ERROR 1045 (28000) Mysql中grant 使用不当导致的生产事故

背景:

新项目上线,Data Warehouse 的同事要从Mysql 的SLAVE 库上抽取数据。其中一项任务是授予读取数据库的权限。

没想到这个简单的操作也引发了一些意外。

在只读用户增加权限后,修改了密码。导致原来的账户不可用,结果导致数据抽取失败。从而人为导致了一次生产事故。

 

模拟一下场景:

1. 授予emp001读取test库的权限。
session1:
mysql> GRANT SELECT ON test.* TO 'emp001'@'192.168.0.93' IDENTIFIED BY 'pass001';
Query OK, 0 rows affected (0.05 sec)

mysql> flush privileges;
Query OK, 0 rows affected (0.05 sec)

2.用emp001用户可以正常连接数据库。
session2:
$mysql -uemp001 -ppass001 -h 192.168.0.93
Welcome to the MySQL monitor.  Commands end with ; or \g.
Your MySQL connection id is 3
Server version: 5.5.37 MySQL Community Server (GPL)

mysql> show databases;
+--------------------+
| Database           |
+--------------------+
| information_schema |
| test               |
+--------------------+
2 rows in set (0.00 sec)

mysql> exit

3.新增加emp001用户访问cream库的权限.
回到session1:
mysql> GRANT SELECT ON cream.* TO 'emp001'@'192.168.0.93' IDENTIFIED BY 'emp001.Cream';
Query OK, 0 rows affected (0.00 sec)

mysql> flush privileges;
Query OK, 0 rows affected (0.00 sec)


4.用emp001访问cream数据库。
session3:
$mysql -uemp001 -pemp001.Cream -h 192.168.0.93
Welcome to the MySQL monitor.  Commands end with ; or \g.
Your MySQL connection id is 4
Server version: 5.5.37 MySQL Community Server (GPL)

 

到此为止,你能看出这个操作有什么问题吗?现在已经可以正常访问数据库了,应该不会有什么问题吧?

 

于是下班回家去了......

 

 

 

晚上原来的用户开始抽取数据,悲剧开始了......


5.在用emp001和密码pass001访问数据库,失败。
session5:
$mysql -uemp001 -ppass001 -h 192.168.0.93
ERROR 1045 (28000): Access denied for user 'emp001'@'192.168.0.93' (using password: YES)

原因是我们给相同的用户增加权限的时候,修改了密码。导致原来的密码不可用。

结论:Mysql中给相同的用户变更授权的时候,如果修改了密码,将会导致原来的密码不可用。最好给指定的用户分配指定的权限。


同样的错误,国际友人也遇到过。    
参考:http://thinkdiff.net/mysql/never-forget-when-setting-up-a-mysql-user-account/#more-632

 

你可能感兴趣的:(MySQL)