【MySQL】【安全】探讨MySQL备份所需最小权限

1.背景：

基于网络安全环境的恶化，以前用最高权限和root用户直接进行备份的操作越来越不可取，每次手工备份
太麻烦，基于脚本备份又怕高权限账号泄密。

2.解决思路：

权限最小化赋予

3.操作：

使用物理备份工具备份时可能需要的权限：

    物理备份工具：innobackupex，Mysql Enterprise Backup等等

    权限：lock tables

    作用：备份时锁表，产生一致性备份

    权限：process

    作用：show processlist,show engine innodb status,查看线程，查看引擎状态

    权限：reload

    作用：flush table/host/logs/tables/status/threads/refresh/reload，所有的flush操作。用于锁表，切割日志，更新权限

    权限：replication client

    作用：show master/slave status;查看事务日志执行状态与位置

           show binary logs；查看当前保存的事务日志列表与文件大小

    权限：super

    作用：super权限很多很多，但是没有CURD（增删改查权限），这里点到为止说一下和备份相关的

         起停复制线程，切换主库位置，更改复制过滤条件，清理二进制日志，

         赋予账户视图与存储过程的DEFINER权限，创建链接服务器（类似于MSsql的订阅服务器），

         关闭线程，不受最大连接线程数限制的VIP连接通道，阻断刷新线程的命令，不受离线模式影响，           

-- 授权语句：    
grant lock tables,reload,process,replication client,super on *.* to bak@'192.168.%';
flush privileges;

使用逻辑备份工具备份时可能需要的权限：

    逻辑备份工具：mysqldump,mysqlpump,mydumper等等

    权限：SELECT

    作用：查询表中数据

    权限：SHOW VIEW

    作用：查看创建视图的语句

    权限：TRIGGER

    作用：备份触发器

    权限：EVENT

    作用：备份事件（定时任务）

    权限：lock tables

    作用：备份时锁表，产生一致性备份

    权限：reload

    作用：show processlist,show engine innodb status,查看线程，查看引擎状态

    权限：replication client

    作用：show master/slave status;查看事务日志执行状态与位置

           show binary logs；查看当前保存的事务日志列表与文件大小

    权限：super

    作用：关闭线程，不受最大连接线程数限制的VIP连接通道，阻断刷新线程的命令，不受离线模式影响

-- 授权语句：    
grant lock tables,reload,process,replication client,super,select,event,trigger,show view on *.* to bak@'192.168.%';
flush privileges;

备注：

super权限可以防止因为线程满，备份任务无法连接数据库而导致的备份翻车。且阻断刷新线程也是很重要

innobackupex主要以物理文件和备份缓存文件的方式进行，所以不需要show权限与select权限

逻辑备份的基本原理就是数据全部读取，必须select与show权限，查看表定义的权限由select权限提供

login-path的以port+host的方式保存时，会在用户目录下生成.login.cnf文件，拷贝到网络互通的其他主机上，仍然可以登陆，方便的同时也留下祸根