Menjalankan dump mysql di pekerjaan cron tanpa memaparkan kata sandi

saya ingin berlari

mysqldump -u aUser -p P4SSw0rd --all-databases > backup.sql

dalam pekerjaan cron. Bagaimana saya bisa melakukannya dengan aman?

Saya tahu saya bisa meletakkan perintah di sana, tetapi siapa pun yang memiliki akses ke mesin akan langsung melihatnya melalui crontab. Apakah ada cara yang lebih baik untuk melakukannya?

Sebagaimana dinyatakan dalam man mysqldump: lihat 6.1.2.1. Panduan Pengguna Akhir untuk Keamanan Kata Sandi dalam manual referensi MySQL.

File opsi adalah taruhan teraman, paling tidak menurut referensi di atas. Memberikannya dalam plaintext di crontab tidak baik, paling tidak karena baris perintah proses secara default dapat dilihat oleh pspengguna lain. Hal yang sama sebenarnya berlaku untuk variabel lingkungan seperti yang dijelaskan dalam referensi.

Bagian yang relevan dari manual referensi MySQL:

Simpan kata sandi Anda dalam file opsi. Misalnya, di Unix, Anda dapat mencantumkan kata sandi di [client]bagian .my.cnffile di direktori home Anda:

[client]
password=your_pass

Untuk menjaga keamanan kata sandi, file tidak boleh diakses oleh siapa pun kecuali Anda sendiri. Untuk memastikan ini, atur mode akses file ke 400atau 600. Sebagai contoh:

shell> chmod 600 .my.cnf

Untuk memberi nama dari baris perintah file opsi tertentu yang berisi kata sandi, gunakan --defaults-file=file_nameopsi, di mana file_namenama path lengkap ke file. Sebagai contoh:

shell> mysql --defaults-file=/home/francis/mysql-opts

Bagian 4.2.3.3, “Menggunakan File Opsi” , membahas file opsi secara lebih rinci.

Lihat juga https://stackoverflow.com/q/10725209 .

Jalankan cronjob sebagai pengguna tertentu dan gunakan beberapa logika Bash sederhana untuk mengekstrak kata sandi dari file plaintext yang disimpan di suatu tempat di sistem dengan izin yang hanya memungkinkan pengguna (atau mungkin grup) untuk mengaksesnya.

PASS=`cat /path/to/pwdfile`

 mysqldump -u aUser -p $PASS--all-databases > backup.sql

Jadi jika cronjob berjalan sebagai 'contoh' pengguna, kepemilikan file harus "contoh: contoh" dan diizinkan 0400.

Anda juga dapat mencapai fungsi serupa menggunakan tingkat pengguna .my.cnf .

Siapa pun yang memiliki akses ke mesin memiliki tingkat akses yang /var/spool/cron/crontabs/sama dengan yang /var/lib/mysqlAnda izinkan. Jadi, atur izin yang tepat pada direktori dan selesai. Siapa pun yang memiliki akses root memiliki akses langsung ke file database secara langsung. Siapa pun yang Anda tidak percaya memiliki akses ke mesin tidak boleh memiliki akses sama sekali ke mesin.

Biasanya orang hanya melihat cronjobs mereka sendiri via crontab -l.

Untuk tujuan pencadangan, pertimbangkan untuk memiliki pengguna hanya baca di mysql, seperti itu

CREATE USER bUser IDENTIFIED BY 'p4ss';

GRANT SELECT ON *.* TO bUser@localhost;
GRANT LOCK TABLES ON *.* TO bUser@localhost;

mysqldump hanya membutuhkan SELECTdan LOCK TABLEShak istimewa untuk melakukan tugasnya.