独行侠梦 · 2020年01月21日

Mysql Shell免密登录的思考及实际应用案例

前言

数据库图形化工具的出现,给我们操作数据库带来了许多便利,但是过度的依赖工具,始终无法明白其内部 的一些原理,离开了工具,可能寸步难行,所以尽量使用原生的命令行来操作数据库,可以增加熟练度,提高我们知识的深度。

最常见的明文登录方式

以下mysql命令参数,相信大家已经是耳熟能详了:

-h参数指定mysql主机。

-u指定mysql用户。

-P(大写)指定端口。

-p(小写)指定密码。

这里衍生出两个问题:

1)每次使用都需要指定一长串的参数和密码。

2)密码直接在命令行暴露出来,运行时,在一个短暂的时间间隔内,是可以直接通过ps命令查看到你数据库的密码的,所以十分不安全。

当然你可以不用指定密码参数,而是选择手动输入。

file

明文配置文件的方式登录

如果你不想在控制台,以交互的方式输入密码,那还有一种方式,将明文密码写入到文件中。

file

当然也可以试试验证读取配置情况:

mysql --defaults-file=./A.cnf --print-defaults

file

这里打印的意思是:mysql将会使用如下的参数进行登录连接。

小结

总结来说:指定明文密码的两种方式是:

1)通过指定--password (-p) 交互式的输入密码。

2)将密码放在一个配置 文件中。

当我们使用一些数据库的shell脚本时,当然不能这样交互式的输入密码,并且我们也不想把密码暴露到配置文件中,那该怎么做呢?

学习mysql命令的参数配置项

不知道如何实现,我们首先来熟悉熟悉mysql命令提供的参数。
默认情况下,mysql会按如下顺序读取配置:

1) /etc/my.cnf

2)/etc/mysql/my.cnf

3)~/.my.cnf

参数:

  • --no-defaults ,不读取配置文件中的任何内容。但是mylogin.cnf除外。
  • --login-path,指定在mysql_config_editor中设置选项组名称。
  • --print-defaults,打印从参数配置文件中获得的所有选项。密码值会被屏蔽。

了解了上述的基本参数作用后,我们来学习,如何保护我们的密码。

使用mysql_config_editor存储登录信息

mysql_config_editor是一个存储mysql登录信息的工具,
它会将你的身份认证信息存储到一个名为 .mylogin.cnf 的登录路径文件中。

由于该文件是隐藏文件,你可以用如下命令查看:

ls -l .mylogin.cnf 

文件的内容是进行了混淆加密的,明文方式它存储的文件内容大概是:

[pathA]
user = aaa
password = aaapwd
host = ip1

[pathB]
user = root
password = pwd2
host = ip2

这里,可以有多组配置,每一个用括号包裹的块,我们称它为选项组,每个选项组内容包括:主机、用户、密码、端口、套接字等信息。

当调用Mysql客户端命令连接到服务器时,客户端将mylogin.cnf与其他指定的参数配置文件一起使用。这里的优先级高于其他文件,但低于在客户端命令行上显式指定的配置。

file

当然啦,我们也可以显示的指定用那个选项组,就像是使用A计划还是B计划一样。默认mysql会执行[client] 和 [mysql] 选项组配置。

将密码放入受保护的文件

要查看mysql_config_editor写入.mylogin.cnf文件的内容,我们可以使用如下命令:

mysql_config_editor print --all

mysql_config_editor print --login-path=pathA

登录路径文件必须对当前用户是可读和可写的,而对其他用户是不可访问的。否则,mysql_config_editor将忽略它,客户机程序也不会使用它,一个完整的设置命令入下:

mysql_config_editor set --login-path=pathA  \
--host=localhost --user=root --password --port=3306 \
--socket=~/pathA_mysql.sock

操作帮助说明可以通过执行如下命令查看:

mysql_config_editor set --help

其中--socket指定mysql以socket方式运行的sock文件位置。
--password 指定需要密码,这里会在回车后让你输入密文。
它默认在数据存储到内容中,
并且,我们使用print打印的时候,它同样也不会显示明文,是不是安全多了呢。

file

登录命令变成:

mysql --login-path=pathA

实际案例应用

完成上述配置后,我们可以愉快的使用密文登录mysql啦。这里提供一个实际的案例。

要求:编写crontab定时任务,定时的清理mysql A表一天前的数据,每天早上6点执行,需要提供日志记录显示执行状态。

小试牛刀

上面我们已经配置好了免密登录,下面来试试执行一条sql语句。

mysql --login-path=pathA -e 'select 1'

file

获取今天凌晨的毫秒值:

select UNIX_TIMESTAMP(CAST(SYSDATE()AS DATE)) * 1000

没有任何问题,按照要求,我们编写带记录日志的shell脚本,参考如下:

#!/bin/sh
# adirname - return 绝对路径
adirname() { odir=`pwd`; cd `dirname $1`; pwd; cd "${odir}"; }
MYNAM=`basename "$0"`
MYDIR=`adirname "$0"`
MYHOME="/home/appuser"
MYLOG_PATH="${MYHOME}/logs"
MYLOG="${MYLOG_PATH}/${MYNAM}_`date +%F`.log"

if [ ! -f "$MYLOG" ]; then
    touch "$MYLOG"
fi

# 记录日志
function loginfo(){
    echo "$1"
    echo "$(date -d today +"%Y%m%d %H:%M:%S") - $1"  >> ${MYLOG} 2>> ${MYLOG}
}

mysql --login-path=pathA -e 'delete from A where time < UNIX_TIMESTAMP(CAST(SYSDATE()AS DATE)) * 1000'

loginfo "handle delete table successfully,$?"

加入crontab定时任务

#每天6点执行
0 6 * * * /bin/sh /home/root/del_tabl_task.sh

总结

本文对比介绍了 明文密码登录mysql的两种方式和密文登录。希望你了解如下知识点:
1、mysql_config_editor工具的用法及作用?

2、mysql shell脚本的简单使用?

3、crontab定时任务脚本的配置使用。

4、如何在shell中记录输出日志到文件。

当然这些知识可能都只是冰山一角,希望对你有所启发。

为了方便大家学习讨论,我创建了一个java疑难攻坚互助大家庭,和其他传统的学习交流不同。本群主要致力于解决项目中的疑难问题,在遇到项目难以解决的
问题时,都可以在这个大家庭里寻求帮助。

公众关号注侠梦的开发笔记后回复【问题的答案】进入:java中Integer包装类的基本数据类型是?
如果你也经历过遇到项目难题,无从下手,
他人有可能可以给你提供一些思路和看法,一百个人就有一百种思路,
同样,如果你也乐于帮助别人,那解决别人遇到的问题,也同样对你是一种锻炼。

自学路上你不孤单,欢迎来公众号【侠梦的开发笔记】,回复干货,为你准备了精选的学习视频
推荐阅读
关注数
1
文章数
21
目录
极术微信服务号
关注极术微信号
实时接收点赞提醒和评论通知
安谋科技学堂公众号
关注安谋科技学堂
实时获取安谋科技及 Arm 教学资源
安谋科技招聘公众号
关注安谋科技招聘
实时获取安谋科技中国职位信息