Executando o mysql dump em um trabalho cron sem expor senhas

Eu quero correr

mysqldump -u aUser -p P4SSw0rd --all-databases > backup.sql

em um trabalho cron. Como posso fazer isso com segurança?

Eu sei que poderia colocar o comando ali, mas qualquer pessoa com acesso à máquina o veria imediatamente via crontab. Há uma melhor forma de fazê-lo?

Conforme indicado em man mysqldump: ver 6.1.2.1. Diretrizes do usuário final para segurança de senha no manual de referência do MySQL.

Um arquivo de opções é a aposta mais segura, de acordo com a referência acima. Entregá-lo em texto sem formatação no crontab não é bom, já que a linha de comando do processo, por padrão, é visível pspara outros usuários. O mesmo se aplica às variáveis ​​de ambiente, conforme explicado na referência.

Parte relevante do manual de referência do MySQL:

Armazene sua senha em um arquivo de opções. Por exemplo, no Unix, você pode listar sua senha na [client]seção do .my.cnfarquivo em seu diretório pessoal:

[client]
password=your_pass

Para manter a senha segura, o arquivo não deve estar acessível para ninguém além de você. Para garantir isso, defina o modo de acesso ao arquivo como 400ou 600. Por exemplo:

shell> chmod 600 .my.cnf

Para nomear na linha de comando um arquivo de opções específico contendo a senha, use a --defaults-file=file_nameopção onde file_nameestá o nome completo do caminho para o arquivo. Por exemplo:

shell> mysql --defaults-file=/home/francis/mysql-opts

A Seção 4.2.3.3, “Usando arquivos de opções” , discute os arquivos de opções em mais detalhes.

Consulte também /programming//q/10725209 .

Execute o cronjob como um usuário específico e use alguma lógica simples do Bash para extrair a senha de um arquivo de texto sem formatação armazenado em algum lugar do sistema com permissões que permitem apenas que o usuário (ou talvez o grupo) acesse.

PASS=`cat /path/to/pwdfile`

 mysqldump -u aUser -p $PASS--all-databases > backup.sql

Portanto, se o cronjob for executado como usuário 'exemplo', a propriedade do arquivo deverá ser "exemplo: exemplo" e com permissão 0400.

Você também pode obter uma função semelhante usando um .my.cnf no nível do usuário .

Qualquer pessoa com acesso à máquina tem o mesmo nível de acesso /var/spool/cron/crontabs/que /var/lib/mysqlvocê permite. Portanto, defina as permissões apropriadas nos diretórios e pronto. Qualquer pessoa com acesso root tem acesso direto aos arquivos do banco de dados diretamente. Qualquer pessoa em quem você não confie para ter acesso à máquina não deve ter acesso à máquina.

Normalmente, as pessoas só veem seus próprios cronjobs via crontab -l.

Para fins de backup, considere ter um usuário somente leitura no mysql, assim

CREATE USER bUser IDENTIFIED BY 'p4ss';

GRANT SELECT ON *.* TO bUser@localhost;
GRANT LOCK TABLES ON *.* TO bUser@localhost;

O mysqldump requer apenas SELECTe LOCK TABLESprivilégios para fazer seu trabalho.