Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.

Administracija korisnika (GRANT)

[es] :: MySQL :: Administracija korisnika (GRANT)

[ Pregleda: 2078 | Odgovora: 14 ] > FB > Twit

Postavi temu Odgovori

Autor

Pretraga teme: Traži
Markiranje Štampanje RSS

ctpaba
Robert IVKOVIC
System admin, network admin, webmaster,
dziber, ...
Paris

Član broj: 597
Poruke: 318
212.157.112.*

ICQ: 230666231
Sajt: www.ctpaba.org


+1 Profil

icon Administracija korisnika (GRANT)31.03.2010. u 17:50 - pre 170 meseci
Pozdrav,

Imam MySQL bazu 5.1.43 na Red Hat Enterprise Linux 5.5

na istoj masini imam dve iste instalacije (tako je zahtevano) na dva razlicita porta.
Kreirane su baze, table i korisnici medjutim imam jednog korisnika koji treba svakih 3 sata da unese u jednu tablu podatke iz txt fajla i moji predpostavljeni traze da taj korisnik nema nikakva druga prava.

jedan skript shell pokrece komandu:
"mysqlimport --user=korisnik --password=lozinka --host=dbserver --port=3308 baza_1 /home/korisnik/ime_table.txt"

e sad sve to funkcionise odlicno dok taj korisnik ima sva prava na bazi ali kad uradim REVOKE ALL PRIVILEGE, i onda hocu da mu dam GRANT, mysql me izbaci.

GRANT FILE ON baza_1.ime_table TO 'korisnik'@'dbserver';
#1221 - Incorrect usage of DB GRANT and GLOBAL PRIVILEGES


ako zamenim "baza_1.ime_table" sa *.* onda je sve ok medjutim politika firme mi to ne dozvoljava.

Pregledao sam MySQL manual i po njima *.* znaci sve-baze.sve-table.

Gde gresim ?

Hvala
CTPABA uber alles
www.ctpaba.org
 
Odgovor na temu

bogdan.kecman
Bogdan Kecman
"specialist"
Oracle
srbistan

Član broj: 201406
Poruke: 15887
*.31.24.217.adsl2.beograd.com.

Sajt: mysql.rs


+2377 Profil

icon Re: Administracija korisnika (GRANT)31.03.2010. u 20:19 - pre 170 meseci
takav granularitet autentifikacije mysql ne podrzava, ako ti treba granularnije - mysql ti nece raditi posao

kako lepo pise ovde:
http://dev.mysql.com/doc/refma...ileges-provided.html#priv_file

Citat:

A user who has the FILE privilege can read any file on the server host that is either world-readable or readable by the MySQL server. (This implies the user can read any file in any database directory, because the server can access any of those files.) The FILE privilege also enables the user to create new files in any directory where the MySQL server has write access.


dakle FILE privilegija je prilicno "siroka" ( i prilicno nezgodna i .. i .. i ...) samim tim sto imas pravo da citas i pises po bilo kom fajlu kome mysql ima pristup - imas pravo da radis "sta oces" realno,
te je mnogo bolje da napravis skript koji ce da importuje njegov fajl a da taj skrip ima svoj auth layer i da uopste korisnik ne moze direkt da pristupi mysql-u nego da mu dajes file privilegiju.


 
Odgovor na temu

misk0
.: Lugano :. _.: CH :.

SuperModerator
Član broj: 634
Poruke: 2824
*.adsl.ticino.com.

ICQ: 46802502


+49 Profil

icon Re: Administracija korisnika (GRANT)01.04.2010. u 09:09 - pre 170 meseci
Zar ne bi taj korisnik trebao da ima samo INSERT privilegiju?
:: Nemoj se svadjati sa budalom, ljudi cesto nece primjetiti razliku ::
 
Odgovor na temu

bogdan.kecman
Bogdan Kecman
"specialist"
Oracle
srbistan

Član broj: 201406
Poruke: 15887
*.31.24.217.adsl2.beograd.com.

Sajt: mysql.rs


+2377 Profil

icon Re: Administracija korisnika (GRANT)01.04.2010. u 09:17 - pre 170 meseci
bilo bi logicno .. ali onda ne bi mogao da radi load data iz fajla :( ...

na zalost ceo taj authentication / privilege / auditing deo mysql-a je tuzan ... 80% klijenata uopste ne koristi to .. imaju svi ono root i to je to .. a ovi sto koriste uglavnom imaju usera po bazi .. radi se na worklog-u za "pluggable authentication" .. ali nisam ispratio dokle je to stiglo, znam da je trenutno veliki pritisak da se napravi ozbiljan authentication modul koji ce da podrzava ldap, active directory i slicno .. da se smisleno integrise sa windoze mrezom npr i tako dalje ... no .. ovog trenutka je sve to vrlo zamisljeno da radi super "za web sajt" ... ima tamo kod mene mala skripta kako da napravis nekakav auditing koristeci proxy - ali to znaci da moras da zabranis korisniku pristup na mysql direktno, sto znaci iz taka da ne moze da pristupa nikako sa lokalne masine .. etc etc .. ma .. da ne davim .. bice ..
 
Odgovor na temu

ctpaba
Robert IVKOVIC
System admin, network admin, webmaster,
dziber, ...
Paris

Član broj: 597
Poruke: 318
212.157.112.*

ICQ: 230666231
Sajt: www.ctpaba.org


+1 Profil

icon Re: Administracija korisnika (GRANT)01.04.2010. u 10:00 - pre 170 meseci
hmm
gledao sam u manualu lepo pise da bi se za to sto meni treba morala koristiti komanda :
GRANT FILE ON baza_1.ime_table TO 'korisnik'@'dbserver';
medjutim nije mi jasno zasto to ne radi ?
Ako stavim *.* umesto baza_1.ime_table onda se komanda izvrsi bez problema ali tada taj korisnik ima pravo na FILE u svim bazama i na svim tablama sto mi je veliki sigurnosni propust.

Inace ovo je za jedan bankarski sistem gde moj korisnik sakuplja podatke o CFT protoku iz logova i ubacuje ih u bazu. Kasnije jedan drugi korisnik sa druge masine ima pravo samo na SELECT.

Hvala
CTPABA uber alles
www.ctpaba.org
 
Odgovor na temu

bogdan.kecman
Bogdan Kecman
"specialist"
Oracle
srbistan

Član broj: 201406
Poruke: 15887
*.31.24.217.adsl2.beograd.com.

Sajt: mysql.rs


+2377 Profil

icon Re: Administracija korisnika (GRANT)01.04.2010. u 10:22 - pre 170 meseci
mysql ti izbaci gresku zato sto "ne ume to da uradi"

o cemu se radi .. kao sto u manualu pise, FILE privilegija daje pristup (read/write) SVIM fajlovima koje mysql moze da procita/pise tako da automatski user ima pravo da "zvrlja" po svim fajlovima kojima mysql pristupa - sto znaci i sve baze / sve tabele .. samim tima FILE je "globalna privilegija" i ne moze se dati nad samo jednim segmentom vec iskljucivo "na ceo server"

pogledaj http://dev.mysql.com/doc/refman/5.1/en/privileges-provided.html

videces da je kontekst u kom se koristi FILE privilegija "file access on server host" dakle za ceo server ...

jel sad jasnije?

 
Odgovor na temu

bogdan.kecman
Bogdan Kecman
"specialist"
Oracle
srbistan

Član broj: 201406
Poruke: 15887
*.31.24.217.adsl2.beograd.com.

Sajt: mysql.rs


+2377 Profil

icon Re: Administracija korisnika (GRANT)01.04.2010. u 10:32 - pre 170 meseci
Citat:

Inace ovo je za jedan bankarski sistem gde moj korisnik sakuplja podatke o CFT protoku iz logova i ubacuje ih u bazu.


dosta banaka koristi mysql - ali nijedna se ne oslanja na mysql-ov security / authentication vec ima layer izmedju koji to odradjuje ...

jedini nacin da odradis to sto ti treba je da napravis taj mid layer tako sto ces da imas tvoju aplikaciju koja uzima taj txt fajl i insertuje ga u bazu a aplikacija ce da trazi poseban user / pass od korisnika (nezavistan od mysql user/pass-a) da bi odradila ili ne taj posao ...

kao sto rekoh - auth modul mysql-a je vrlo bazican .. dao bog to ce se promeniti uskoro (novi gazda je to naveo kao jednu od stvari koje mora da se promene brzo) ali za sada ...

 
Odgovor na temu

ctpaba
Robert IVKOVIC
System admin, network admin, webmaster,
dziber, ...
Paris

Član broj: 597
Poruke: 318
213.41.72.*

ICQ: 230666231
Sajt: www.ctpaba.org


+1 Profil

icon Re: Administracija korisnika (GRANT)01.04.2010. u 11:35 - pre 170 meseci
Hvala na odgovoru,

Jasno mi je sta si hteo da kazes ali mi nije jasno kako su mogli da ubace opciju koja jednostavno ne moze da funkcionise, a jos je opisana u manuelu.

Sad postoji mogucnost da zbog toga ceo projekat bude napusten, i mojih dva meseca rada na tome padnu u vodu.

ima li neko mozda neku ideju kako zaobici ovaj nacin?
CTPABA uber alles
www.ctpaba.org
 
Odgovor na temu

bogdan.kecman
Bogdan Kecman
"specialist"
Oracle
srbistan

Član broj: 201406
Poruke: 15887
*.31.24.217.adsl2.beograd.com.

Sajt: mysql.rs


+2377 Profil

icon Re: Administracija korisnika (GRANT)01.04.2010. u 11:42 - pre 170 meseci
u manualu stoji koji priv je u kom scope-u tako da .. trebao si da pogledas bolje ... nije da branim ove developere ali ..

sto se tice "zaobici" ... das mu insert nad tabelom .. to moze .. ne moze da radi load data ... ali moze da napravi sitan skript koji ce da iscita fajl i insertuje to u tabelu
 
Odgovor na temu

ctpaba
Robert IVKOVIC
System admin, network admin, webmaster,
dziber, ...
Paris

Član broj: 597
Poruke: 318
212.157.112.*

ICQ: 230666231
Sajt: www.ctpaba.org


+1 Profil

icon Re: Administracija korisnika (GRANT)01.04.2010. u 12:42 - pre 170 meseci
Nemoguce, isprobano.
jer za to mu treba preko 10 minuta da iscita liniju po liniju u tekst fajlu a moj fajl se brise posle 1 minute :(

znam da bi za tako nesto orakle bolje povrsio posao ali to je opet druga prica, zbog budzeta moramo koristiti mysql.
CTPABA uber alles
www.ctpaba.org
 
Odgovor na temu

bogdan.kecman
Bogdan Kecman
"specialist"
Oracle
srbistan

Član broj: 201406
Poruke: 15887
*.31.24.217.adsl2.beograd.com.

Sajt: mysql.rs


+2377 Profil

icon Re: Administracija korisnika (GRANT)01.04.2010. u 13:56 - pre 170 meseci
moguce moguce .. samo pitaj kako :) sta mislis da load data infile radi mnogo pametnije ?

1. pre nego krenes da insertujes uradis

ALTER TABLE XYZ DISABLE KEYS;

2. insertujes po vise redova od jednom

INSERT INTO XYZ VALUES (1,2), (2,3), (4, 5)...;

3. kada zavrsis insertovanje uradis

ALTER TABLE XYZ ENABLE KEYS;

i dobijes identicnu stvar koju radi load data infile / mysqlimport




 
Odgovor na temu

ctpaba
Robert IVKOVIC
System admin, network admin, webmaster,
dziber, ...
Paris

Član broj: 597
Poruke: 318
212.157.112.*

ICQ: 230666231
Sajt: www.ctpaba.org


+1 Profil

icon Re: Administracija korisnika (GRANT)01.04.2010. u 14:22 - pre 170 meseci
Mislio sam da radi nesto pametnije jer lepo pise da je mysqlinsert Very High Speed medoda za ubacivanje pdataka.
U svakom slucaju veceras cu zaspati malo pametniji nego juce.

Dok sam isprobavao ovo poslednje stigao mi je mail od MySQL Technical Supporta sa solucijom.
Na kraju linije koju sam naveo su dodali -L

"mysqlimport --user=korisnik --password=lozinka --host=dbserver --port=3308 baza_1 /home/korisnik/ime_table.txt -L"

koliko vidim u manualu radi se o mogucnosti da mysql clijent moze da cita fajlove koji se nalaze u lokalu :

-L, --local Read all files through the client.

Ovo je reseno, nego sad mi izbacuje database.table: Records: 127 Deleted: 0 Skipped: 0 Warnings: 267
znam o cemu se radi jer mi u tekst fajlu datumi nisu u dobrom formatu ali bih voleo da negde mogu naci log u kome tacno pise o kakvom se upozorenju radi.

Hvala
CTPABA uber alles
www.ctpaba.org
 
Odgovor na temu

bogdan.kecman
Bogdan Kecman
"specialist"
Oracle
srbistan

Član broj: 201406
Poruke: 15887
*.31.24.217.adsl2.beograd.com.

Sajt: mysql.rs


+2377 Profil

icon Re: Administracija korisnika (GRANT)01.04.2010. u 14:54 - pre 170 meseci
on to uradi direktno (preskoci sql deo) ali uradi pandam tome ...
pametan je da zna koliki je "max-packet-size" pa u odnosu na to napakuje "max redova" odjednom u insert koliko moze da stane u paket ...
ali realno, ti to odradis sam sa 90% njegove brzine .. a imas full kontrolu

kada mysqlimportu kazes -L on "bukvalno" napravi inserte i posalje ih na server, dakle ne kaze mysql-u da ih on loaduje

za log - sorry but jbg ... nema .. isto kao kada mysql cli-u bacis batch komande .. dobijes koliko cega i to je to ... kada bi dodao na kraju batch-a "show warnings" dobio bi nesto korisnih podataka al ...

moguce da -v izbacuje warningse, nisam probao 100000 godina ..
 
Odgovor na temu

ctpaba
Robert IVKOVIC
System admin, network admin, webmaster,
dziber, ...
Paris

Član broj: 597
Poruke: 318
213.41.72.*

ICQ: 230666231
Sajt: www.ctpaba.org


+1 Profil

icon Re: Administracija korisnika (GRANT)01.04.2010. u 15:54 - pre 170 meseci
Ma jok -v mi samo kaze ono tipa "pocinjem sa unosom podataka....." i posle "e sad sam zavrsio imas XX gresaka....".
Ok to je manje vazno sada imam sa cime da se igram i da proverim razlike.

Hvala puno !
CTPABA uber alles
www.ctpaba.org
 
Odgovor na temu

bogdan.kecman
Bogdan Kecman
"specialist"
Oracle
srbistan

Član broj: 201406
Poruke: 15887
*.31.24.217.adsl2.beograd.com.

Sajt: mysql.rs


+2377 Profil

icon Re: Administracija korisnika (GRANT)01.04.2010. u 16:05 - pre 170 meseci
bas pitah ove moje .. kazu "treba da ima opcija, ali jos nije implementirana" ... jbg . mozda i bude :(


 
Odgovor na temu

[es] :: MySQL :: Administracija korisnika (GRANT)

[ Pregleda: 2078 | Odgovora: 14 ] > FB > Twit

Postavi temu Odgovori

Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.