START OR STOP?:
=============================
You may never ever delete the special mysql user "debian-sys-maint". This user
together with the credentials in /etc/mysql/debian.cnf are used by the init
scripts to stop the server as they would require knowledge of the mysql root
users password else.

Какой самый простой способ восстановить его после того, как я его потерял?

Лучший план - просто не потерять его. Если вы действительно потеряли пароль, сбросьте его, используя другую учетную запись. Если вы потеряли все привилегии администратора на сервере MySQL, следуйте инструкциям по сбросу пароля root, а затем восстановите debian-sys-maint.

Вы можете использовать команду, подобную этой, для создания файла SQL, который вы можете использовать позже для воссоздания учетной записи.

mysqldump --complete-insert --extended-insert=0 -u root -p mysql | grep 'debian-sys-maint' > debian_user.sql

Пароль в /etc/mysql/debian.cnf уже хэширован

При установке пароль не хешируется / не шифруется, но в новых версиях mysql теперь есть способ шифрования учетных данных (см .: https://serverfault.com/a/750363 ).

Пользователь debian-sys-maint по умолчанию является корневым эквивалентом . Он используется некоторыми сценариями обслуживания в системах Debian и, как побочный эффект, позволяет пользователям с правами root на коробке просматривать открытый текстовый пароль в /etc/mysql/debian.cnf (хорошо или плохо?)

Вы можете заново создать пользователя:

GRANT ALL PRIVILEGES on *.* TO `debian-sys-maint`@`localhost` IDENTIFIED BY 'your password' WITH GRANT OPTION;

Просто убедитесь, что пароль соответствует этому в /etc/mysql/debian.cnf

Вы также можете:

sudo dpkg-reconfigure mysql-server-5.0

Что даст вам возможность воссоздать пользователя debian-sys-maint. Существующие пользователи и базы данных в безопасности.

Я хотел просто прокомментировать, но я думаю, что правильный синтаксис заслуживает отдельной записи. Это создаст пользователя debian-sys-maint :

mysql> GRANT ALL PRIVILEGES on *.* TO 'debian-sys-maint'@'localhost' IDENTIFIED BY 'plaintextpassword' WITH GRANT OPTION; FLUSH PRIVILEGES;

Если у вас все еще есть файл /etc/mysql/debian.cnf, просто используйте там пароль.

Не стесняйтесь придумать более безопасное решение для параноиков .

Если вам нужно добавить debian-sys-maintпользователя только для logrotate.dцелей, вы не должны предоставлять ALL PRIVILEGESили GRANT OPTION- это ненужная гигантская дыра в безопасности. Вместо этого вы можете просто добавить пользователя с такой RELOADпривилегией (при условии, что вы обращаетесь к своей базе данных как root, и вы заменяете xxxxxx своим паролем)

# add the user with the reload right
GRANT RELOAD on *.* TO 'debian-sys-maint'@'localhost' IDENTIFIED BY 'xxxxxx'; 

# reload the rights
FLUSH PRIVILEGES;

# double check
select * from mysql.user;

2019 Обновление

Этот ответ может быть устаревшим - см. Комментарии со строгим мнением ниже.

Вместо

GRANT ALL PRIVILEGES on *.* TO 'debian-sys-maint'@'localhost' IDENTIFIED BY PASSWORD('your password') WITH GRANT OPTION; FLUSH PRIVILEGES;

думаю

GRANT ALL PRIVILEGES on *.* TO 'debian-sys-maint'@'localhost' IDENTIFIED BY 'your password' WITH GRANT OPTION; FLUSH PRIVILEGES;

потому что пароль не хешируется ...?

debian-sys-maint необходимые разрешения

В других ответах достаточно адресовано все, кроме минимального набора разрешений, необходимых для пользователя debian-sys-maint. Многие из ответов здесь просто неверны в этом отношении и фактически опасны. Не уменьшайте привилегии debian-sys-maint (включая опцию предоставления) без чтения и понимания ниже:

Сопровождающий Debian не давал капризным пользователям все привилегии. Вот что требуется, где и почему. Некоторые из этих привилегий являются надмножествами других, но я перечислю их независимо, на случай, если вы захотите что-то настроить и отменить требования к ним:

• Завершение работы и перезагрузка , что достаточно неудивительно, для выключения или работы с базой данных, выполненной /etc/init.d/mysql
• выберите файл mysql.user , необходимый для проверки работоспособности , выполняемой при запуске базы данных, что гарантирует наличие пользователя root. Завершение каждого запуска с помощью / etc / mysql / debian-start (вызываемого /etc/init.d/mysql) с фактическим кодом в функции check_root_accounts в файле /usr/share/mysql/debian-start.inc.sh
• select на information_schema.tables , глобальный выбор , необходимый для проверки сбойных таблиц. Завершение каждого запуска с помощью / etc / mysql / debian-start (вызываемого /etc/init.d/mysql) с фактическим кодом в функции check_for_crashed_tables в файле /usr/share/mysql/debian-start.inc.sh
• глобальные все привилегии , необходимые для обновления таблиц, если / когда новая версия MySQL установлена ​​через обновление или обновление Debian. Завершение каждого запуска с помощью / etc / mysql / debian-start (вызываемого /etc/init.d/mysql) с использованием фактического кода в функции upgrade_system_tables_if_ne Необходимого в файле /usr/share/mysql/debian-start.inc.sh - фактически вызывает двоичный MySQL mysql_upgrade - не дайте себя одурачить именем функции (upgrade_system_tables_if_needed), это может потенциально затронуть все таблицы - см. ниже

Последнее, конечно, является основным требованием для привилегий. Страница man для mysql_upgrade гласит:

mysql_upgrade проверяет все таблицы во всех базах данных на несовместимость с текущей версией MySQL Server. mysql_upgrade также обновляет системные таблицы, чтобы вы могли воспользоваться новыми привилегиями или возможностями, которые могли быть добавлены.

Если mysql_upgrade обнаруживает, что таблица имеет возможную несовместимость, он выполняет проверку таблицы и, если обнаруживаются проблемы, пытается восстановить таблицу.

ПРЕДУПРЕЖДЕНИЕ. Если вы решили сократить привилегии, которыми обладает debian-sys-maint, то убедитесь, что вы готовы вручную обрабатывать любые будущие обновления безопасности Debian и / или обновления, которые касаются MySQL. Если вы выполняете обновление пакетов MySQL с ограниченными привилегиями debian-sys-maint, и если mysql_upgrade не может завершиться в результате, он может оставить вашу базу данных в неопределенном состоянии (чтение прервано). Снижение привилегий может не вызывать каких-либо очевидных повседневных проблем до тех пор, пока не появится обновление, поэтому не стоит полагать, что вы уже уменьшили привилегии без каких-либо вредных воздействий, поскольку это основание полагать, что это безопасно.

Как примечание к этому, взгляните на этот пост mysqlperformanceblog, чтобы узнать, почему вы можете захотеть отключить специфичные для debian вещи.

При использовании MySQL 5.6+ я бы порекомендовал использовать mysql_config_editorкоманду для создания записи для пользователя 'debian-sys-maint'@'localhost'с использованием соответствующего пароля, то есть пароль не нужно хранить в виде простого текста на сервере.

mysql_config_editor set --login-path=debian-sys-maint --host=localhost --user=debian-sys-maint --password

После этого можно сконфигурировать специфический для Debian конфигурационный файл /etc/mysql/debian.cnf, чтобы имя пользователя и пароль не сохранялись в файле.

Наконец, измените файл logrotate для MySQL, чтобы он использовал данные для входа в систему, хранящиеся в ~/.mylogin.cnfфайле, вместо файла, специфичного для debian, заменив

/usr/bin/mysqladmin --defaults-file=/etc/mysql/debian.cnf

с участием

/usr/bin/mysqladmin --login-path=debian-sys-maint

Надеюсь это поможет :)

Дейв