原則として、安全性は利便性に反比例します。 CLIでナビゲートできるコマンドの履歴を保持しておくと、非常に便利です。 たとえば、bashも同様です。 また、MySQLはコマンドをプレーンテキスト(パスワードを含む)で〜/ .mysql_historyに慎重かつ行ごとに書き込むことでこれを行います。
次の場合は、リスクを軽減するか、リークを完全に回避できます(私の意見では、より受け入れやすい方法から、受け入れにくい方法まで)。
- ユーザーのホームディレクトリにはアクセスモード700があります。
- 〜/ .mysql_historyファイルのアクセスモードは600です。
- 〜/ .mysql_historyファイルを「追加」エントリから削除するスクリプトを呼び出します。
- 〜/ .mysql_historyファイルを「追加」エントリから「手動で」削除します。
- 〜/ .mysql_historyファイルを削除します(SecurityFocus はこのオプションを推奨しています)。
- 〜/ .mysql_historyは、/ dev / null(履歴なし)へのシンボリックリンクです。
DBMSの観点から見ると、これはセキュリティの問題ではありません。クエリ履歴にはパスワードよりもはるかに価値のある情報(支払い情報など)が含まれている可能性があるため、開発者はコマンド履歴ログのレベルでこのような例外を処理しません。
実際、なぜこのトピックが取り上げられているのですか。 他にどんなオプションがありますか?
ボーナストラック 。 MySQLのセキュリティ問題に触れて、mysqldumpを使用してバックアップスクリプトでルートアカウント情報をよく観察することに注意したいと思います。 これは非常によくある間違いであり、いくつかのコマンドでデータベースをアンロードするための特別なユーザーを作成することはそれほど難しくありません。
GRANT SELECT, LOCK TABLES ON .* TO <user-dumper>@localhost IDENTIFIED BY '<dumper-password>';
FLUSH PRIVILEGES;