Mysql Shell免密登录的思考及实际应用案例
前言
数据库图形化工具的出现,给我们操作数据库带来了许多便利,但是过度的依赖工具,始终无法明白其内部 的一些原理,离开了工具,可能寸步难行,所以尽量使用原生的命令行来操作数据库,可以增加熟练度,提高我们知识的深度。
最常见的明文登录方式
以下mysql命令参数,相信大家已经是耳熟能详了:
-h参数指定mysql主机。
-u指定mysql用户。
-P(大写)指定端口。
-p(小写)指定密码。
这里衍生出两个问题:
1)每次使用都需要指定一长串的参数和密码。
2)密码直接在命令行暴露出来,运行时,在一个短暂的时间间隔内,是可以直接通过ps命令查看到你数据库的密码的,所以十分不安全。
当然你可以不用指定密码参数,而是选择手动输入。
明文配置文件的方式登录
如果你不想在控制台,以交互的方式输入密码,那还有一种方式,将明文密码写入到文件中。
当然也可以试试验证读取配置情况:
mysql --defaults-file=./A.cnf --print-defaults
这里打印的意思是:mysql将会使用如下的参数进行登录连接。
小结
总结来说:指定明文密码的两种方式是:
1)通过指定--password (-p) 交互式的输入密码。
2)将密码放在一个配置 文件中。
当我们使用一些数据库的shell脚本时,当然不能这样交互式的输入密码,并且我们也不想把密码暴露到配置文件中,那该怎么做呢?
学习mysql命令的参数配置项
不知道如何实现,我们首先来熟悉熟悉mysql命令提供的参数。默认情况下,mysql会按如下顺序读取配置:
1) /etc/my.cnf
2)/etc/mysql/my.cnf
3)~/.my.cnf
参数:
- --no-defaults ,不读取配置文件中的任何内容。但是mylogin.cnf除外。
- --login-path,指定在mysqlconfigeditor中设置选项组名称。
- --print-defaults,打印从参数配置文件中获得的所有选项。密码值会被屏蔽。
了解了上述的基本参数作用后,我们来学习,如何保护我们的密码。
使用mysqlconfigeditor存储登录信息
mysqlconfigeditor是一个存储mysql登录信息的工具,它会将你的身份认证信息存储到一个名为 .mylogin.cnf 的登录路径文件中。
由于该文件是隐藏文件,你可以用如下命令查看:
ls -l .mylogin.cnf
文件的内容是进行了混淆加密的,明文方式它存储的文件内容大概是:
[pathA]
user = aaa
password = aaapwd
host = ip1
[pathB]
user = root
password = pwd2
host = ip2
这里,可以有多组配置,每一个用括号包裹的块,我们称它为选项组,每个选项组内容包括:主机、用户、密码、端口、套接字等信息。
当调用Mysql客户端命令连接到服务器时,客户端将mylogin.cnf与其他指定的参数配置文件一起使用。这里的优先级高于其他文件,但低于在客户端命令行上显式指定的配置。
当然啦,我们也可以显示的指定用那个选项组,就像是使用A计划还是B计划一样。默认mysql会执行[client] 和 [mysql] 选项组配置。
将密码放入受保护的文件
要查看mysqlconfigeditor写入.mylogin.cnf文件的内容,我们可以使用如下命令:
mysql_config_editor print --all
mysql_config_editor print --login-path=pathA
登录路径文件必须对当前用户是可读和可写的,而对其他用户是不可访问的。否则,mysqlconfigeditor将忽略它,客户机程序也不会使用它,一个完整的设置命令入下:
mysql_config_editor set --login-path=pathA \
--host=localhost --user=root --password --port=3306 \
--socket=~/pathA_mysql.sock
操作帮助说明可以通过执行如下命令查看:
mysql_config_editor set --help
其中--socket指定mysql以socket方式运行的sock文件位置。--password 指定需要密码,这里会在回车后让你输入密文。它默认在数据存储到内容中,并且,我们使用print打印的时候,它同样也不会显示明文,是不是安全多了呢。
登录命令变成:
mysql --login-path=pathA
实际案例应用
完成上述配置后,我们可以愉快的使用密文登录mysql啦。这里提供一个实际的案例。
要求:编写crontab定时任务,定时的清理mysql A表一天前的数据,每天早上6点执行,需要提供日志记录显示执行状态。
小试牛刀
上面我们已经配置好了免密登录,下面来试试执行一条sql语句。
mysql --login-path=pathA -e 'select 1'
获取今天凌晨的毫秒值:
select UNIX_TIMESTAMP(CAST(SYSDATE()AS DATE)) * 1000
没有任何问题,按照要求,我们编写带记录日志的shell脚本,参考如下:
#!/bin/sh
# adirname - return 绝对路径
adirname() { odir=`pwd`; cd `dirname $1`; pwd; cd "${odir}"; }
MYNAM=`basename "$0"`
MYDIR=`adirname "$0"`
MYHOME="/home/appuser"
MYLOG_PATH="${MYHOME}/logs"
MYLOG="${MYLOG_PATH}/${MYNAM}_`date %F`.log"
if [ ! -f "$MYLOG" ]; then
touch "$MYLOG"
fi
# 记录日志
function loginfo(){
echo "$1"
echo "$(date -d today "%Y%m%d %H:%M:%S") - $1" >> ${MYLOG} 2>> ${MYLOG}
}
mysql --login-path=pathA -e 'delete from A where time < UNIX_TIMESTAMP(CAST(SYSDATE()AS DATE)) * 1000'
loginfo "handle delete table successfully,$?"
加入crontab定时任务
#每天6点执行
0 6 * * * /bin/sh /home/root/del_tabl_task.sh
总结
本文对比介绍了 明文密码登录mysql的两种方式和密文登录。希望你了解如下知识点:1、mysqlconfigeditor工具的用法及作用?
2、mysql shell脚本的简单使用?
3、crontab定时任务脚本的配置使用。
4、如何在shell中记录输出日志到文件。
当然这些知识可能都只是冰山一角,希望对你有所启发。
为了方便大家学习讨论,我创建了一个java疑难攻坚互助大家庭,和其他传统的学习交流不同。本群主要致力于解决项目中的疑难问题,在遇到项目难以解决的问题时,都可以在这个大家庭里寻求帮助。
公众关号注侠梦的开发笔记后回复【问题的答案】进入:java中Integer包装类的基本数据类型是?如果你也经历过遇到项目难题,无从下手,他人有可能可以给你提供一些思路和看法,一百个人就有一百种思路,同样,如果你也乐于帮助别人,那解决别人遇到的问题,也同样对你是一种锻炼。
> 欢迎来公众号【侠梦的开发笔记】 ,回复干货,领取精选学习视频一份
上一篇: Netbeans连接数据库
下一篇: mysql的列约束和数据查询