Q&A
失礼いたしました。
クライアント(今回はシェルスクリプト経由)がmysqlにログインする際にパスワード情報をどの方法で入力するのがセキュアかという質問でした。
シェルファイルに直書きですと、psコマンドから見えるので安全ではないと思います。
環境 MySQL 5.7
MySQLコマンドをシェルスクリプトから実行する際のパスワード管理について
下記のどれが良いのでしょうか?
- MySQL付属のパスワードマネージャーツール「mysql_config_editor」を利用する
- 「--defaults-file」オプションで外部定義ファイル(chmod 400)を参照する
- 適当な環境変数名で環境変数にパスワードを登録する
回答3件
0
ベストアンサー
「--defaults-file」オプションで外部定義ファイル(chmod 400)を参照する
が良いと思います。
どんな手段を採るにせよ、手入力で無い限りは、どこかのファイルに書くことになりますので。
シェルファイルに直書きですと、psコマンドから見えるので安全ではないと思います。
環境変数もpsで見られます(ps axeww)。プロセスオーナーのユーザーかrootが実行したときだけですが、psコマンドで見られることを心配しないといけない環境なら、要考慮かも。
投稿2019/07/18 12:05
総合スコア86363
0
ちょっと毛色が違いますが、シェルスクリプト実行専用のユーザーを別途用意して、通常とは異なる認証・権限とするのも考慮されるとよいかと思います。
もしシェルスクリプトが MySQL 自身の存在するサーバー上で動作するなら、Unix Socket 接続を使うこともできますし(MariaDB の root ユーザーがこれ)
投稿2019/07/19 00:43
総合スコア13707
0
ログインパスワード自体はmysqlサーバー側で管理されているはずですが・・・
そもそもシェルからmysqlクライアントを使うケースは稀だと思いますし。
どうしても使う必要があるならテキストで手入力もしくはシェルファイルに
直書きすればよいのでは?
投稿2019/07/18 07:06
総合スコア117944
「mysql -uhogehoge -p」手動入力はいけないのですか?
PSで表示させたくないというだけなら
MYSQL_PWD="mypassword" mysql -uhogehoge
ってありますが、それがセキュアかといわれると微妙・・・
「[Warning] Using a password on the command line interface can be insecure.」
対策ってことですかね?
ご回答ありがとうございます!
Warningのメッセージは気にしておりません(確かに直書きすると警告出ますよね)。
シェルスクリプト経由でmysqlにログインする際に安全にパスワード情報を渡す方法を知りたいだけです。
MYSQL_PWDに代入するのは公式ドキュメントでも非推奨だった気がします。
基本的には-pで手動入力しかないです
それ以外はみんな姑息な手段ですから
そうですよね。。
他は完全ではないですよね。
どうしても今回はシェルスクリプトでっていう条件があったので。。
お付き合いいただきありがとうございました。
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2019/07/19 00:16
2019/07/19 00:40
2019/07/19 00:47