Что такое пользователь debian-sys-maint MySQL (и многое другое)?
Я несколько раз укусил пользователь debian-sys-maint, который по умолчанию установлен на пакетах mysql-сервера, установленных из репозиториев Ubuntu.
Вообще то, что происходит, я вытаскиваю новую копию нашей производственной базы данных (которая не работает на Debian /Ubuntu) для устранения неполадок или новой разработки и забывает исключить таблицу mysql.user и, следовательно, потерять пользователя debian-sys-maint.
Если мы добавим новых пользователей mysql по какой-либо причине, я должен «объединить» их в мою среду разработки, а не просто накладывать таблицу.
Без пользователя моя система по-прежнему кажется функциональной, но преследует такие ошибки, как:
Edit
Дополнительный вопрос. Уже ли пароль в файле /etc/mysql/debian.cnf уже используется или является паролем открытого текста? Это важно, когда вы идете воссоздать пользователя, и я никогда не думаю, что это правильно с первой попытки.
8 ответов
Для чего используется debian-sys-maint?
По умолчанию он используется для указания серверу для рулон журналов. Ему нужны, по крайней мере, привилегии перезагрузки и выключения.
Смотрите файл /etc/logrotate.d/mysql-server
Он используется сценарием /etc/init.d/mysql для получения статуса сервера. Он используется для изящного отключения /перезагрузки сервера.
Вот цитата из README.Debian
Каков самый простой способ его восстановить после того, как я потерял его?
Вы можете использовать такую команду, чтобы создать файл SQL, который позже можно использовать для воссоздания учетной записи.
Введите пароль в /etc/mysql/debian.cnf уже hashed
Пароль не хешируется.
Это даст вам возможность воссоздать пользователя debian-sys-maint. Существующие пользователи и базы данных безопасны.
Я хотел просто прокомментировать, но я думаю, что правильный синтаксис заслуживает собственной записи. Это создаст пользователя debian-sys-maint :
Если у вас все еще есть файл /etc/mysql/debian.cnf, просто используйте здесь пароль.
Вы можете повторно создать пользователя:
Что такое пользователь MySQL debian-sys-maint (и не только)?
Меня несколько раз укусил пользователь ‘debian-sys-maint’, который установлен по умолчанию в пакетах mysql-server, установленных из репозиториев Ubuntu.
Обычно происходит следующее: я извлекаю свежую копию нашей производственной базы данных (которая не работает в Debian / Ubuntu) для устранения неполадок или новой разработки и забываю исключить таблицу mysql.user, следовательно, теряю пользователя debian-sys-maint.
Если по какой-либо причине мы добавим новых пользователей mysql, мне придется «объединить» их в мою среду разработки, а не просто наложить таблицу.
Без пользователя моя система все еще кажется работоспособной, но страдает от таких ошибок, как:
редактировать
Для чего используется debian-sys-maint?
Смотрите файл /etc/logrotate.d/mysql-server
Используется /etc/init.d/mysql сценарием для получения статуса сервера. Он используется для корректного выключения / перезагрузки сервера.
Вот цитата из README.Debian
Какой самый простой способ восстановить его после того, как я его потерял?
Вы можете использовать команду, подобную этой, для создания файла SQL, который вы можете использовать позже для воссоздания учетной записи.
Пароль в /etc/mysql/debian.cnf уже хэширован
Вы можете заново создать пользователя:
Просто убедитесь, что пароль соответствует этому в /etc/mysql/debian.cnf
Что даст вам возможность воссоздать пользователя debian-sys-maint. Существующие пользователи и базы данных в безопасности.
Я хотел просто прокомментировать, но я думаю, что правильный синтаксис заслуживает отдельной записи. Это создаст пользователя debian-sys-maint :
Если у вас все еще есть файл /etc/mysql/debian.cnf, просто используйте там пароль.
2019 Обновление
debian-sys-maint необходимые разрешения
В других ответах достаточно адресовано все, кроме минимального набора разрешений, необходимых для пользователя debian-sys-maint. Многие из ответов здесь просто неверны в этом отношении и фактически опасны. Не уменьшайте привилегии debian-sys-maint (включая опцию предоставления) без чтения и понимания ниже:
Сопровождающий Debian не давал капризным пользователям все привилегии. Вот что требуется, где и почему. Некоторые из этих привилегий являются надмножествами других, но я перечислю их независимо, на случай, если вы захотите что-то настроить и отменить требования к ним:
Последнее, конечно, является основным требованием для привилегий. Страница man для mysql_upgrade гласит:
mysql_upgrade проверяет все таблицы во всех базах данных на несовместимость с текущей версией MySQL Server. mysql_upgrade также обновляет системные таблицы, чтобы вы могли воспользоваться новыми привилегиями или возможностями, которые могли быть добавлены.
Если mysql_upgrade обнаруживает, что таблица имеет возможную несовместимость, он выполняет проверку таблицы и, если обнаруживаются проблемы, пытается восстановить таблицу.
ПРЕДУПРЕЖДЕНИЕ. Если вы решили сократить привилегии, которыми обладает debian-sys-maint, то убедитесь, что вы готовы вручную обрабатывать любые будущие обновления безопасности Debian и / или обновления, которые касаются MySQL. Если вы выполняете обновление пакетов MySQL с ограниченными привилегиями debian-sys-maint, и если mysql_upgrade не может завершиться в результате, он может оставить вашу базу данных в неопределенном состоянии (чтение прервано). Снижение привилегий может не вызывать каких-либо очевидных повседневных проблем до тех пор, пока не появится обновление, поэтому не стоит полагать, что вы уже уменьшили привилегии без каких-либо вредных воздействий, поскольку это основание полагать, что это безопасно.
What is the debian-sys-maint MySQL user (and more)?
I have been bitten several times by the ‘debian-sys-maint’ user that is installed by default on the mysql-server packages installed from the Ubuntu repositories.
Generally what happens is I pull a fresh copy of our production database (which is not running on Debian/Ubuntu) for troubleshooting or new development and forget to exclude the mysql.user table hence losing the debian-sys-maint user.
If we add new mysql users for whatever reason, I have to ‘merge’ these into my development environment as opposed to just overlaying the table.
Without the user my system still seems functional, but plagued with errors such as:
Edit
9 Answers 9
What is debian-sys-maint used for?
One major thing it is used for is telling the server to roll the logs. It needs at least the reload and shutdown privilege.
See the file /etc/logrotate.d/mysql-server
It is used by the /etc/init.d/mysql script to get the status of the server. It is used to gracefully shutdown/reload the server.
Here is the quote from the README.Debian
What is the easiest way to restore it after I’ve lost it?
You could use a command like this to build a SQL file that you can use later to recreate the account.
Is the password in /etc/mysql/debian.cnf already hashed
The password is not hashed/encrypted when installed, but new versions of mysql now have a way to encrypt the credentials (see: https://serverfault.com/a/750363).
The debian-sys-maint user is by default a root equivalent. It is used by certain maintenance scripts on Debian systems, and as a side-effect, allows users with root access on the box to view the plaintext password in /etc/mysql/debian.cnf (good or bad?)
You can re-create the user by:
Just make sure the password matches that in /etc/mysql/debian.cnf
Which will give you the option to recreate the debian-sys-maint user. Existing users and databases are safe.
I wanted to just comment, but I think correct syntax deserves it’s own entry. This will create the debian-sys-maint user:
If you still have the /etc/mysql/debian.cnf file, just use the password in there.
Feel free to come up with a more paranoid secure solution.
2019 Update
debian-sys-maint required permissions
Other answers have sufficiently addressed everything except the minimum set of permissions that are required for the debian-sys-maint user. Many of the answers here are simply wrong in that respect, and in fact dangerous. Do not reduce debian-sys-maint privileges (including the grant option) without reading and understanding below:
The Debian maintainer did not give all privileges to the user capriciously. Here is what is required, where and why. Some of these privileges are supersets of others, but I will list them independently in case you want to customize things and remove the requirement for them:
The last one is, of course, the major requirement for privileges. The man page for mysql_upgrade states that:
mysql_upgrade examines all tables in all databases for incompatibilities with the current version of MySQL Server. mysql_upgrade also upgrades the system tables so that you can take advantage of new privileges or capabilities that might have been added.
If mysql_upgrade finds that a table has a possible incompatibility, it performs a table check and, if problems are found, attempts a table repair.
WARNING If you decide to cut down on the privileges that debian-sys-maint has, then make sure you are prepared to manually handle any future debian security updates and/or upgrades that touch MySQL. If you perform an update on the MySQL packages with a reduced debian-sys-maint privilege, and if mysql_upgrade cannot complete as a result, it may leave your database in an undefined (read broken) state. Reducing privileges may not have any apparent day-to-day issues until an update comes along, so do not go by the fact that you have already reduced privileges with no harmful effects as a basis for thinking it is safe.
Что такое пользователь MySQL debian-sys-maint (и не только)?
Меня несколько раз укусил пользователь ‘debian-sys-maint’, который установлен по умолчанию на пакеты mysql-server, установленные из репозиториев Ubuntu.
Обычно, что происходит, я беру свежую копию нашей производственной базы данных (которая не работает в Debian/Ubuntu) для устранения неполадок или новой разработки и забываю исключить таблицу mysql.user, следовательно, теряю пользователя debian-sys-maint.
Если по какой-либо причине мы добавим новых пользователей mysql, мне придется «объединить» их в мою среду разработки, а не просто наложить таблицу.
Без пользователя моя система все еще кажется работоспособной, но страдает от таких ошибок, как:
Edit
Для чего используется debian-sys-maint?
Смотрите файл /etc/logrotate.d/mysql-server
Используется /etc/init.d/mysql скрипт для получения статуса сервера. Он используется для корректного выключения/перезагрузки сервера.
Вот цитата из README.Debian
Какой самый простой способ восстановить его после того, как я его потерял?
Вы можете использовать команду, подобную этой, чтобы создать файл SQL, который вы можете использовать позже для воссоздания учетной записи.
Пароль в /etc/mysql/debian.cnf уже хэширован
Пользователь debian-sys-maint по умолчанию является корневой эквивалент. Он используется некоторыми сценариями обслуживания в системах Debian и, как побочный эффект, позволяет пользователям с правами root на коробке просматривать открытый текстовый пароль в /etc/mysql/debian.cnf (хорошо или плохо?)
Вы можете заново создать пользователя:
Просто убедитесь, что пароль совпадает в /etc/mysql/debian.cnf
Я хотел просто прокомментировать, но я думаю правильный синтаксис заслуживает отдельной записи. Это создаст пользователя debian-sys-maint :
Если у вас все еще есть файл /etc/mysql/debian.cnf, просто используйте там пароль.
Не стесняйтесь придумать больше параноик безопасное решение.
Что даст вам возможность воссоздать пользователя debian-sys-maint. Существующие пользователи и базы данных в безопасности.
обновление 2019 г.
debian-sys-maint необходимые разрешения
Другие ответы в достаточной степени касаются всего, кроме минимального набора разрешений, необходимых для пользователя debian-sys-maint. Многие из ответов здесь просто неверны в этом отношении и фактически опасны. Не уменьшайте привилегии debian-sys-maint (включая опцию grant) без чтения и понимания ниже:
Сопровождающий Debian не давал капризным пользователям все привилегии. Вот что требуется, где и почему. Некоторые из этих привилегий являются надмножествами других, но я перечислю их независимо, на случай, если вы захотите что-то настроить и отменить требования к ним:
Последнее, конечно, главное требование для привилегий. Страница man для mysql_upgrade гласит:
mysql_upgrade проверяет все таблицы во всех базах данных на несовместимость с текущей версией MySQL Server. mysql_upgrade также обновляет системные таблицы, чтобы вы могли воспользоваться новыми привилегиями или возможностями, которые могли быть добавлены.
Если mysql_upgrade обнаруживает, что таблица имеет возможную несовместимость, он выполняет проверку таблицы и, если обнаруживаются проблемы, пытается восстановить таблицу.
] Если вы решили сократить привилегии, которыми обладает debian-sys-maint, то убедитесь, что вы готовы обрабатывать любые будущие обновления безопасности Debian и/или обновления, которые касаются MySQL. Если вы выполняете обновление пакетов MySQL с ограниченными привилегиями debian-sys-maint, и если mysql_upgrade не может завершиться в результате, он может оставить вашу базу данных в неопределенном состоянии (чтение не выполнено). Снижение привилегий может не вызывать каких-либо очевидных повседневных проблем до тех пор, пока не появится обновление, поэтому не стоит полагать, что вы уже уменьшили привилегии без каких-либо вредных последствий в качестве основания полагать, что это безопасно.
Debian sys maint что это
Access denied for user debian-sys-maint — ошибка которая появляется при пароле системного пользователя debian-sys-maint с которым MySQL по какой-то причине не может получить доступ к таблицам баз данных. Часто такие ошибки возникают при настройке репликации MySQL — например, при настройке Galera Cluster.
Access denied for user debian-sys-maint
Следствие ошибки часто — невозможность остановить или перезапустить сервер баз данных. Чтобы исправить ошибку достаточно обносить пароль системного пользователя debian-sys-maint и привести его в соответствие тому, что задан в файле/etc/mysql/debian.cnf
Полностью ошибка может выглядеть так:
Got error: 1045: Access denied for user ‘debian-sys-maint’@’localhost’ (using password: YES) while connecting to the MySQL server
Просмотреть файл можно при помощи less
[client]
host = localhost
user = debian-sys-maint
password = Fae4aekeeShiemei6Ohp
socket = /var/run/mysqld/mysqld.sock
[mysql_upgrade]
user = debian-sys-maint
password = Fae4aekeeShiemei6Ohp
socket = /var/run/mysqld/mysqld.sock
basedir = /usr
Затем нужно авторизоваться в консоли сервера баз данных с правами пользователя root и выполнить запрос на обновление пароля debian-sys-maint
mysql> GRANT ALL PRIVILEGES ON *.* TO ‘debian-sys-maint’@’localhost’ IDENTIFIED BY ‘Fae4aekeeShiemei6Ohp’;
Обновляем информацию о привилегиях
Пароль на этом этапе уже обновлен,но для верности можно перезапустить MySQL.
После произведенных действий пароль обновился и ошибки больше возникать не должно — в случае с репликацией на всех серверах, которые в ней участвуют для пользователя debian-sys-maint стоит задавать одинаковый пароль.
